Holding Slovenske Elektrarne (HSE), der größte Energieversorger Sloweniens, wurde Opfer eines Ransomware-Angriffs, bei dem Systeme kompromittiert und Dateien verschlüsselt wurden. Die Stromproduktion wurde dadurch jedoch nicht beeinträchtigt.
HSE, gegründet 2001 und staatlich betrieben, ist für rund 60% der inländischen Stromerzeugung verantwortlich und gilt als kritische Infrastruktur Sloweniens. Das Unternehmen betreibt mehrere Wasserkraft-, Thermalkraft- und Solaranlagen sowie Kohlebergwerke und besitzt Tochtergesellschaften in Italien, Serbien und Ungarn.
Wie der lokale Nachrichtendienst 24ur.com berichtete, erlitt HSE letzten Mittwoch den Ransomware-Angriff, konnte ihn jedoch bis Freitag, den 24. November, eindämmen. Uroš Svete, Direktor des Informationssicherheitsbüros, erklärte, dass alle Energieerzeugungsoperationen von dem großangelegten Cyberangriff unberührt blieben. IT-Systeme und Dateien wurden jedoch durch den „Krypto-Virus“ „gesperrt“.
Die Organisation informierte sofort das Nationale Büro für Cyber-Vorfälle bei Si-CERT und die Polizeiverwaltung Ljubljana und arbeitete mit externen Experten zusammen, um den Angriff zu mildern und eine Ausbreitung des Virus auf andere Systeme in Slowenien zu verhindern.
Bisher hat die Organisation keine Lösegeldforderung erhalten, es könnte jedoch noch zu früh dafür sein, daher bleibt sie in erhöhter Alarmbereitschaft, während die Systembereinigung noch andauert.
Heute versicherte Uroš Svete gemeinsam mit dem Generaldirektor von HSE, Tomaž Štokelj, der Öffentlichkeit, dass die Situation unter Kontrolle sei und durch diesen Vorfall keine betrieblichen Störungen oder bedeutende wirtschaftliche Schäden zu erwarten seien.
Die Beeinträchtigung sei auf die Webseiten der Šoštanj Thermal Power Plants und des Velenje Kohlebergwerks beschränkt.
Angriff der Rhysida-Gruppe vermutet Inoffiziellen Informationen zufolge wird der Angriff der Rhysida-Ransomware-Gang zugeschrieben, die kürzlich aktiv war und zu der das FBI und die CISA eine Warnung herausgegeben haben.
Sollte Rhysida hinter dem Angriff stecken, würde dies erklären, warum HSE angibt, keine Lösegeldforderung erhalten zu haben, da Rhysida in ihren Lösegeldnotizen lediglich eine E-Mail-Adresse zur Kontaktaufnahme mit den Bedrohungsakteuren enthält, ohne konkrete Geldforderungen zu stellen.
Berichten zufolge gelangten die Ransomware-Betreiber durch den Diebstahl von Passwörtern für HSE-Systeme aus einem ungeschützten Cloud-Speicher in die HSE-Netzwerke.
Rhysida startete im Mai 2023 und zielte schnell auf Organisationen in hochkarätigen Angriffen ab, darunter die chilenische Armee, Prospect Medical und die British Library.
Die Angriffe der Bedrohungsakteure auf das Gesundheitswesen veranlassten das US-amerikanische Gesundheitsministerium (HHS), eine Warnung vor der Ransomware-Bande herauszugeben. Kürzlich listete Rhysida einen chinesischen, staatseigenen Stromkonzern auf seiner Datenleak-Website und versteigerte angeblich gestohlene Daten für 50 BTC (1.840.000 US-Dollar).