Коледните празници в корпоративен план традиционно означават по-малко дежурни екипи, по-лежерно темпо и по-нисък интензитет на наблюдение върху системите. За рансъмуер групите това не е ваканция, а период, в който една атака може да остане незабелязана по-дълго и да причини по-сериозни щети.

Именно в такъв момент - на 26 декември 2025 г. около 01:40 ч. - най-големият въглищен енергиен производител в Румъния, Complexul Energetic Oltenia, установява, че е станал жертва на рансъмуер атака. Зад нея стои група, известна в киберразследванията под името Gentlemen.

Ударът не е насочен към самото производство на електроенергия. Турбините не спират, централите не излизат от мрежата. Засегната е административната и управленската IT инфраструктура - системите, през които минават договори, доставки, заплати, вътрешна комуникация и отчетност. С други думи - "нервната" система на компанията.

По данни на дружеството, цитирани от международни медии, криптирани са документи и файлове, а временно недостъпни стават ERP системите, платформите за управление на документи, корпоративният имейл и уебсайтът.

ERP системите са софтуерът, чрез който големите компании управляват финанси, поръчки, складове, плащания и човешки ресурси. Когато те спрат, бизнесът не блокира физически, но започва да губи контрол върху собствените си процеси. При големи индустриални компании дори ден без достъп до ERP може да блокира плащания за значителни суми и да наруши договори по веригата на доставки.

Oltenia заявява, че дейността е засегната само частично и че националната енергийна система не е била застрашена. Това е вярно в технически смисъл, но подобен тип инцидент има своята цена. Забавени плащания, напрежение с доставчици, затруднена координация и липса на достъп до документи могат бързо да се натрупат. При такива ситуации компаниите губят достъп до договори, фактури и платежни нареждания - рецепта за оперативен хаос.

Снимка 751090

Източник: Shutterstock

В подобни случаи служителите често се връщат към работа с хартия, лични телефони и ръчни справки, защото дигиталните системи просто не са достъпни.

Механизмът на тези атаки е сравнително прост. Нападателите криптират данните и искат откуп за отключването им. Все по-често се използва и т.нар. "двойно изнудване" - данните се копират предварително и жертвата е заплашена с публикуването им. Oltenia все още проверява дали е имало изтичане на информация. Не е публично известно какъв откуп е поискан или дали изобщо е воден разговор за плащане.

При рансъмуер атаките натискът не идва само от хакерите, а и от времето - колкото по-дълго системите остават заключени, толкова по-скъпо става възстановяването. В подобни случаи решения като A1 Cyber Backup, които интегрират резервно копиране на данни, устройства и приложения, могат значително да намалят щетите, като подпомогнат бързото възстановяване до състояние отпреди инцидента от защитено копие.

По сходен начин протича и възстановяването след инцидента в Румъния. Важно е, че дружеството започва възстановяване от резервни копия върху нова инфраструктура. Това подсказва, че бекъпите са били реално използваеми - нещо, което често липсва при тежки атаки и което в този случай значително ограничава щетите.

Случаят е докладван на румънската дирекция по киберсигурност и на Министерството на енергетиката, като е подадена и жалба до прокуратурата. Самият факт, че подобен инцидент попада в полезрението на структури за национална сигурност, показва колко сериозно се възприемат днес атаките срещу критична инфраструктура.

И този случай не е изолиран. Само дни по-рано подобна атака удари и румънската водна администрация Apele Române. Две различни части от критичната инфраструктура на една държава са атакувани в рамките на една седмица. Засегнати са около 1 000 IT системи. И там водоснабдяването не спира, но административната работа е сериозно нарушена.

Моделът е сходен - не се цели спиране на физическите процеси, а упражняване на натиск чрез информационните и управленските системи. Така се избягва директно предизвикване на национална криза, но се създава сериозен оперативен риск. Ако подобна атака съвпадне с период на високо натоварване на енергийната система, ефектът може да излезе далеч извън рамките на един IT инцидент.

Групата Gentlemen е сред по-новите играчи в ransomware средата и според компании за киберсигурност използва сравнително прости методи - компрометирани идентификационни данни и услуги, достъпни от интернет. Това не е "кибервойна", а злоупотреба със слаб контрол на достъпа. Именно затова тези атаки са толкова разпространени - не изискват екзотични уязвимости, а пропуски в киберхигиената.

За България подобни случаи не са далечна екзотика. Това не е сценарий от друг континент, а пример от съседна държава със сходна инфраструктура и енергийна система. Ако административните системи излязат от строя, дори без физически аварии, оперативната устойчивост бързо се поставя под натиск.

През 2026 г. страната ни затяга регулацията чрез въвеждането на изискванията на NIS2 в националното законодателство. Но регулацията задава минимум. Реалната защита зависи от това как компаниите управляват достъпа, резервните копия и наблюдението на системите си. Решения като A1 Endpoint Protect предоставят защита на крайни устройства в бизнес организациите и автоматизирано идентифицират и неутрализират рансъмуер атаки с криптиране на данни.

Случаят с Oltenia показва нещо просто: не е нужно да спреш електроцентрала, за да създадеш криза. Понякога е достатъчно просто да заключиш файловете ѝ. За големите компании рансъмуерът все повече прилича на бизнес риск от първа категория - редом с пожар или производствена авария. А бизнесите, които чакат законът да ги подтикне към киберхигиена, обикновено научават цената на това твърде късно.