斯洛文尼亞最大的電力集團公司HSE遭勒索軟件攻擊

斯洛文尼亞電力公司Holding Slovenske Elektrarne (HSE)遭受勒索軟件攻擊，其系統和加密文件遭到破壞，該事件并未影響電力生產。該事件于11月22日晚開始，并于11月25日夜間升級，并未危及生產或電力供應。HSE是斯洛文尼亞最大的發電公司，約占國內產量的60%，被認為是該國的關鍵基礎設施。該公司由斯洛文尼亞政府于2001年成立，由國家所有，在全國各地經營著幾座水力發電廠、熱能發電廠和太陽能發電廠以及煤礦，同時在意大利、塞爾維亞和匈牙利也擁有子公司。該集團還在20多個歐洲國家擔任能源貿易商，在國家和歐洲批發市場上向客戶出售其生產的電力，并在歐洲各地的各個能源交易所進行電力和衍生品及相關產品的交易。最新消息稱贖金100萬$，HSE已拒絕。

上周六（11月25日），當地新聞媒體24ur.com首先報道了HSE上周三遭受的勒索軟件攻擊，該公司最終在11月24日(周五)控制住了攻擊。

26日，國家辦公廳通報了信息安全辦公室，信息安全辦公室隨后將信息轉交給國家安全委員會秘書處業務組。總理內閣也已獲悉此事。信息安全辦公室主任烏羅什·斯維特告訴媒體，所有發電業務都沒有受到大規模網絡攻擊的影響。盡管如此，IT系統和文件還是被“加密病毒”“鎖定”了。

該組織立即通知了Si-CERT的國家網絡事件辦公室和盧布爾雅那警察局，并與外部專家合作，以減輕攻擊并防止病毒傳播到斯洛文尼亞的其他系統。

到目前為止，該組織還沒有收到贖金要求，但表示現在可能還為時過早，因此他們保持高度警惕，因為系統清理仍在進行中。

HSE于27日表示：“主要電站運營和交易系統已投入運行，與國家電網運營商的連接已恢復，整個通信和IT基礎設施將恢復平穩運行，不會產生重大負面后果，前景良好。”

27日，Uro? Svete與HSE總經理tomazov ?tokelj發表了一份聯合聲明，向公眾保證情況已得到控制，預計不會因此次事件造成運營中斷或重大經濟損失。但Uro? Svete強調指出，每次網絡攻擊都會產生巨大的財務影響。“即使攻擊者不索要贖金，一支外包 IT專業人員隊伍的成本也不菲，而且該公司沒有專注于其核心業務，而是忙于應對攻擊并尋找可能被滲透的漏洞。”

Uro? Svete和HSE總干事Dr. Toma? ?tokelj

據發言人說，受損僅限于?o?tanj熱電廠和Velenje煤礦的網站。

與當地媒體共享的非官方信息將這次攻擊歸因于Rhysida勒索軟件團伙，該團伙最近一直很活躍，促使聯邦調查局和CISA發布警告，強調該組織的TTPs(技術，戰術和程序)。

如果Rhysida是幕后主使，這也解釋了為什么HSE說他們沒有收到贖金要求，因為Rhysida的贖金記錄中只有一個聯系威脅行為者的電子郵件地址，而沒有具體說明任何金錢要求。

來源:BleepingComputer

據報道，勒索軟件運營商通過從未受保護的云存儲實例中竊取HSE系統的密碼來破壞HSE。BleepingComputer無法核實這一信息，并已聯系HSE就指控發表聲明，仍在等待回應。

另當地媒體24ur于27日的最新報道稱，HSE將密碼存儲在“云”中，攻擊者從那里收集密碼并鎖定訪問權限。根據最新的信息，此次攻擊的幕后黑手是與外國有聯系的攻擊者，并使用了Rhysida勒索軟件病毒。

Rhysida于2023年5月首次啟動，迅速瞄準了一些備受矚目的組織，包括對智利軍隊、Prospect Medical和大英圖書館的攻擊。

威脅行為者對醫療保健的攻擊促使美國衛生與公眾服務部(HHS)發布了關于勒索軟件團伙的咨詢警告。

最近，Rhysida在其數據泄露網站上列出了一家中國國有電力集團，以50比特幣(184萬美元)的價格拍賣據稱被盜的數據。

這次網絡攻擊被認為是斯洛文尼亞歷史上最嚴重的此類事件之一。除了IT和網絡安全專家之外，國家情報機構SOVA以及國防部的安全和情報部門也在調查該事件的背景。

斯洛文尼亞近年來發生了不少網絡攻擊，最近一次是今年早些時候針對外交部的一次攻擊，據媒體報道，該攻擊是由某國黑客實施的。

2022年9月，國防部和警方成為黑客攻擊的目標，但國防部的系統并未遭到破壞，只有少數警用計算機受到感染。

同年8月，民防救災總局的信息系統遭到網絡攻擊，導致Spin網絡應用程序崩潰，隨后又恢復。由于受到攻擊，操作員必須在一段時間內手動將傳入的緊急呼叫輸入系統。

重大事件包括2019年斯洛文尼亞最大的藥房連鎖店Lekarna Ljubljana遭受勒索軟件攻擊，導致其信息系統暫時癱瘓，并迫使該連鎖店暫時關閉。

參考資源

1.https://www.bleepingcomputer.com/news/security/slovenias-largest-power-provider-hse-hit-by-ransomware-attack/

2.https://www.24ur.com/novice/slovenija/skupina-hse-tarca-obseznega-kibernetskega-napada.html?utm_source=ProAd&utm_medium=24ur&utm_content=ProAd_24ur__&utm_campaign=ProAd

3.https://sloveniatimes.com/40021/power-utility-hse-recovering-from-cyberattack

4.https://www.24ur.com/novice/slovenija/napad-na-hse-znova-primer-malomarnega-ravnanja-z-digitalno-varnostjo.html?utm_source=ProAd&utm_medium=24ur&utm_content=ProAd_24ur__&utm_campaign=ProAd