La société d’électricité slovène Holding Slovenske Elektrarne (HSE) a subi une attaque de ransomware qui a compromis ses systèmes et ses fichiers cryptés, mais la société affirme que l’incident n’a pas perturbé la production d’électricité.
HSE est la plus grande entreprise de production d’électricité de Slovénie, représentant environ 60 % de la production nationale, et elle est considérée comme une infrastructure critique dans le pays.
Fondée en 2001 par le gouvernement slovène et propriété de l’État, l’entreprise exploite plusieurs centrales hydroélectriques, thermiques et solaires ainsi que des mines de charbon à travers le pays, et possède également des filiales en Italie, en Serbie et en Hongrie.
Comme l’a rapporté pour la première fois samedi le média local 24ur.com, HSE a subi une attaque de ransomware mercredi dernier, et l’entreprise l’a finalement maîtrisée le vendredi 24 novembre.
Le directeur du Bureau de la sécurité de l’information, Uroš Svete, a déclaré aux médias que toutes les opérations de production d’électricité n’étaient pas affectées par la cyberattaque à grande échelle. Pourtant, les systèmes informatiques et les fichiers étaient « verrouillés » par le « cryptovirus ».
L’organisation a immédiatement informé le Bureau national des cyber-incidents du Si-CERT et l’administration de la police de Ljubljana et a collaboré avec des experts externes pour atténuer l’attaque et empêcher le virus de se propager à d’autres systèmes en Slovénie.
Jusqu’à présent, l’organisation n’a pas reçu de demande de rançon, mais a déclaré qu’il était peut-être trop tôt pour cela. Elle reste donc en état d’alerte alors que le nettoyage du système est toujours en cours.
Aujourd’hui, Uroš Svete a publié une déclaration commune avec le directeur général de HSE, Tomaž Štokelj, assurant au public que la situation est sous contrôle et qu’aucune perturbation opérationnelle ni aucun dommage économique significatif n’est attendu en raison de cet incident.
Selon les porte-parole, la dégradation se limite aux sites Internet des centrales thermiques de Šoštanj et de la mine de charbon de Velenje.
Rhysida du doigt pointé
Des informations non officielles partagées avec les médias locaux attribuent l’attaque au gang du ransomware Rhysida, actif ces derniers temps, ce qui a incité le FBI et la CISA à émettre un avertissement mettant en avant les TTP (Techniques, Tactiques et Procédures) du groupe.
Si Rhysida est à l’origine de l’attaque, cela expliquerait également pourquoi le HSE déclare ne pas avoir reçu de demande de rançon, car les notes de rançon de Rhysida ne contiennent qu’une adresse e-mail pour contacter les acteurs de la menace sans préciser aucune demande monétaire.
Il semblerait que les opérateurs de ransomware aient violé HSE en volant les mots de passe des systèmes HSE à partir d’une instance de stockage cloud non protégée.
Breachtrace n’a pas pu vérifier ces informations et a contacté le HSE pour obtenir une déclaration sur les allégations, et nous attendons toujours une réponse.
Rhysida a été lancé pour la première fois en mai 2023, ciblant rapidement des organisations dans le cadre d’attaques très médiatisées, notamment celles contre l’armée chilienne, Prospect Medical et la British Library.
Les attaques des acteurs malveillants contre les soins de santé ont incité le ministère américain de la Santé et des Services sociaux (HHS) à émettre un avertissement concernant le gang de ransomwares.
Plus récemment, Rhysida a répertorié un conglomérat d’énergie électrique appartenant à l’État chinois sur son site de fuite de données, mettant aux enchères des données prétendument volées pour 50 BTC (1 840 000 $).