De nationale waterbeheerorganisatie van Roemenië is getroffen door een grootschalige ransomware-aanval waarbij ongeveer duizend IT-systemen zijn gecompromitteerd. Dat heeft de Roemeense cyberveiligheidsautoriteit bevestigd. Het herstel van de getroffen systemen is nog in volle gang, terwijl de aanval opnieuw vragen oproept over de digitale weerbaarheid van vitale infrastructuur.
Ransomware-aanval
De aanval trof de Administrația Națională Apele Române, beter bekend als Romanian Waters. Volgens de organisatie zijn onder meer geografische informatiesystemen, databaseservers, Windows-werkstations, Windows-servers, e-mail- en webservers en domeinnaamservers getroffen. De officiële website van Romanian Waters is sinds het incident offline, waardoor informatie voorlopig via alternatieve kanalen wordt verspreid.
Romanian Waters is verantwoordelijk voor het beheer van de nationale waterinfrastructuur, waaronder dammen, waterwegen, drinkwatervoorzieningen en meet- en monitoringssystemen. De aanval begon op 20 december en verspreidde zich naar tien van de elf regionale stroomgebiedsorganisaties, zo meldde het Directoratul Național de Securitate Cibernetică (DNSC).
Geen direct risico
Hoewel circa duizend systemen worden onderzocht, benadrukken de autoriteiten dat de operationele waterbeheerprocessen niet zijn verstoord. Hydrotechnische werkzaamheden lopen volgens het DNSC normaal door en worden lokaal uitgevoerd door personeel op locatie. De aanval vormt daarmee geen direct risico voor de levering van drinkwater of de veiligheid van waterwerken.
De cyberaanval wordt omschreven als ransomware. Bestanden zijn versleuteld en de aanvallers hebben losgeldbrieven achtergelaten waarin zij eisen dat binnen zeven dagen onderhandelingen worden gestart. Opvallend is dat de versleuteling is uitgevoerd met behulp van Windows BitLocker. Dat wijst erop dat mogelijk geen gebruik is gemaakt van bekende ransomware-software, maar van ingebouwde functionaliteit binnen het besturingssysteem.
Onderhandelen
Het DNSC herhaalt zijn vaste advies aan slachtoffers van ransomware-aanvallen om geen contact te zoeken met de aanvallers en niet te onderhandelen. “Onderhandelen moedigt cybercriminaliteit aan en kan deze financieren”, aldus de autoriteit. Tegelijkertijd vraagt het DNSC om de IT-teams van Romanian Waters met rust te laten, zodat zij zich volledig kunnen richten op herstelwerkzaamheden.
Opvallend is dat het netwerk van Romanian Waters niet was aangesloten op het nationale systeem voor de bescherming van kritieke infrastructuur. Dat systeem, vergelijkbaar met de Britse Early Warning-dienst, monitort netwerkverkeer om afwijkingen vroegtijdig te detecteren. Volgens het DNSC zijn inmiddels stappen gezet om de waterautoriteit alsnog in dit beschermingssysteem op te nemen.
Bredere internationale trend
De aanval past in een bredere internationale trend. Waterautoriteiten gelden als aantrekkelijk doelwit voor cybercriminelen en hacktivisten vanwege hun cruciale rol in de samenleving. Eerder werden vergelijkbare systemen in Canada, het Verenigd Koninkrijk en de Verenigde Staten aangevallen. Nationale veiligheidsdiensten waarschuwen al langer dat digitale aanvallen op waterbeheer ernstige gevolgen kunnen hebben voor de openbare veiligheid.