Holding Slovenske Elektrarne (HSE), una compañía de generación de energía en Eslovenia, ha sido víctima de un ataque de ransomware que llegó a compromer sus sistemas, pero no ocasionó interrumpciones en su producción de energía.
El incidente se produjo el pasado 22 de noviembre. Dos días después la empresa pudo recuperar el control y contener el ciberataque, según recoge Dark Reading.
HSE informó de lo sucedido a La Oficina Nacional de Incidentes Cibernéticos de Si-CERT y la Administración de Policía de Liubliana.
Además, la generadora estuvo trabajando mano a mano con expertos externos para mitigar los efectos de la infracción y evitar la propación de malware a otros sistemas de infraestructuras críticas de Eslovenia.
Según un portavoz de HSE, las únicas perturbaciones producidas se limitarían a las centrales térmicas de Šoštanj y a las minas de carbón de Velenje. Además los trabajadores de HSE han perjurado que la situación está bajo control.
Los autores
Medios locales informan de que el director de la Oficina de Gobierno Gubernamental de la República de Eslovenia para la Seguridad de la Información, Uroš Svete, indicaba que por el momento no podían hablar del origen de este ciberataque, pero se llevó a cabo absolutamente desde fuera, "lo que significa que es un ciberincidente clásico".
"Existen varios grupos que realizan este tipo de ataques. Ahora buscamos causas mucho más atrás, porque podemos tener elementos extraños presentes constantemente en el sistema", aclaraba.
Se cree que la banda de ransomware Rhysida podría estar detrás del incidente. Esta suele ofrecer a las víctimas una dirección de email para conectarse con los actores de amenazas sin ofrecer previamente ningún tipo de exigencia financiera.
Por ahora no se sabe si la compañía de energía ha contactado con la pandilla de ciberdelincuentes. Tampoco se sabe a cuánto podría haber ascendido la cuantía del rescate que habrían pedido en el caso de mensajeare con HSE.
"Según los primeros datos, hubo un compromiso del propio sistema, un intento exitoso de penetración y un intento de bloquear archivos. Según nuestra información, nadie ha exigido todavía un rescate, pero el hecho es que todavía no hay acceso", concluía Sveta.