Святкові атаки на критичну інфраструктуру Румунії. Огляд експерта «SHERIFF КІБЕРБЕЗПЕКА»

2025 рік закінчувався з показовим кейсом, який варто уважно розібрати не лише фахівцям з кібербезпеки, а й управлінцям критичної інфраструктури. Впродовж новорічних свят Румунія зазнала двох масштабних ransomware-інцидентів — в енергетиці та водному господарстві.

Атаки були різними за технікою, але однаковими за логікою: удар в момент, коли система найменш готова до швидкого реагування.

Першою ціллю став Oltenia Energy Complex — найбільший виробник електроенергії в країні. Угруповання Gentlemen зашифрувало ERP-системи, корпоративну пошту та вебресурси. Аналіз інциденту свідчить, що зловмисники перебували в мережі тижнями, вони збирали доступи, вивчали архітектуру, готували момент атаки.

Паралельно було атаковано Apele Române — національне агентство водних ресурсів. Тут застосували інший, але не менш небезпечний підхід: використання штатного Windows BitLocker для шифрування близько тисячі робочих станцій у регіональних офісах. Без класичних ransomware-інструментів, без очевидних сигнатур.

Це важливий сигнал: сьогодні атака може виглядати як «легітимна дія системи» і саме тому традиційні підходи до моніторингу часто запізнюються.

Підписуйтеся на наші соцмережі

Попри масштаб інцидентів, не сталося найгіршого — зупинки генерації електроенергії чи водопостачання. Причина проста і водночас показова: сегментація IT та OT була зроблена правильно.

SCADA-системи, які керують фізичними процесами, були ізольовані від корпоративних IT-контурів. У результаті інцидент залишився кіберінцидентом, а не перетворився на техногенну аварію. Це той випадок, коли інвестиції в архітектуру безпеки окупаються не грошима, а стабільністю держави.

З позиції SHERIFF КІБЕРБЕЗПЕКА, ми бачимо кілька принципових висновків, які вже не можна ігнорувати.

По-перше, святкові та «тихі» періоди — це не пауза в загрозах. Це фаза активності атакуючих. Саме тоді мають працювати посилені сценарії SOC, чергові команди та швидкі канали ухвалення рішень.

По-друге, ransomware давно перестав бути «проблемою файлів». Це інструмент стратегічного тиску на управління, логістику, фінанси та довіру до інституцій.

По-третє, сегментація IT/OT — це мінімальний рівень зрілості для критичної інфраструктури. Її відсутність — прямий ризик для життя людей.

І нарешті, сучасні атаки дедалі частіше використовують легітимні інструменти. Тому безпека — це культура управління доступами, подіями та привілеями.

Румунський кейс показує важливу річ: атака може бути успішною з технічної точки зору, але не стати катастрофою, якщо система спроєктована правильно.

Для України, яка живе в умовах війни та постійного тиску на інфраструктуру, це практичний сценарій, до якого потрібно бути готовими щодня — незалежно від того, що написано в календарі.

Будемо пильними та сильними попри все!