V minulih dneh je v javnosti močno odmeval kibernetski napad na Holding Slovenske elektrarne (HSE), eno od dveh največjih domačih elektroenergetskih skupin. Kot je poročal portal 24ur, je napad izpeljala hekerska skupina, povezana s tujo državo, ki je pri tem uporabila izsiljevalski virus Rhysida. Z njim je onemogočila in zaklenila dostope do podatkov, od HSE pa za odklepanje zahtevala izplačilo odkupnine v digitalni valuti bitcoin.
Toda v tednih pred tem je bil tarča zelo podobnega napada vsaj še en velik poslovni subjekt iz Slovenije. Gre za holding Emil Frey, ki pri nas združuje podjetja Autocommerce, Avto Triglav, AC-Mobil, Citroën Slovenija in Peugeot Slovenija. Pod svojim okriljem ima 12 uveljavljenih avtomobilskih znamk. Tudi v tem primeru je šlo za izsiljevalski virus, napadalci pa so se očitno odločili, da bodo del pridobljenih podatkov ponudili najboljšemu ponudniku.
Po naših zanesljivih informacijah se je namreč večja količina podatkov iz Slovenije, ki so jo hekerji pridobili pri napadu na Emil Frey, minuli mesec znašla na "temnem spletu" (dark net v angl.).
Kibernetski napadi v Sloveniji so tema nove oddaje Studia necenzurirano. Vabljeni k ogledu na Aktual TV in necenzurirano.si.
Preberite še:
Snežičev SMS: "Planet TV je že JJ rešil. Moramo še Pop TV."
Ukradeni podatki prišli na "temni splet"
To omrežje, do katerega je moč dostopati s pomočjo posebnih računalniških programov, se pogosto uporablja za spletna kriminalna dejanja, deljenje datotek in prodajo prepovedanih predmetov na črno. Za svoje delovanje uporablja nestandardne spletne protokole, zato je identiteta uporabnikov zelo dobro skrita.
Kot smo neuradno izvedeli, so se na "temnem spletu" znašli podatki podjetja Autocommerce, ki ima v Sloveniji zastopstvo za blagovno znamko mercedes. Hkrati je eden večjih dobaviteljev za ministrstvo za obrambo, s katerim je v zadnjem desetletju opravil za 15 milijonov evrov poslov. Med večjimi javnimi partnerji podjetja Autocommerce so še državna Družba za avtoceste (Dars), Mestna občina Ljubljana (MOL), Ljubljanski potniški prometa (LPP), ministrstvo za notranje zadeve ... Vsi ti so podjetju oddali oddali posle rednega vzdrževanja, servisiranja vozil in dobave nadomestnih delov.
V skupini Emil Frey so danes potrdili, da so bili žrtev napada z izsiljevalskim virusom. "Vdor je bil uradno prijavljen na SI-CERT in Informacijskemu pooblaščencu. Bili smo tudi v kontaktu s policijo, vendar uradne prijave nismo podali," so pojasnili. Vedo, da se je del podatkov, pridobljenih z vdorom, znašel na "temnem spletu"? "Smo seznanjeni in zadevo spremljamo," so dejali, a poudarili, da gre le za "slike vezane na servis, nadomestne dele in poškodbe na vozilih, ki pa niso občutljive narave.".
Preberite še:
Napad na civilno zaščito: hekerji so imeli prosto pot
Za napadom nova hekerska skupina
Gre sicer za več gigabajtov podatkov, ki jih je uporabnikom "temnega spleta" ponudila hekerska skupina za izsiljevalskim virusom Akira. Ta deluje od marca letos, že zdaj pa velja za eno od najbolj uspešnih.
Za to je zaslužna uporaba taktike tako imenovanega dvojnega izsiljevanja, pri kateri izsilijo podatke iz okolja žrtve, zašifrirajo sisteme in nato žrtev izsiljujejo z javnim razkritjem ukradenih podatkov, če ta ne bo plačala zahtevane odkupnine. Če te žrtev ne plača, njene ukradene podatke objavijo ali ponudijo drugim kupcem na "temnem spletu". Vrednosti zahtevanih odkupnin znašajo od 200 tisoč do štirih milijonov ameriških dolarjev.
Največ napadov z virusom Akira so zasledili v Franciji, sledijo ZDA, Kanada, Turčija in Mehika. Septembra letos je ameriško ministrstvo za zdravje javno posvarilo tamkajšnje bolnišnice in druge zdravstvene ustanove pred napadi virusov Akira.
Ta skupina naj bi bila povezana z zdaj že propadlo skupino Conti, ene najbolj razvpitih v novejši zgodovini. Ti naj bi bili "potomec" še ene uspešne izsiljevalske skupine Ryuk. Obe, tako Conti kot Ryuk, naj bi izvirali iz Rusije oziroma držav nekdanje Sovjetske zveze in naj bi večinoma prenehali z delovanjem.
Preberite še:
Kitajski hekerji že pod Logarjem brali zaupne depeše MZZ
Tarča napada že drugič v dveh letih
Skupina Emil Frey ni bila prvič tarča hekerskega napada. Nazadnje se jim je to zgodilo januarja lani. Takrat je bil švicarski prodajalec avtomobilov žrtev izsiljevalske skupine Hive. Ta naj bi od 1500 žrtev v več kot 80 državah izsilila več kot 100 milijonov dolarjev. Njene kriminalne posle so januarja letos zaustavili ameriško-nemški preiskovalci, ki so ji zasegli strežnike in s tem onemogočili nadaljnje delovanje.
Kot že omenjeno, ne gre za isto skupino, ki je izvedla napad na HSE. Tam so namreč napadalci uporabili izsiljevalski virus Rhysida, s katerim so uspeli onemogočiti dostop do podatkov. To programsko opremo je skupina, ki prav tako deluje šele od letošnjega leta, uporabila tudi v napadih na več državnih institucij v Južni Ameriki.
Junija je skupina RaaS (The Rhysida ransomware-as-a-service) javno objavila dokumente, ki jih je ukradla s strežnikov čilskih oboroženih sil. Napadla pa je tudi tovarne, izobraževalne in druge javne ustanove v Evropi, Severni Ameriki in Avstraliji.
