Хакер, стоящий за недавней кибератакой на предприятие Latvijas valsts meži (LVM), требует более 618 тысяч евро за ключ, который позволит восстановить зашифрованные данные. Об этом сообщил эксперт по кибербезопасности Элвис Страздиньш, опубликовавший подробности инцидента на своем YouTube-канале.
По словам эксперта, злоумышленник не связывался с компанией напрямую и формально не выдвигал требования о выкупе, однако на других площадках, где он рассказал о проведенной атаке, хакер оставил свои контакты и предложил связаться с ним для получения ключа дешифрования.
Страздиньш сообщил, что лично общался с хакером. Тот заявил, что хочет получить 0,1% от годовой выручки LVM. Согласно годовому отчету компании за 2025 год, ее доход составил 618,6 млн евро, поэтому сумма «выкупа» составляет 618 600 евро.
При этом в LVM ранее заявили, что не намерены платить никаких выкупов ни при каких обстоятельствах. В компании также утверждают, что для всех файлов, хранящихся в IT-системах, существуют резервные копии.
Ранее учреждение по предотвращению киберинцидентов Cert.lv сообщило, что ответственность за атаку взяла на себя зарубежная группировка, использующая вирусы-вымогатели (ransomware). Подобные атаки эта группа уже совершала против компаний и госучреждений в разных странах.
По словам Страздиньша, злоумышленник воспользовался сразу несколькими уязвимостями в устаревшем программном обеспечении.
Первоначальное проникновение произошло через систему LVM GEO, где использовалась версия программы, с уязвимостью, о которой было известно еще два года назад. Затем были задействованы и другие слабые места, одна из них существовала еще с 2019 года, что свидетельствует о многолетнем отсутствии необходимых обновлений.
Эксперт также утверждает, что атакующий установил на серверы вредоносное программное обеспечение. По информации Латвийского телевидения, ему удалось не только зашифровать данные, но и уничтожить резервные копии.
Страздиньш отметил, что хакер открыто публикует инструкции, предлагая связаться с ним через мессенджер Signal и другие каналы связи для получения ключа расшифровки. По мнению эксперта, основной мотив злоумышленника — финансовая выгода. При этом нельзя исключать, что похищенные данные могут быть предложены для продажи третьим лицам, в том числе государствам, недружественным Латвии.
Тем временем IT-служба LVM постепенно восстанавливает работу внутренних систем. Как сообщил директор по IT-инфраструктуре и развитию компании Марис Кузминс, часть сервисов вновь доступна сотрудникам. Следующим этапом станет восстановление систем, используемых партнерами и клиентами, а также запуск приложений LVM GEO и Mednis.
Напомним, после обнаружения кибератаки компания отключила все внешние информационные системы, включая картографический сервис LVM GEO, приложение для охотников Mednis, а также ряд внутренних сервисов.
По факту кибератаки Госполиция возбудила уголовное дело.