Пароли, внутренняя документация и переписка: злоумышленник слил данные после кибератаки на “Latvijas valsts meži” 0
Злоумышленник, совершивший взлом, слил 44 гигабайта данных, полученных в результате кибератаки на АО «Latvijas valsts meži» (LVM), однако объем данных, потенциально добытых в ходе атаки, вероятнее всего, больше, сообщили агентству LETA в учреждении по предотвращению киберинцидентов Cert.lv.
В учреждении указали, что большую часть информации в утечке составляют внутренние документы, переписка по электронной почте и вложения, репозиторий кода бизнес-проектов в сфере информационных технологий (IT) LVM, сертификаты и ключи различных систем, а также пароли пользователей и значения хеш-функций пользовательских паролей.
В Cert.lv отметили, что первичный ущерб затрагивает само предприятие и его деятельность. Приоритет компании — восстановить системы, обеспечить непрерывность бизнеса и снизить влияние инцидента на основную деятельность предприятия.
Анализируя утекшие данные, Cert.lv собирает информацию о потенциальной угрозе для третьих сторон, которых незамедлительно информируют о необходимости сменить данные аутентификации и принять другие превентивные меры. Кроме того, все обнаруженные в утечке сертификаты и ключи систематически выявляются, и организуется процесс их обновления, пояснили в Cert.lv.
В учреждении подчеркнули, что в процессе восстановления после подобных инцидентов следует исходить из того, что все данные доступа и аутентификации затронутой инфраструктуры подлежат обязательной замене.
Также в Cert.lv указали, что, учитывая возможность того, что в утечке могли быть затронуты персональные данные, компания обратилась и в Государственную инспекцию данных (DVI).
Что касается ранее прозвучавших в публичном пространстве опасений, связанных с разработкой избирательной системы, в Cert.lv отметили, что LVM согласилась разработать дополнения к функциональности электронного онлайн-регистра избирателей (ETVR). Над разработкой работала команда из четырех человек, и программный код не хранился в репозиториях бизнес-кода LVM. Из изолированной среды было выполнено несколько поставок в изолированный репозиторий кода Государственного агентства цифрового развития (VDAA).
В Cert.lv акцентировали, что проверили каждую поставку от LVM и провели сравнение изменений кода по каждой строке программного кода — от первой до последней поставки, переданной VDAA. «Никаких признаков вредоносной активности или несанкционированного доступа к этим компонентам не выявлено, следовательно, их можно безопасно использовать», — отметили в учреждении.
Ранее в LVM указали, что любая возможная утечка данных в результате кибератаки, направленной против IT-систем LVM, была прекращена 22 июня в 8:30, когда компания последовательно отключила всю свою IT-инфраструктуру.
Как пояснили в компании, параллельно о произошедшей кибератаке был проинформирован Cert.lv. С учетом рекомендаций Cert.lv доступ IT-инфраструктуры LVM к интернету был полностью заблокирован; эти меры были реализованы тем же утром 22 июня до 10:15.
После остановки кибератаки IT-специалисты LVM как в праздничные дни, так и в настоящее время работают в чрезвычайном режиме, чтобы восстановить работу всех IT-систем. С момента обнаружения атаки при тесном сотрудничестве с Cert.lv новых случаев утечки данных не выявлено, указывает LVM.
О произошедшей кибератаке компания проинформировала Государственную полицию, DVI и другие правоохранительные органы, а также распространила уведомление клиентам и партнерам о киберинциденте и выявленном нарушении защиты персональных данных.
LETA сообщало, что 22 июня была выявлена кибератака на IT-инфраструктуру LVM. После атаки из соображений безопасности были отключены и стали недоступны поддерживаемые LVM внешние информационно-технологические системы — LVM GEO, система картографических сервисов, а также охотничье приложение Mednis. Также были отключены несколько внутренних систем LVM, обеспечивающих обмен информацией компании с поставщиками услуг LVM и клиентами компании.
Ответственность за кибератаку на LVM взяла на себя иностранная группировка, занимающаяся программами-вымогателями, или ransomware. В связи с инцидентом Государственная полиция начала уголовный процесс, а к выяснению обстоятельств киберинцидента подключилось и учреждение Cert.lv.
Эксперт по кибербезопасности Элвисс Страздиньш ранее публично заявил, что связался с лицом или группировкой, взявшей на себя ответственность за атаку на LVM, и выяснил возможный размер выкупа. По предоставленной им информации, злоумышленники хотели получить за расшифровку данных 0,1% от годовой выручки компании, то есть более 600 000 евро.
Оборот LVM в 2025 году составил 604,585 миллиона евро, что на 3,2% больше, чем годом ранее, а прибыль компании выросла на 37,7% — до 206,73 миллиона евро.
Компания зарегистрирована в 1999 году, а ее основной капитал составляет 525,989 миллиона евро. LVM управляет принадлежащими государству лесными землями. Единственным владельцем LVM является государство, а держателем акций — Министерство земледелия.



