斯洛文尼亚最大的电力集团公司HSE遭勒索软件攻击

斯洛文尼亚电力公司Holding Slovenske Elektrarne (HSE)遭受勒索软件攻击，其系统和加密文件遭到破坏，该事件并未影响电力生产。该事件于11月22日晚开始，并于11月25日夜间升级，并未危及生产或电力供应。HSE是斯洛文尼亚最大的发电公司，约占国内产量的60%，被认为是该国的关键基础设施。该公司由斯洛文尼亚政府于2001年成立，由国家所有，在全国各地经营着几座水力发电厂、热能发电厂和太阳能发电厂以及煤矿，同时在意大利、塞尔维亚和匈牙利也拥有子公司。该集团还在20多个欧洲国家担任能源贸易商，在国家和欧洲批发市场上向客户出售其生产的电力，并在欧洲各地的各个能源交易所进行电力和衍生品及相关产品的交易。最新消息称赎金100万$，HSE已拒绝。

上周六（11月25日），当地新闻媒体24ur.com首先报道了HSE上周三遭受的勒索软件攻击，该公司最终在11月24日(周五)控制住了攻击。

26日，国家办公厅通报了信息安全办公室，信息安全办公室随后将信息转交给国家安全委员会秘书处业务组。总理内阁也已获悉此事。信息安全办公室主任乌罗什·斯维特告诉媒体，所有发电业务都没有受到大规模网络攻击的影响。尽管如此，IT系统和文件还是被“加密病毒”“锁定”了。

该组织立即通知了Si-CERT的国家网络事件办公室和卢布尔雅那警察局，并与外部专家合作，以减轻攻击并防止病毒传播到斯洛文尼亚的其他系统。

到目前为止，该组织还没有收到赎金要求，但表示现在可能还为时过早，因此他们保持高度警惕，因为系统清理仍在进行中。

HSE于27日表示：“主要电站运营和交易系统已投入运行，与国家电网运营商的连接已恢复，整个通信和IT基础设施将恢复平稳运行，不会产生重大负面后果，前景良好。”

27日，Uroš Svete与HSE总经理tomazov Štokelj发表了一份联合声明，向公众保证情况已得到控制，预计不会因此次事件造成运营中断或重大经济损失。但Uroš Svete强调指出，每次网络攻击都会产生巨大的财务影响。“即使攻击者不索要赎金，一支外包 IT专业人员队伍的成本也不菲，而且该公司没有专注于其核心业务，而是忙于应对攻击并寻找可能被渗透的漏洞。”

Uroš Svete和HSE总干事Dr. Tomaž Štokelj

据发言人说，受损仅限于Šoštanj热电厂和Velenje煤矿的网站。

与当地媒体共享的非官方信息将这次攻击归因于Rhysida勒索软件团伙，该团伙最近一直很活跃，促使联邦调查局和CISA发布警告，强调该组织的TTPs(技术，战术和程序)。

如果Rhysida是幕后主使，这也解释了为什么HSE说他们没有收到赎金要求，因为Rhysida的赎金记录中只有一个联系威胁行为者的电子邮件地址，而没有具体说明任何金钱要求。

来源:BleepingComputer

据报道，勒索软件运营商通过从未受保护的云存储实例中窃取HSE系统的密码来破坏HSE。BleepingComputer无法核实这一信息，并已联系HSE就指控发表声明，仍在等待回应。

另当地媒体24ur于27日的最新报道称，HSE将密码存储在“云”中，攻击者从那里收集密码并锁定访问权限。根据最新的信息，此次攻击的幕后黑手是与外国有联系的攻击者，并使用了Rhysida勒索软件病毒。

Rhysida于2023年5月首次启动，迅速瞄准了一些备受瞩目的组织，包括对智利军队、Prospect Medical和大英图书馆的攻击。

威胁行为者对医疗保健的攻击促使美国卫生与公众服务部(HHS)发布了关于勒索软件团伙的咨询警告。

最近，Rhysida在其数据泄露网站上列出了一家中国国有电力集团，以50比特币(184万美元)的价格拍卖据称被盗的数据。

这次网络攻击被认为是斯洛文尼亚历史上最严重的此类事件之一。除了IT和网络安全专家之外，国家情报机构SOVA以及国防部的安全和情报部门也在调查该事件的背景。

斯洛文尼亚近年来发生了不少网络攻击，最近一次是今年早些时候针对外交部的一次攻击，据媒体报道，该攻击是由某国黑客实施的。

2022年9月，国防部和警方成为黑客攻击的目标，但国防部的系统并未遭到破坏，只有少数警用计算机受到感染。

同年8月，民防救灾总局的信息系统遭到网络攻击，导致Spin网络应用程序崩溃，随后又恢复。由于受到攻击，操作员必须在一段时间内手动将传入的紧急呼叫输入系统。

重大事件包括2019年斯洛文尼亚最大的药房连锁店Lekarna Ljubljana遭受勒索软件攻击，导致其信息系统暂时瘫痪，并迫使该连锁店暂时关闭。

参考资源

1.https://www.bleepingcomputer.com/news/security/slovenias-largest-power-provider-hse-hit-by-ransomware-attack/

2.https://www.24ur.com/novice/slovenija/skupina-hse-tarca-obseznega-kibernetskega-napada.html?utm_source=ProAd&utm_medium=24ur&utm_content=ProAd_24ur__&utm_campaign=ProAd

3.https://sloveniatimes.com/40021/power-utility-hse-recovering-from-cyberattack

4.https://www.24ur.com/novice/slovenija/napad-na-hse-znova-primer-malomarnega-ravnanja-z-digitalno-varnostjo.html?utm_source=ProAd&utm_medium=24ur&utm_content=ProAd_24ur__&utm_campaign=ProAd