Encevo Cyberattack

See the French version below

Following the announcement of Monday, July 25 and in accordance with our legal information obligations, we confirm that the various entities of the Encevo Group have been the victim of a Cyber-attack. During this attack, a number of data were exfiltrated from computer systems or made inaccessible by hackers. 

The group is currently making every effort to analyze the hacked data. For the moment, the Encevo Group does not yet have all the information necessary to personally inform each person concerned. Encevo registered a complaint with the Police of the Grand Duchy and of course notified the CNPD (National Commission for Data Protection), the ILR (Luxembourg Institute of Regulation) and the competent ministries.

Press Release – Services aux clientsDownload
Press Release – Cyber AttackDownload
Press Release – Data BreachDownload

Frequently Asked Questions (FAQ) – Status 8th August 5:00 p.m.

Is there any impact to my supply of energy?

No, your supply was never and is not impacted by the cyberattack.

What have you done to contain the Cyberattack and limit its consequences?

The incident response team was immediately activated. This team composed of internal and external forensic IT experts started immediately with time-critical actions. For instance, suspicious accounts or entry points were suspended or blocked. At the same time, we involved the data protection and police authorities.

Our teams are working hard to restore our systems and data, that was temporarily inaccessible. We are confident that our service will be back to normal in the coming days.

Do I have to take actions to prevent any damage/to drop the risk of a potential data abuse?

We are currently still analysing the hacked data. As a measure of prevention, we recommend  to change all access login data (credentials) that you are using in interaction with Encevo Group as soon as and insofar the respective sites/portals are accessible. Also we recommend you change your passwords for other online services if you have used the same login data there. We recommend that you use an individual secure password for each online service.

We also recommend you delete suspicious e-mails from unknown senders. Under no circumstances open links or file attachments contained in such e-mails.

As an additional measure, check your bank accounts you use in interactions with Encevo Group regularly and contact your bank immediately in case of unusual account movements.

Has Encevo been blackmailed by the hackers, was there a ransom demand?

Immediately after the attack, we took all necessary steps in cooperation with the relevant authorities (Police, CNPD, > GovCERT, …).  The cyber criminals demanded that we pay a ransom. We did not comply with this demand, as we generally do not do business with criminals in order not to support their machinations. This is also the general advice from the competent authorities regarding such situations.

Could the criminals be identified?

We cannot give any further information on this at this time and due to the ongoing investigations.

Has any data been published in the Darknet, as threatened by the cybercriminals?

Since the attack, there has been a publication of stolen data in the so called Darknet. We are currently analyzing this data and cannot provide more detail for the time being.

What kind of data has been affected by the cyberattack and the data breach?

According to current knowledge, general master data such as surnames, first names, address data and, if stored, e-mail addresses and telephone numbers are affected, as well as bank details for specific customer groups.

Have my personal data been disclosed in the context of the Cyberattack?

During the attack, a number of data were exfiltrated from the computer systems or made inaccessible by the hackers. Our teams from different business units, IT and data forensic experts are still investigating and doing everything possible to further analyze the hacked data. This investigation is still ongoing and we’ll actively contact data subjects that are concerned of a data breach. We do not yet have all the information necessary to personally inform each person potentially affected. People whose personal data is discovered are informed individually as the data is discovered.

What measures has Encevo taken to prevent such incidents for the future?

The information system of our group is protected by advanced security systems and processes complemented by a 24/7 Security Operations Center and a 24/7 access to a Computer Emergency Response Team. These measures enabled us to react quickly. Our group constantly invests in its protection measures to react to fast evolving cyber threats and be compliant with the strict provisions of the GDPR (General Data Protection Regulation) and NIS (Network Information Security directive). The attack we faced used a specifically crafted sophisticated malware that was not detectable by an antivirus. We already reinforced the monitoring of our systems, restored our servers from safe backups, increased the security of our remote access platforms and changed all passwords.


Encevo Cyberattaque

Suite à l’annonce du lundi 25 juillet dernier et conformément à nos obligations légales d’information, nous vous confirmons que les différentes entités du groupe Encevo ont été victime d’une Cyber-attaque. Lors de cette attaque, un certain nombre de données ont été exfiltrées des systèmes informatiques ou rendues inaccessibles par les pirates.

Le groupe met actuellement tout en œuvre pour analyser les données piratées. Pour l’instant, le Groupe Encevo ne dispose pas encore de toute l’information nécessaire pour informer personnellement chaque personne concernée.

Encevo a enregistré une plainte à la Police Grand-Ducale et a bien sûr notifié la CNPD (Commission Nationale pour la Protection des Données), l’ILR (Institut Luxembourgeois de Régulation) et les ministères compétents.

Communiqué de presse – Services aux clientsTélécharger
Communiqués de presse – CyberattaqueTélécharger
Communiqués de presse – Data BreachTélécharger

Foire Aux Questions (FAQ) – Situation au 8 août, 17:00 hrs

Y a-t-il un impact sur mon approvisionnement en énergie ?

Non, votre approvisionnement n’a jamais été et n’est pas affecté par la cyberattaque.

Qu’avez-vous fait pour contenir la cyberattaque et limiter ses conséquences ?

L’équipe de réponse aux incidents a été immédiatement activée. Cette équipe, composée d’experts en informatique internes et externes, a commencé immédiatement à prendre des mesures urgentes. Par exemple, les comptes ou les points d’entrée suspects ont été suspendus ou bloqués. Dans le même temps, nous avons impliqué les autorités de protection des données et de police.

Nos équipes travaillent dur pour restaurer nos systèmes et nos données, qui étaient temporairement inaccessibles. Nous sommes confiants dans le fait que notre service sera de retour à la normale dans les prochains jours.

Dois-je prendre des mesures pour prévenir tout dommage ou pour réduire le risque d’abus potentiel de données ?

Nous sommes actuellement en train d’analyser les données piratées. Par mesure de prévention, nous vous recommandons de modifier toutes les données de connexion (identifiants) que vous utilisez dans le cadre de votre interaction avec le Groupe Encevo, dès que et dans la mesure où les sites/portails respectifs sont accessibles. Nous vous recommandons également de changer vos mots de passe pour d’autres services en ligne si vous y avez utilisé les mêmes données de connexion. Nous vous recommandons d’utiliser un mot de passe individuel sécurisé pour chaque service en ligne.

Nous vous recommandons également de supprimer les e-mails suspects provenant d’expéditeurs inconnus. N’ouvrez en aucun cas les liens ou les fichiers joints contenus dans de tels e-mails.

À titre de mesure supplémentaire, vérifiez régulièrement les comptes bancaires que vous utilisez dans le cadre de vos interactions avec le groupe Encevo et contactez immédiatement votre banque en cas de mouvements de compte inhabituels.

Les pirates ont-ils fait du chantage à Encevo, une demande de rançon a-t-elle été formulée ?

Immédiatement après l’attaque, nous avons pris toutes les mesures nécessaires en coopération avec les autorités compétentes (Police, CNPD, > GovCERT, …).  Les cybercriminels nous ont demandé de payer une rançon. Nous n’avons pas accédé à cette demande, car nous ne faisons généralement pas affaire avec des criminels afin de ne pas soutenir leurs machinations. C’est d’ailleurs l’avis général des autorités compétentes dans ce genre de situation.

Les criminels ont-ils pu être identifiés ?

Nous ne pouvons pas donner d’autres informations à ce sujet pour le moment et en raison des enquêtes en cours.

Des données ont-elles été publiées dans le Darknet, comme le menacent les cybercriminels ?

Depuis l’attaque, il y a eu une publication de données volées dans le Darknet. Nous sommes en train d’analyser ces données et ne pouvons pas fournir plus de détails pour le moment.

Quel type de données a été touché par la cyberattaque et la violation de données ?

Selon l’état actuel des connaissances, les données de base générales telles que les noms, les prénoms, les adresses et, si elles sont stockées, les adresses électroniques et les numéros de téléphone sont concernées, ainsi que les coordonnées bancaires de groupes de clients spécifiques.

Mes données personnelles ont-elles été divulguées dans le cadre de la cyberattaque ?

Pendant l’attaque, un certain nombre de données ont été exfiltrées des systèmes informatiques ou rendues inaccessibles par les pirates. Nos équipes des différentes entités, les experts en informatique et en criminalistique des données poursuivent leur enquête et font tout leur possible pour analyser plus en profondeur les données piratées. Cette enquête est toujours en cours et nous contacterons activement les personnes concernées par une violation de données. Nous ne disposons pas encore de toutes les informations nécessaires pour informer personnellement chaque personne potentiellement concernée. Les personnes dont les données personnelles sont découvertes sont informées individuellement au fur et à mesure de la découverte des données.  

Quelles mesures ont été prises pour prévenir de tels incidents à l’avenir ?

Le système d’information de notre groupe est protégé par des systèmes et des processus de sécurité avancés, complétés par un centre d’opérations de sécurité fonctionnant 24 heures sur 24 et 7 jours sur 7, ainsi que par l’accès à une équipe de réponse aux urgences informatiques. Ces mesures nous ont permis de réagir rapidement. Notre groupe investit constamment dans ses mesures de protection pour réagir à l’évolution rapide des cybermenaces et être en conformité avec les dispositions strictes du GDPR (règlement général sur la protection des données) et de la directive NIS (directive sur la sécurité des réseaux d’information). L’attaque à laquelle nous avons été confrontés a utilisé un logiciel malveillant sophistiqué spécifiquement conçu, qui n’était pas détectable par un antivirus. Nous avons déjà renforcé la surveillance de nos systèmes, restauré nos serveurs à partir de sauvegardes sûres, augmenté la sécurité de nos plateformes d’accès à distance et changé tous les mots de passe.