Главное

Киберпреступник, атаковавший LVM, также взломал сервер производителя лекарств Olpha, выяснили в Cert.lv

Киберпреступник, атаковавший LVM, также взломал сервер производителя лекарств Olpha, выяснили в Cert.lv

В Латвии

Rus.Delfi.lv

Киберпреступник, атаковавший AS Latvijas valsts meži (LVM), также взломал сервер производителя лекарств AS Olpha, сообщили в учреждении по предотвращению киберинцидентов Cert.lv .

В учреждении отметили, что в ходе анализа инцидента с LVM было установлено, что злоумышленник также скомпрометировал сервер Olpha. Cert.lv подчеркивает, что за этот инцидент в сфере кибербезопасности отвечает тот же злоумышленник, что и в случае LVM, однако оба инцидента технически не связаны и произошли независимо друг от друга.

Cert.lv начало проверку произошедшего, в ходе которой был установлен несанкционированный доступ как минимум к одной информационной системе Olpha — серверу, данные которого не были зашифрованы. Также было установлено удаление файлов журналов, содержащих доказательства.

Сейчас Olpha локализовала инцидент. Затронут только один сервер, и пока компания не выявила какого-либо дополнительного ущерба в результате инцидента. Анализ инцидента совместно с компанией продолжается, отмечает Cert.lv.

Собранные Cert.lv данные мониторинга киберпространства свидетельствуют, что ответственная за атаку иностранная финансово мотивированная группировка, использующая программы-вымогатели, или ransomware, продолжает активность в киберпространстве Латвии.

В учреждении отмечают, что группировка целенаправленно ищет новые потенциальные уязвимости в инфраструктуре организаций государственного и частного секторов.

Чтобы помочь организациям своевременно выявлять возможные угрозы, Cert.lv опубликовало выявленные в ходе инцидента с LVM сетевые индикаторы инфраструктуры злоумышленника. Информация об индикаторах атаки может быть дополнена.

Cert.lv призывает организации использовать их для мониторинга своих сетей, особенно субъектов Закона о национальной кибербезопасности и владельцев критической инфраструктуры, которые пока не пользуются услугами Cert.lv.

Одновременно в контексте киберинцидента LVM Cert.lv также подготовило и опубликовало рекомендации по укреплению устойчивости инфраструктуры к киберугрозам. Их цель — помочь учреждениям и организациям снизить риски кибератак и повысить способность своевременно выявлять и предотвращать угрозы.

Сетевые индикаторы инфраструктуры злоумышленника и подготовленные Cert.lv рекомендации доступны на сайте Cert.lv.

Ранее Cert.lv сообщило агентству LETA, что к настоящему моменту злоумышленник опубликовал 44 гигабайта данных, полученных в результате кибератаки на LVM, однако объем потенциально похищенных данных, скорее всего, больше.

В учреждении отметили, что большую часть утечки составляют внутренние документы, электронная переписка и вложения, репозиторий кода бизнес-проектов LVM в сфере IT, сертификаты и ключи различных систем, а также пароли пользователей и хеш-значения пользовательских паролей.

Анализируя опубликованные данные, Cert.lv собирает информацию о потенциальных угрозах третьим сторонам, которых незамедлительно информируют о необходимости сменить данные аутентификации и принять другие превентивные меры. Кроме того, все обнаруженные в утечке сертификаты и ключи систематически выявляются, организуется процесс их обновления, пояснили в Cert.lv.

В учреждении подчеркнули, что в процессе восстановления после подобных инцидентов необходимо исходить из того, что все данные доступа и аутентификации затронутой инфраструктуры подлежат обязательной замене.

Cert.lv также отметило, что, учитывая вероятность того, что утечка могла затронуть персональные данные, компания обратилась и в Государственную инспекцию данных (DVI).

Ранее LVM сообщило, что любая возможная утечка данных в результате кибератаки на IT-системы LVM была прекращена 22 июня в 8.30, когда компания последовательно отключила всю свою IT-инфраструктуру.

Как пояснили в компании, о произошедшей кибератаке было проинформировано Cert.lv. С учетом рекомендаций Cert.lv доступ IT-инфраструктуры LVM к интернету был полностью заблокирован. Эти меры были приняты в то же утро, 22 июня, до 10.15.

После остановки кибератаки IT-специалисты LVM работают в чрезвычайном режиме, чтобы восстановить работу всех IT-систем. С момента обнаружения атаки при тесном сотрудничестве с Cert.lv новых случаев утечки данных не выявлено, отмечает LVM.

Как сообщалось, кибератака на IT-инфраструктуру LVM была обнаружена 22 июня. После атаки из соображений безопасности были отключены и недоступны внешние информационно-технологические системы, обслуживаемые LVM, — LVM GEO, система картографических услуг, а также приложение для охоты Mednis. Были отключены и несколько внутренних систем LVM, обеспечивающих обмен информацией компании с поставщиками услуг и клиентами LVM.

Ответственность за кибератаку на LVM взяла на себя иностранная группировка, использующая программы-вымогатели, или ransomware. В связи с инцидентом Государственная полиция начала уголовный процесс, а к выяснению обстоятельств киберинцидента также подключилось Cert.lv.

Эксперт по кибербезопасности Элвис Страздиньш ранее публично сообщил, что связался с человеком или группировкой, взявшими на себя ответственность за атаку на LVM, и выяснил возможный размер выкупа. По его информации, за расшифровку данных злоумышленники хотели получить 0,1% годовых доходов компании, или более 600 000 евро.

LETA уже сообщало, что оборот концерна Olpha (ранее Olainfarm) в 2024 году составил 126,874 млн евро, что на 2,9% меньше, чем годом ранее, а прибыль концерна сократилась на 28% — до 38,648 млн евро. Финансовые результаты концерна за 2025 год пока не опубликованы.

Между тем сама Olpha в 2024 году работала с оборотом 100,782 млн евро, что на 10,6% меньше, чем в 2023 году, а прибыль компании сократилась на 41% — до 30,636 млн евро.

Olpha занимается производством готовых лекарственных форм, фармацевтических препаратов и пищевых добавок, а также химических веществ и активных фармацевтических ингредиентов. Olpha зарегистрирована в 1991 году, ее основной капитал в настоящее время составляет 3 000 004 евро. Владельцем компании является материнская компания группы AS Repharm — AS AB City. Истинными выгодоприобретателями AB City являются Сергей Корниенко, Андрей Лейбович, Елена Никитина и Роберт Тавьев.

Читайте Delfi в Facebook , Instagram и Telegram !

Вы могли пропустить