Хакер, стоящий за кибератакой на АО Latvijas valsts meži, также получил несанкционированный доступ к серверу фармацевтической компании Olpha. Об этом сообщили в латвийском центре реагирования на киберинциденты CERT.LV.
Как пояснили в CERT.LV, связь с Olpha была установлена во время анализа инцидента с Latvijas valsts meži. Специалисты выяснили, что один и тот же злоумышленник причастен к обоим случаям. При этом технически атаки не связаны между собой и произошли независимо друг от друга.
CERT.LV начало расследование этого инцидента. По предварительным данным, злоумышленник получил доступ как минимум к одной информационной системе компании — ее серверу. Данные на нем не были зашифрованы, однако специалисты обнаружили удаление журналов событий, которые могли содержать следы действий атакующего.
Сейчас Olpha локализовала инцидент. По имеющейся информации, пострадал только один сервер, а дополнительных последствий компания пока не выявила. Анализ происшествия продолжается совместно со специалистами CERT.LV.
По данным мониторинга киберпространства, иностранная финансово мотивированная группировка, использующая программы-вымогатели, продолжает активно действовать в Латвии. В CERT.LV отмечают, что злоумышленники целенаправленно ищут новые уязвимости в инфраструктуре госучреждений и частных организаций.
Чтобы помочь организациям быстрее выявлять возможные угрозы, CERT.LV опубликовал сетевые индикаторы инфраструктуры злоумышленников, обнаруженные в ходе расследования атаки на Latvijas valsts meži. При необходимости эта информация будет дополняться.
CERT.LV призывает организации использовать опубликованные индикаторы для мониторинга своих сетей. Особенно это касается субъектов Закона о национальной кибербезопасности и владельцев объектов критической инфраструктуры, которые пока не пользуются услугами CERT.LV.
Кроме того, после инцидента с Latvijas valsts meži специалисты CERT.LV подготовили рекомендации по повышению устойчивости ИТ-инфраструктуры к кибератакам. Они предназначены для государственных учреждений и организаций, которые хотят снизить риски атак, быстрее выявлять угрозы и эффективнее реагировать на них.
Сетевые индикаторы инфраструктуры злоумышленников и рекомендации CERT.LV доступны на сайте организации.
Ранее CERT.LV сообщал, что злоумышленники уже опубликовали 44 гигабайта данных, похищенных в результате атаки на Latvijas valsts meži. По оценке специалистов, общий объем украденной информации может быть значительно больше.
Основную часть утечки составляют внутренние документы компании, электронная переписка и вложения, репозиторий исходного кода ИТ-проектов LVM, сертификаты и криптографические ключи различных систем, а также пользовательские пароли и их хэшированные значения.
Анализируя опубликованные данные, CERT.LV выявляет возможные риски для третьих лиц и оперативно уведомляет их о необходимости сменить учетные данные и принять другие защитные меры. Также специалисты последовательно идентифицируют обнаруженные в утечке сертификаты и криптографические ключи, после чего организуется их замена.
В CERT.LV подчеркивают: при восстановлении после подобных инцидентов нужно исходить из того, что все данные доступа и аутентификации в затронутой инфраструктуре должны быть заменены.