Kraja podatkov za odkupnino

Ne samo HSE, obsežneje jo je skupil še en domači poslovni subjekt

Primož Cirman in Tomaž Modic
6. 12. 2023, 17.15
Deli članek:

Kako so se podatki enega največjih dobaviteljev vozil v Sloveniji znašli na »temnem spletu«? In kdo so hekerji, ki stojijo za napadom?

Profimedia
Žrtev hekerskega napada je bil tudi eden največjih prodajalcev vozil v Sloveniji, ki ima veliko poslov z državo.

V minulih dneh je v javnosti močno odmeval kibernetski napad na Holding Slovenske elektrarne (HSE), eno od dveh največjih domačih elektroenergetskih skupin. Kot je poročal portal 24ur, je napad izpeljala hekerska skupina, povezana s tujo državo, ki je pri tem uporabila izsiljevalski virus Rhysida. Z njim je onemogočila in zaklenila dostope do podatkov, od HSE pa za odklepanje zahtevala izplačilo odkupnine v digitalni valuti bitcoin.

Toda v tednih pred tem je bil tarča zelo podobnega napada vsaj še en velik poslovni subjekt iz Slovenije. Gre za holding Emil Frey, ki pri nas združuje podjetja Autocommerce, Avto Triglav, AC-Mobil, Citroën Slovenija in Peugeot Slovenija. Pod svojim okriljem ima 12 uveljavljenih avtomobilskih znamk. Tudi v tem primeru je šlo za izsiljevalski virus, napadalci pa so se očitno odločili, da bodo del pridobljenih podatkov ponudili najboljšemu ponudniku. Po naših zanesljivih informacijah se je namreč večja količina podatkov iz Slovenije, ki so jo hekerji pridobili pri napadu na Emil Frey, minuli mesec znašla na »temnem spletu« (darknet v angl.).

Ukradeni podatki prišli na »temni splet«

Gre za omrežje, do katerega je mogoče dostopati s pomočjo posebnih računalniških programov in se pogosto uporablja za spletna kriminalna dejanja, deljenje datotek in prodajo prepovedanih predmetov na črno. Za svoje delovanje uporablja nestandardne spletne protokole, zato je identiteta uporabnikov zelo dobro skrita.

Kot smo neuradno izvedeli, so se na »temnem spletu« znašli podatki podjetja Autocommerce, ki ima v Sloveniji zastopstvo za blagovno znamko Mercedes. Hkrati je eden večjih dobaviteljev za ministrstvo za obrambo, s katerim je v zadnjem desetletju opravil za 15 milijonov evrov poslov. Med večjimi javnimi partnerji podjetja Autocommerce so še državna Družba za avtoceste v RS (Dars), Mestna občina Ljubljana (MOL), Ljubljanski potniški promet (LPP), ministrstvo za notranje zadeve ...

Vsi ti so podjetju oddali posle rednega vzdrževanja, servisiranja vozil in dobave nadomestnih delov. Na vprašanje, ali so seznanjeni, da se je del podatkov, pridobljenih z vdorom, znašel na »temnem spletu«, iz skupine Emil Frey nismo dobili odgovora. Potrdili so le, da so bili tarča napada.

Že pred tedni so medijem pojasnili, da so jim napadalci z zlonamerno programsko opremo preprečili dostop do njihovega informacijskega sistema, a da ga nameravajo povrniti v prvotno stanje, kot je bilo pred napadom. Dodali so, da ne beležijo kraje podatkov. Zdaj se je izkazalo drugače.

necenzurirano.si
Slika prikazuje seznam »ukradenih« podatkov. Poleg slovenskega podjetja Autocommerce so žrtev številna tuja podjetja.

Za napadom nova hekerska skupina

Gre sicer za več gigabajtov podatkov, ki jih je uporabnikom »temnega spleta« ponudila hekerska skupina za izsiljevalskim virusom Akira. Ta deluje od marca letos, že zdaj pa velja za eno najuspešnejših.

Za to je zaslužna uporaba taktike tako imenovanega dvojnega izsiljevanja, pri kateri izsilijo podatke iz okolja žrtve, zašifrirajo sisteme in nato žrtev izsiljujejo z javnim razkritjem ukradenih podatkov, če ta ne bo plačala zahtevane odkupnine. Če žrtev te ne plača, njene ukradene podatke objavijo ali ponudijo drugim kupcem na »temnem spletu«. Vrednosti zahtevanih odkupnin so od 200 tisoč do štirih milijonov ameriških dolarjev.

Največ napadov z virusom Akira so zasledili v Franciji, sledijo ZDA, Kanada, Turčija in Mehika. Septembra letos je ameriško ministrstvo za zdravje javno posvarilo tamkajšnje bolnišnice in druge zdravstvene ustanove pred napadi virusov Akira.

Ta skupina naj bi bila povezana z zdaj že propadlo skupino Conti, eno najbolj razvpitih v novejši zgodovini. Ti naj bi bili »potomec« še ene uspešne izsiljevalske skupine, Ryuk. Obe, tako Conti kot Ryuk, naj bi izvirali iz Rusije oziroma držav nekdanje Sovjetske zveze in naj bi večinoma prenehali delovati.

Primož Lavre
Autocommerce je eden največjih dobaviteljev ministrstva za obrambo. Med drugim je zadolžen za servisiranje vozil Slovenske vojske.

Tarča napada že drugič v dveh letih

Skupina Emil Frey ni bila prvič tarča hekerskega napada. Nazadnje se jim je to zgodilo januarja lani. Takrat je bil švicarski prodajalec avtomobilov žrtev izsiljevalske skupine Hive. Ta naj bi od 1500 žrtev v več kot 80 državah izsilila več kot 100 milijonov dolarjev. Njene kriminalne posle so januarja letos zaustavili ameriško-nemški preiskovalci, ki so ji zasegli strežnike in tako onemogočili nadaljnje delovanje.

Kot že omenjeno, ne gre za isto skupino, ki je izvedla napad na HSE. Tam so namreč napadalci uporabili izsiljevalski virus Rhysida, s katerim so uspeli onemogočiti dostop do podatkov. To programsko opremo je skupina, ki prav tako deluje šele od letošnjega leta, uporabila tudi v napadih na več državnih institucij v Južni Ameriki.

Junija je skupina RaaS (The Rhysida ransomware-as-a-service) javno objavila dokumente, ki jih je ukradla s strežnikov čilskih oboroženih sil. Napadla pa je tudi tovarne, izobraževalne in druge javne ustanove v Evropi, Severni Ameriki in Avstraliji.