Atak ransomware na rumuńskiego operatora ropociągów CONPET: Qilin chwali się wyciekiem ~1 TB danych - Security Bez Tabu

Atak ransomware na rumuńskiego operatora ropociągów CONPET: Qilin chwali się wyciekiem ~1 TB danych

Wprowadzenie do problemu / definicja luki

CONPET S.A., rumuński operator krajowego systemu transportu ropy i produktów naftowych, potwierdził incydent cybernetyczny, który uderzył w biznesową infrastrukturę IT spółki. Firma podkreśliła jednocześnie, że systemy OT – w tym SCADA oraz telekomunikacja – nie zostały naruszone, a transport ropy i benzyny działa „w normalnych parametrach”.

Choć CONPET nie wskazał publicznie sprawców ani nie potwierdził wprost wycieku danych, grupa ransomware Qilin umieściła spółkę na swoim „leak site”, deklarując kradzież niemal 1 TB danych i publikując próbki dokumentów (m.in. materiały finansowe oraz skany paszportów).

W skrócie

  • Incydent miał miejsce 03.02.2026 i dotyczył IT biznesowego; serwis www spółki był czasowo niedostępny.
  • CONPET deklaruje brak wpływu na OT/SCADA, a więc na ciągłość przesyłu.
  • Spółka współpracuje z krajowymi władzami ds. cyberbezpieczeństwa oraz złożyła zawiadomienie do DIICOT (rumuńska prokuratura ds. przestępczości zorganizowanej i terroryzmu).
  • Qilin twierdzi, że przeprowadził ekfiltrację i grozi ujawnieniem danych w modelu „double extortion”.

Kontekst / historia / powiązania

Z perspektywy obrony sektorowej warto zauważyć, że incydent CONPET wpisuje się w serię ataków ransomware na organizacje w Rumunii obserwowaną w ostatnich miesiącach. W materiałach branżowych wskazywano m.in. wcześniejsze incydenty dotykające instytucje publiczne i podmioty energetyczne, co sugeruje presję na infrastrukturę krytyczną i „okołokrytyczną”.

W tym przypadku kluczowy jest też komunikat spółki o rozdzieleniu stref: atak dotknął IT biznesowego, ale nie przełożył się na OT. To często oznacza, że segmentacja (organizacyjna i techniczna) zadziałała przynajmniej na tyle, by nie dopuścić do eskalacji na środowiska sterowania procesem.

Analiza techniczna / szczegóły incydentu

Co potwierdził operator

Z oficjalnego komunikatu wynika:

  • naruszenie/zakłócenie dotyczyło infrastruktury IT do celów biznesowych,
  • SCADA i system telekomunikacyjny nie zostały dotknięte,
  • uruchomiono działania ograniczające skutki, współpracę z władzami oraz ścieżkę prawną (DIICOT).

Co deklarują atakujący (Qilin)

Qilin opublikował wpis o CONPET w swoich kanałach wyciekowych i – według relacji mediów – zaprezentował próbki danych jako „dowód życia” (w tym skany dokumentów). Wątek ~1 TB jest powtarzany w kilku niezależnych omówieniach.

Qilin: profil zagrożenia (RaaS)

Według opisów branżowych Qilin to ransomware-as-a-service działający co najmniej od 2022 r. (w części publikacji wskazywany jako wcześniej funkcjonujący pod inną marką), z historią ataków na organizacje z wielu sektorów.

W praktyce, przy incydentach RaaS, najczęstszy „szkielet” operacji wygląda następująco (to model ogólny – nie dowód dla CONPET):

  1. wejście (np. skradzione poświadczenia / phishing / podatne usługi brzegowe),
  2. rozpoznanie i ruch boczny,
  3. ekfiltracja danych pod szantaż,
  4. szyfrowanie części środowiska IT i presja negocjacyjna poprzez leak site.

W tym przypadku publicznie potwierdzony jest impact na IT oraz narracja o kradzieży danych.

Praktyczne konsekwencje / ryzyko

  1. Ryzyko wycieku danych wrażliwych
    Skany paszportów i dokumenty finansowe (jeśli autentyczne) oznaczają konsekwencje: nadużycia tożsamości, spear-phishing, szantaż, a także obowiązki regulacyjne (np. w obszarze ochrony danych).
  2. Ryzyko operacyjne dla infrastruktury krytycznej
    CONPET twierdzi, że OT/SCADA są nietknięte, co ogranicza prawdopodobieństwo bezpośredniego wpływu na przesył. Jednak doświadczenie rynkowe pokazuje, że nawet atak „tylko na IT” może pośrednio uderzać w OT (np. poprzez utratę systemów wsparcia, łączności biurowej, tożsamości, CMMS, poczty). Dlatego komunikat „OT bez zmian” jest dobrym sygnałem, ale nie zamyka tematu.
  3. Ryzyko wtórne: dostawcy i łańcuch zależności
    Jeżeli doszło do kradzieży danych, typowym skutkiem są kolejne kampanie: podszywanie się pod spółkę, ataki na kontrahentów, próby przejęcia korespondencji i płatności.

Rekomendacje operacyjne / co zrobić teraz

Poniższe kroki są sensowne dla organizacji o profilu CONPET (energia/CI), szczególnie gdy pojawia się wątek ekfiltracji:

Natychmiast (0–72h)

  • Utrzymać separację IT/OT, zweryfikować reguły routingu, tożsamości uprzywilejowane i kanały zdalnego dostępu; potwierdzić, że OT nie korzysta z tych samych IdP/kont.
  • Zabezpieczyć materiał dowodowy (logi z EDR/SIEM, VPN, AD, proxy, serwery plików, poczta), zsynchronizować oś czasu.
  • Wymusić reset poświadczeń uprzywilejowanych, wdrożyć/zaostrzyć MFA wszędzie, gdzie to możliwe (szczególnie dostęp zdalny, administracja, poczta).
  • Przygotować komunikację kryzysową i scenariusz publikacji danych (leak site), bo presja czasu to część modelu „double extortion”.

W krótkim terminie (1–4 tyg.)

  • Pełny przegląd segmentacji i „barier” między IT/OT (firewalle, jump hosty, PAM, zasada minimalnych uprawnień).
  • Audyt kopii zapasowych pod kątem odporności na ransomware (offline/immutable, testy odtwarzania, RTO/RPO).
  • Threat hunting pod kątem mechanizmów utrzymania dostępu (kontenerowe konta admina, scheduled tasks, nietypowe tunelowanie).
  • Twarde reguły dla ruchu danych na zewnątrz (DLP/egress filtering) i monitoring dużych transferów.

W średnim terminie (1–3 mies.)

  • Program redukcji powierzchni ataku: ekspozycja usług brzegowych, patching, redukcja „legacy”, uporządkowanie tożsamości, wzmocnienie SOC.
  • Ćwiczenia IR dla scenariusza „IT down + presja na ujawnienie danych”, w tym współpraca prawna i regulator.

Różnice / porównania z innymi przypadkami

  • W odróżnieniu od incydentów, w których ransomware realnie „dotyka procesu” (OT), tutaj kluczowa narracja brzmi: IT biznesowe + możliwa kradzież danych, przy zachowaniu ciągłości przesyłu.
  • Taki profil zdarzenia jest częsty w sektorze energii: atakujący wybierają najszybszą ścieżkę monetyzacji (dane + przestój biurowy), bo OT bywa lepiej odizolowane, a ingerencja w proces niesie dla nich większe ryzyko i koszty.

Podsumowanie / kluczowe wnioski

Atak na CONPET pokazuje dwa trendy: rosnącą presję ransomware na organizacje o znaczeniu strategicznym oraz praktyczną wartość segmentacji IT/OT, która – według deklaracji spółki – uchroniła systemy SCADA przed skutkami incydentu.

Największe ryzyko „tu i teraz” to potencjalny wyciek danych (Qilin mówi o ~1 TB i publikuje próbki), a więc zagrożenia wtórne: szantaż, nadużycia tożsamości, phishing oraz konsekwencje prawno-regulacyjne.

Źródła / bibliografia

  1. Komunikat CONPET o incydencie (dystrybucja prasowa) (AGERPRES)
  2. The Record (Recorded Future News): potwierdzenie incydentu i kontekst Qilin (The Record from Recorded Future)
  3. BleepingComputer: szczegóły dot. deklaracji Qilin (~1 TB) i status OT/SCADA (BleepingComputer)
  4. Industrial Cyber: dodatkowe cytaty z komunikacji spółki i kontekst infrastruktury (Industrial Cyber)
  5. Ransomware.live: wpis indeksujący ofiarę „Conpet S.A. (COTE.RO)” przypisywany Qilin (ransomware.live)