Sloven enerji şirketi Holding Slovenske Elektrarne (HSE), sistemlerini ve şifrelenmiş dosyalarını tehlikeye atan bir fidye yazılımı saldırısına maruz kaldı, ancak şirket, olayın elektrik enerjisi üretimini kesintiye uğratmadığını söyledi.
HSE, Slovenya’nın en büyük enerji üretim şirketi olup yerli üretimin yaklaşık %60’ını karşılamaktadır ve ülkede kritik altyapı olarak kabul edilmektedir.
2001 yılında Slovenya Hükümeti tarafından kurulan ve mülkiyeti devlete ait olan firmanın, ülke çapında çok sayıda hidroelektrik, termik ve güneş enerjisi santralinin yanı sıra kömür madenleri işletmesinin yanı sıra İtalya, Sırbistan ve Macaristan’da da yan kuruluşları bulunuyor.
İlk olarak yerel haber kaynağı 24ur.com’un Cumartesi günü bildirdiği gibi, HSE geçen Çarşamba günü bir fidye yazılımı saldırısına maruz kaldı ve şirket bunu nihayet 24 Kasım Cuma günü kontrol altına aldı.
Bilgi Güvenliği Ofisi Direktörü Uroš Svete medyaya, tüm enerji üretim operasyonlarının büyük ölçekli siber saldırıdan etkilenmediğini söyledi. Yine de BT sistemleri ve dosyaları “kripto virüsü” tarafından “kilitlendi”.
Kuruluş, Si-CERT’teki Ulusal Siber Olaylar Ofisi’ni ve Ljubljana Polis İdaresi’ni derhal bilgilendirdi ve saldırıyı hafifletmek ve virüsün Slovenya’daki diğer sistemlere yayılmasını önlemek için dış uzmanlarla iletişime geçti.
Kuruluş şu ana kadar herhangi bir fidye talebi almadı ancak bunun için henüz çok erken olabileceğini, dolayısıyla sistem temizliği halen devam ettiği için yüksek alarm durumunda olduklarını belirtti.
Bugün Uroš Svete, HSE Genel Müdürü Tomaž Štokelj ile ortak bir açıklama yayınlayarak, durumun kontrol altında olduğu ve bu olay nedeniyle herhangi bir operasyonel aksama veya önemli bir ekonomik zarar beklenmediği konusunda kamuoyuna güvence verdi.
Sözcülere göre değer kaybı Šoštanj Termik Santralleri ve Velenje Kömür Madeni’nin web siteleriyle sınırlı.
Parmak Rhysida’yı işaret etti
Yerel medyayla paylaşılan resmi olmayan bilgiler, saldırının son zamanlarda aktif olan Rhysida fidye yazılımı çetesine atfedilmesi, FBI ve CISA’nın grubun TTP’lerini (Teknikler, Taktikler ve Prosedürler) vurgulayan bir uyarı yayınlamasına neden oldu.
Saldırının arkasında Rhysida varsa, bu aynı zamanda HSE’nin neden fidye talebi almadığını belirttiğini de açıklayacaktır, çünkü Rhysida fidye notları herhangi bir parasal talep belirtmeden yalnızca tehdit aktörleriyle iletişim kurmak için bir e-posta adresi içermektedir.
Bildirildiğine göre fidye yazılımı operatörleri, korumasız bir bulut depolama örneğinden HSE sistemlerine ait şifreleri çalarak HSE’yi ihlal etti.
BleepingComputer bu bilgiyi doğrulayamadı ve iddialarla ilgili açıklama yapmak için HSE ile temasa geçti, biz de hâlâ yanıt bekliyoruz.
Rhysida ilk olarak Mayıs 2023’te başlatıldı ve aralarında Şili Ordusu, Prospect Medical ve Britanya Kütüphanesi’nin de bulunduğu yüksek profilli saldırılarla kuruluşları hızla hedef aldı.
Tehdit aktörlerinin sağlık hizmetlerine yönelik saldırıları, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın (HHS) fidye yazılımı çetesi hakkında tavsiye niteliğinde bir uyarı yayınlamasına neden oldu.
Daha yakın zamanda Rhysida, veri sızıntısı sitesinde Çin devletine ait bir elektrik enerjisi holdingini listeledi ve çalındığı iddia edilen verileri 50 BTC (1.840.000 $) karşılığında açık artırmaya çıkardı.