Ce este escrocheria denumită „Gentleman” care a vizat Complexul Energetic Oltenia?

Un atac informatic de tip răscumpărare, denumit „Gentleman”, a afectat recent o parte din infrastructura IT a societății Complexul Energetic Oltenia.

În urma atacului, unele documente și fișiere au fost criptate, iar mai multe aplicații informatice au devenit temporar indisponibile, inclusiv unele aplicații de management al documentelor, serviciul de e-mail și site-ul societății.

Citește și: Atac cibernetic la Complexul Energetic Oltenia. A fost atacată infrastructura IT de business

Ce este escrocheria denumită „Gentleman” care a vizat Complexul Energetic Oltenia?

În august 2025, a apărut un nou grup de ransomware, cunoscut sub numele de The Gentlemen, care a lansat atacuri extrem de adaptive și direcționate în 17 țări.

Principalele lor domenii de interes includ producția, construcțiile, asistența medicală, asigurările și serviciile pentru consumatori , cu atacuri îndreptate împotriva mediilor Windows.

Gentlemen-ii folosesc o combinație de instrumente administrative legitime, software anti-AV personalizat și sarcini specifice mediului pentru a evita apărarea și a obține persistență. Operațiunile lor marchează o evoluție către atacuri ransomware metodice și personalizate, care neutralizează măsurile de securitate, distrug copiile de rezervă și asigură o întrerupere operațională maximă înainte de implementarea ransomware-ului.

Citește și: Cum îți fură hackerii banii din cont și datele personale. „Faci o singură greșeală și ei știu asta”

Detalii despre atac

• Acces inițial : Exploatarea serviciilor expuse la internet și a conturilor administrative FortiGate compromise , permițând recunoașterea profundă a rețelei și mișcarea laterală.

• Tehnici de trai în afara terenului : Utilizarea extensivă a unor instrumente legitime precum PowerRun, PsExec, Nmap, PuTTY pentru escaladarea privilegiilor și control de la distanță.

• Evadarea și persistența apărării : Abuzul de drivere semnate, implementarea de utilitare anti-AV personalizate, manipularea politicilor de grup și modificări ale registry-ului pentru a menține ascunderea.

• Acces la distanță și exfiltrare : Utilizarea AnyDesk pentru acces la distanță persistent și WinSCP prin canale criptate pentru stocarea și exfiltrarea datelor.

• Implementare ransomware : Distribuit prin intermediul domeniului NETLOGON, partajat cu sarcini utile protejate prin parolă pentru a ocoli analiza automată. Termină în mod activ serviciile de backup, baze de date și antivirus , șterge jurnalele și elimină note de recompensă intitulate „README-GENTLEMEN.txt” . Fișierele au extensia .7mtzhh adăugată , confirmând criptarea.

Această campanie evidențiază o operațiune ransomware bine finanțată și organizată, potențial o rebranding a unui grup de amenințări experimentat, scrie un site de specialitate.

Reamintim că în cazul CE Oltenia, activitatea companiei a fost parțial afectată, fără a fi pusă în pericol funcționarea sistemului energetic național, anunță compania.

DIICOT face o anchetă în acest sens.