事件概述 - 罗马尼亚最大的燃煤能源生产商奥尔特尼亚能源综合体在圣诞节次日（12月26日）遭遇勒索软件攻击，导致其IT基础设施全部瘫痪 [1][5] - 此次攻击导致公司ERP系统、文档管理应用、电子邮件服务及官方网站等关键计算机应用程序暂时无法使用 [2][6] - 公司业务活动受到一定影响，但国家能源系统的运行未受危及，公司正与主管部门合作全力恢复系统 [2][7] 公司基本情况 - 奥尔特尼亚能源综合体是一家拥有40年历史的罗马尼亚国有能源供应商，雇佣员工超过1.9万名 [1][5] - 公司运营4座发电厂，总装机发电能力为3900兆瓦时，其发电量约占罗马尼亚全国电力的30% [1][5] 事件影响与应对措施 - 攻击导致部分文档和文件被加密，IT团队已立即开始在新的基础设施上重建系统，并利用现有备份进行恢复 [2][7] - 公司仍在评估事件影响，并分析攻击者是否在加密前从系统中窃取了数据 [2][7] - 事件已上报给罗马尼亚国家网络安全局、能源部等主管部门，并向有组织犯罪和恐怖主义调查局（DIICOT）提交了刑事投诉 [2][7] 攻击者分析 - 攻击疑似由Gentlemen勒索软件组织发起，该组织于2024年8月浮出水面，以利用被攻破凭证和攻击暴露的互联网服务而闻名 [3][8] - 该组织会投放名为README-GENTLEMEN.txt的勒索说明文件，并使用.7mtzhh文件扩展名对文档进行加密 [3][8] - 自出现以来，Gentlemen组织已在其Tor数据泄露网站上新增了将近48名受害者，但奥尔特尼亚公司尚未被列入名单，可能因双方仍在就赎金进行谈判 [4][8] 行业背景与历史案例 - 罗马尼亚关键基础设施近年频遭重大勒索软件攻击 [4][8] - 在此次事件发生前约两周，罗马尼亚国家水务管理局也遭攻击，约1000台计算机系统及11个地区办事处中的10个受到影响，但其运营技术（OT）系统未受影响 [4][8] - 一年前，罗马尼亚主要电力供应和分销商Electrica集团曾遭Lynx勒索软件团伙入侵 [9] - 2024年2月，Backmydata勒索软件攻击导致医疗管理系统瘫痪，全国100多家医院被迫将系统下线 [9]