Национальное агентство водных ресурсов Румынии (Administrația Națională Apele Române) стало жертвой крупной атаки вымогателей: около тысячи систем по всей стране были зашифрованы, но подача воды не пострадала. Инцидент затронул центральный офис и 10 из 11 региональных управлений, отключив GIS‑серверы, базы данных, рабочие станции Windows, почтовые и веб‑сервера, а также DNS, из‑за чего официальный сайт до сих пор лежит.
Расследование показало необычный ход: вместо классического вредоносного шифровальщика злоумышленники задействовали встроенный в Windows инструмент BitLocker, используя его как оружие для массового шифрования дисков. После блокировки данных они оставили записку с требованием выйти на связь в течение семи дней и начать переговоры о выкупе. При этом ответственные за кибербезопасность госструктуры пока не назвали конкретную группировку и даже не установили точный вектор проникновения.
Румынская дирекция кибербезопасности (DNSC) подчёркивает: операционные системы управления гидротехническими объектами не задеты, плотины и насосные станции работают в штатном режиме, персонал на местах управляет объектами по голосовым каналам. Ведомство жёстко рекомендует не вступать в контакт с вымогателями и не платить выкуп, чтобы не финансировать киберпреступность, и параллельно интегрирует инфраструктуру водного агентства в национальные системы защиты критически важных ИТ.
Эксперты отмечают, что использование легитимных инструментов вроде BitLocker для шифрования — растущий тренд в мире ransomware: так проще обходить антивирусы и оставлять меньше следов собственного кода. На фоне этой атаки специалисты снова напоминают о важности офлайн‑бэкапов, жёсткого контроля доступа к админским учёткам и отключения или ограничения BitLocker там, где он не нужен, чтобы минимизировать ущерб от подобных взломов.
