Encevo Cyberattack

See the French version below

Following the announcement of Monday, July 25 and in accordance with our legal information obligations, we confirm that the various entities of the Encevo Group have been the victim of a Cyber-attack. During this attack, a number of data were exfiltrated from computer systems or made inaccessible by hackers. 

The group is currently making every effort to analyze the hacked data. For the moment, the Encevo Group does not yet have all the information necessary to personally inform each person concerned. Encevo registered a complaint with the Police of the Grand Duchy and of course notified the CNPD (National Commission for Data Protection), the ILR (Luxembourg Institute of Regulation) and the competent ministries.

Press Release – Services aux clientsDownload
Press Release – Cyber AttackDownload
Press Release – Data BreachDownload

Frequently Asked Questions (FAQ) – Status 14th October 10:00 a.m.

Is there any impact to my supply of energy?

No, your supply was never and is not impacted by the cyberattack.

What have you done to contain the Cyberattack and limit its consequences?

The incident response team was immediately activated. This team composed of internal and external forensic IT experts started immediately with time-critical actions. For instance, suspicious accounts or entry points were suspended or blocked. At the same time, we involved the data protection and police authorities.

In the meanwhile, all our services have been recovered and we are again at your service/duty. As our systems have been inaccessible for days, we are actually working hard to catch up with the backlog that has been arisen. We apologize for any inconvenience caused by this cyber-attack and its consequences.

Do I have to take actions to prevent any damage/to drop the risk of a potential data abuse?

We are currently still analysing the hacked data. As a measure of prevention, we recommend  to change all access login data (credentials) that you are using in interaction with Encevo Group as soon as and insofar the respective sites/portals are accessible. Also we recommend you change your passwords for other online services if you have used the same login data there. We recommend that you use an individual secure password for each online service.

We also recommend you delete suspicious e-mails from unknown senders. Under no circumstances open links or file attachments contained in such e-mails.

As an additional measure, check your bank accounts you use in interactions with Encevo Group regularly and contact your bank immediately in case of unusual account movements.

What can I do to prevent the risk of Phishing?

Enovos or Creos services will not ask you for your passwords in writing or by phone calls.

Never give out sensitive information by phone or email.

If you receive emails, position your mouse cursor over the link without clicking. This will display the address to which the link points. If in doubt, do not click on the link and go directly to the organisation’s website via your own search.

Check the site address in your browser. Be careful, sometimes only one character changes, if this is the case you are certainly on a fraudulent site. If in doubt, do not give any information and close the page immediately.

Use different and complicated passwords for each site and application. This will prevent password theft that could compromise all your personal accounts.

Enable dual sign-on to secure your access if the site allows it.

For more information on Phishing, you can visit following sites: https://www.govcert.lu/en/phishing/ https://police.public.lu/en/prevention/arnaques.html

Has Encevo been blackmailed by the hackers, was there a ransom demand?

Immediately after the attack, we took all necessary steps in cooperation with the relevant authorities (Police, CNPD, > GovCERT, …).  The cyber criminals demanded that we pay a ransom. We did not comply with this demand, as we generally do not do business with criminals in order not to support their machinations. This is also the general advice from the competent authorities regarding such situations.

Could the criminals be identified?

We cannot give any further information on this at this time and due to the ongoing investigations.

Has any data been published in the Darknet, as threatened by the cybercriminals?

Since the attack, there has been a publication of stolen data in the so called Darknet. We are currently analyzing this data and cannot provide more detail for the time being.

What kind of data has been affected by the cyberattack and the data breach?

According to current knowledge, general master data such as surnames, first names, address data and, if stored, e-mail addresses, old national matricules and telephone numbers are affected, as well as bank details for specific customer groups. To date, we have not found any documents containing customer password data or customer credit card data.

Have my personal data been disclosed in the context of the Cyberattack?

During the attack, a number of data were exfiltrated from the computer systems or made inaccessible by the hackers. Our teams from different business units, IT and data forensic experts are still investigating and doing everything possible to further analyze the hacked data. This investigation is still ongoing and we’ll actively contact data subjects that are concerned of a data breach. Based on first results of our data analysis, we have launched the individual communication (via letter) to data subjects concerned according to article 34 GDPR. The communication is focusing on data subjects that are likely to face consequences of the breach eg. by phishing due to unauthorized disclosure of their data. The analysis is still ongoing. As long as you are not actively contacted by us, it means that there is no finding (yet) of a breach of your data.

What measures has Encevo taken to prevent such incidents for the future?

The information system of our group is protected by advanced security systems and processes complemented by a 24/7 Security Operations Center and a 24/7 access to a Computer Emergency Response Team. These measures enabled us to react quickly. Our group constantly invests in its protection measures to react to fast evolving cyber threats and be compliant with the strict provisions of the GDPR (General Data Protection Regulation) and NIS (Network Information Security directive). The attack we faced used a specifically crafted sophisticated malware that was not detectable by an antivirus. We already reinforced the monitoring of our systems, restored our servers from safe backups, increased the security of our remote access platforms and changed all passwords.


Encevo Cyberattaque

Suite à l’annonce du lundi 25 juillet dernier et conformément à nos obligations légales d’information, nous vous confirmons que les différentes entités du groupe Encevo ont été victime d’une Cyber-attaque. Lors de cette attaque, un certain nombre de données ont été exfiltrées des systèmes informatiques ou rendues inaccessibles par les pirates.

Le groupe met actuellement tout en œuvre pour analyser les données piratées. Pour l’instant, le Groupe Encevo ne dispose pas encore de toute l’information nécessaire pour informer personnellement chaque personne concernée.

Encevo a enregistré une plainte à la Police Grand-Ducale et a bien sûr notifié la CNPD (Commission Nationale pour la Protection des Données), l’ILR (Institut Luxembourgeois de Régulation) et les ministères compétents.

Communiqué de presse – Services aux clientsTélécharger
Communiqués de presse – CyberattaqueTélécharger
Communiqués de presse – Data BreachTélécharger

Foire Aux Questions (FAQ) – Situation au 14 octobre, 10:00 hrs

Y a-t-il un impact sur mon approvisionnement en énergie ?

Non, votre approvisionnement n’a jamais été et n’est pas affecté par la cyberattaque.

Qu’avez-vous fait pour contenir la cyberattaque et limiter ses conséquences ?

L’équipe de réponse aux incidents a été immédiatement activée. Cette équipe, composée d’experts en informatique internes et externes, a commencé immédiatement à prendre des mesures urgentes. Par exemple, les comptes ou les points d’entrée suspects ont été suspendus ou bloqués. Dans le même temps, nous avons impliqué les autorités de protection des données et de police.

Entre-temps, tous nos services ont été rétablis et nous sommes de nouveau à votre service. Comme nos systèmes ont été inaccessibles pendant plusieurs jours, nous travaillons actuellement intensivement pour rattraper le retard qui s’est créé. Nous nous excusons pour tout inconvénient causé par cette cyber-attaque et ses conséquences.

Dois-je prendre des mesures pour prévenir tout dommage ou pour réduire le risque d’abus potentiel de données ?

Nous sommes actuellement en train d’analyser les données piratées. Par mesure de prévention, nous vous recommandons de modifier toutes les données de connexion (identifiants) que vous utilisez dans le cadre de votre interaction avec le Groupe Encevo, dès que et dans la mesure où les sites/portails respectifs sont accessibles. Nous vous recommandons également de changer vos mots de passe pour d’autres services en ligne si vous y avez utilisé les mêmes données de connexion. Nous vous recommandons d’utiliser un mot de passe individuel sécurisé pour chaque service en ligne.

Nous vous recommandons également de supprimer les e-mails suspects provenant d’expéditeurs inconnus. N’ouvrez en aucun cas les liens ou les fichiers joints contenus dans de tels e-mails.

À titre de mesure supplémentaire, vérifiez régulièrement les comptes bancaires que vous utilisez dans le cadre de vos interactions avec le groupe Encevo et contactez immédiatement votre banque en cas de mouvements de compte inhabituels.

Quelles sont les consignes et bonnes pratiques pour éviter les fraudes de Phishing ?

Les services Enovos ou Creos ne vous demanderont jamais, ni par écrit ni par appel téléphonique vos mots de passe.

Ne communiquez jamais d’informations sensibles que ce soit par téléphone ou par mail.

Si vous recevez des emails, positionnez le curseur de votre souris sur le lien sans cliquer. Ainsi, l’adresse vers laquelle pointe le lien s’affiche. Si vous avez un doute, ne cliquez pas sur le lien et préférez aller directement sur le site de l’organisme via votre propre recherche.

Vérifiez l’adresse du site dans votre navigateur. Attention, parfois un seul caractère change, si c’est le cas vous êtes certainement sur un site frauduleux. Au moindre doute, ne donnez aucune information et fermez la page immédiatement.

Utilisez des mots de passe différents et compliqués pour chaque site et application. Vous éviterez ainsi le vol de mots de passe qui pourrait compromettre tous vos comptes personnels.

Activez la double identification pour sécuriser vos accès si le site le permet.

Pour plus d’informations sur le phishing, vous pouvez visiter https://www.govcert.lu/fr/phishing/ https://police.public.lu/fr/prevention/arnaques.html

Les pirates ont-ils fait du chantage à Encevo, une demande de rançon a-t-elle été formulée ?

Immédiatement après l’attaque, nous avons pris toutes les mesures nécessaires en coopération avec les autorités compétentes (Police, CNPD, > GovCERT, …).  Les cybercriminels nous ont demandé de payer une rançon. Nous n’avons pas accédé à cette demande, car nous ne faisons généralement pas affaire avec des criminels afin de ne pas soutenir leurs machinations. C’est d’ailleurs l’avis général des autorités compétentes dans ce genre de situation.

Les criminels ont-ils pu être identifiés ?

Nous ne pouvons pas donner d’autres informations à ce sujet pour le moment et en raison des enquêtes en cours.

Des données ont-elles été publiées dans le Darknet, comme le menacent les cybercriminels ?

Depuis l’attaque, il y a eu une publication de données volées dans le Darknet. Nous sommes en train d’analyser ces données et ne pouvons pas fournir plus de détails pour le moment.

Quel type de données a été touché par la cyberattaque et la violation de données ?

Selon l’état actuel des connaissances, les données de base générales telles que les noms, les prénoms, les adresses et, si elles sont stockées, les adresses électroniques, d’anciens matricules nationaux et les numéros de téléphone sont concernés, ainsi que les coordonnées bancaires de groupes de clients spécifiques. Jusqu’à présent, nous n’avons pas trouvé de documents contenant des données de mots de passe ou de cartes de crédit de clients.

Mes données personnelles ont-elles été divulguées dans le cadre de la cyberattaque ?

Pendant l’attaque, un certain nombre de données ont été exfiltrées des systèmes informatiques ou rendues inaccessibles par les pirates. Nos équipes des différentes entités, les experts en informatique et en criminalistique des données poursuivent leur enquête et font tout leur possible pour analyser plus en profondeur les données piratées. Cette enquête est toujours en cours et nous contacterons activement les personnes concernées par une violation de données. Sur la base des premiers résultats de notre analyse des données, nous avons lancé la communication individuelle (par lettre) aux personnes concernées conformément à l’article 34 du GDPR. La communication se concentre sur les personnes concernées qui sont susceptibles de subir les conséquences de la violation, par exemple par phishing, en raison de la divulgation non autorisée de leurs données. L’analyse est toujours en cours. Tant que vous n’êtes pas activement contacté par nous, cela signifie qu’il n’y a pas (encore) de constatation d’une violation de vos données.

Quelles mesures ont été prises pour prévenir de tels incidents à l’avenir ?

Le système d’information de notre groupe est protégé par des systèmes et des processus de sécurité avancés, complétés par un centre d’opérations de sécurité fonctionnant 24 heures sur 24 et 7 jours sur 7, ainsi que par l’accès à une équipe de réponse aux urgences informatiques. Ces mesures nous ont permis de réagir rapidement. Notre groupe investit constamment dans ses mesures de protection pour réagir à l’évolution rapide des cybermenaces et être en conformité avec les dispositions strictes du GDPR (règlement général sur la protection des données) et de la directive NIS (directive sur la sécurité des réseaux d’information). L’attaque à laquelle nous avons été confrontés a utilisé un logiciel malveillant sophistiqué spécifiquement conçu, qui n’était pas détectable par un antivirus. Nous avons déjà renforcé la surveillance de nos systèmes, restauré nos serveurs à partir de sauvegardes sûres, augmenté la sécurité de nos plateformes d’accès à distance et changé tous les mots de passe.