Elektroprivreda Srbije (EPS) saopštila je 19. decembra da se oporavlja od "nezapamćenog" hakerskog napada, ne razotkrivši detalje incidenta.
U petak, 29. decembra je forum "Bezbedan Balkan" objavio da je hakerska grupa "Ćilin" (Qilin) preuzela odgovornost za napad na EPS pre 10 dana. Ukoliko se EPS ne dogovori sa njima, "Ćilin" preti da će objaviti sve podatke do kojih su došli.
Prema navodima stručnjaka, Srbija se nalazi u grupi 15 zemalja čije su institucije ili preduzeća bili meta te grupe; nedavno je hakovala i jedan privredni gigant, a svoje napade započinje slanjem "fišing" mejlova.
Slično kao i napad na EPS, proteklih mesec dana su se nizali napadi na važne institucije i privredne subjekte u Sloveniji.
Prvo je u javnost sa velikim zakašnjenjem procurelo da je "Holding Slovenske elektrane" (Holding Slovenačke elektrane - HSE), što je u Sloveniji pandan srpskog EPS-a, krajem novembra bio meta sajber napada. Prema šturim informacijama, hakovan je poslovni sistem tako što su zaključani fajlovi. TV Slovenija je otkrila da su hakeri od HSE tražili otkup od milion evra u bitkoinima, odnosno jedan bitkoin u zamenu za jedan gigabajt podataka.
Slovenački mediji su se odmah raspisali da su HSE napali ruski hakeri.
Slovenački istražni organi su bili ipak nešto oprezniji sa optužbama, pa su saopštili da iza napada stoji hakerska grupa povezana sa "stranom zemljom", i da je upotrebljen virus "Risajda ransomver" (Rhysida ransomvare).
Virus je onemogućio i zaključao pristup podacima, a HSE se suočio sa zahtevom da plati vrtoglavu otkupninu u digitalnoj valuti bitkoin u zamenu za otključavanje nedostupnih podataka.
SiOL, portal u vlasništvu državnog Telekoma Slovenije, obelodanio je da je prema objavljenim podacima na tamnoj strani interneta odgovornost za hakerski napad na HSE preuzela hakerska grupa "Risajda" koja se prvi put pojavila na svetskoj pozornici u maju ove godine. Britanski Gardijan tvrdi da članovi "Risajd" najverovatnije potiču iz Rusije odnosno Belorusije ili Kazahstana.
HSE je isprva tvrdio da nije pretrpeo veću poslovnu štetu zbog sajber napada jer glavni procesi neophodni za poslovanje kompanije i dalje uspešno rade, većina zaposlenih je na svojim radnim mestima, a elektrane ionako upravljaju daljinski. Potom su hakeri zapretili HSE da će uzapćene podatke prodati na aukciji koja će trajati sedam dana. Za početak licitacije su postavili cenu u visini od 20 bitkoina, što po trenutnim cenama bitkoina iznosi oko 773 hiljade evra.
Prema do sada poznatim informacijama, podaci koji su bili meta sajber napada na grupu HSE i koji su potom bili objavljeni na dark veb-u odnose se na "Premogovnik Velenje" i građevinsku firmu "RGP" za period kada je ona još bila u sastavu rudnika uglja u Velenju. Iako se HSE zavio u muk, procurelo je da su u javnost već dospeli i neki lični podaci lica koji su se nalazili na serverima rudnika uglja (rudnik uglja na slovenačkom: premogovnik) u Velenju.
Prema tvrdnjama HSE, ove i druge kompanije koje Holding kontroliše obavestile su svoje zaposlene o tim "neprijatnim saznanjima"; one, čiji su podaci isplivali u javnost, kompanije iz grupe HSE su pojedinačno obavestile uz preporuke šta im je dalje činiti. Tim licima je obezbeđena i odgovarajuća pomocćza rešavanje nastale situacije.
Prema informacijama Televizije Slovenija, hakeri izuzev osetljivih ličnih podataka, kao što su interni dokumenti sa oznakom poslovne tajne, razna pisma, pasoši, ugovori i revizije - do sada nisu objavili važne državne podatke, koji imaju oznaku "tajno". Kakva će biti njihova dalja sudbina za sada nije poznato.
HSE nije, međutim, jedina žrtva sajber napada koji se u poslednjih mesec dana nižu u Sloveniji. Sličan napad je nedavno iskusio i slovenački ogranak holdinga "Emil Frej" (Emil Frey) koji u Sloveniji objedinjuje kompanije "Autokomerc" (Autocommerce), "Avto Triglav", "AC-Mobil", "Citroen Slovenija" i "Pežo Slovenija"; pod svojim kišobranom ima 12 poznatih automobilskih marki. I u tom slučaju je virus iznude bio sredstvo preko kojeg su se hakeri namerili da ukradene podatke prodaju najboljem ponuđaču.
Na dark vebu su se našli podaci kompanije "Autokomerc" koja je u Sloveniji ovlašćena za prodaju Mercedesovih automobilskih marki. Nije nezanemarljiv podatak da je nemački "Mercedes" jedan od najvećih dobavljača za slovenačko Ministarstvo odbrane sa kojim je u poslednjoj deceniji sklapao poslove teške na desetine miliona evra.
Među glavnim javnim partnerima kompanije "Autokomerc" su i slovenačko državno preduzeće za autoputeve (Dars), Opština Ljubljana (MOL), Ljubljanski putnički saobraćaj (LPP), Ministarstvo unutrašnjih poslova... za koje obavlja i redovno održavanje, servisiranje vozila i nabavku rezervnih delova. U ovom slučaju, hakerska grupa je izvršila udar pomoću "Akira ransomver" (Akira ransomware) virusa.
Primenjen je metod dvostruke iznude u kojem hakeri iznuđuju podatke iz okruženja žrtve pošto zakodiraju sisteme, a zatim ucenjuju žrtvu i javnim otkrivanjem ukradenih podataka ukoliko ne plati traženi otkup. Ako meta napada odbije saradnju, hakeri njene ukradene podatke objave ili ponude drugim kupcima na dark vebu.
Vrednost traženih otkupa kreće se od 200 hiljada do četiri miliona američkih dolara, izvestili su ljubljanski mediji. Najviše napada virusom "Akira" registrovano je u Francuskoj, potom u Americi, Kanadi, Turskoj i Meksiku. Za ovu grupu hakera se pretpostavlja da je povezana sa sada već ugašenom grupom "Konti" (Conti), jednom od najozloglašenijih u novijoj istoriji.
Za njih se veruje da su naslednici još jedne uspešne grupe za iznuđivanje – "Ryk" (Ryuk). Obe hakerske grupe, i "Konti" i "Ruk", prema tvrdnjama Slovenije "potiču iz Rusije ili zemalja bivšeg Sovjetskog Saveza i navodno su mahom prestale da deluju".
Nije prvi put da se Grupa "Emil Frej" našla na nišanu hakerskog napada. Poslednji put se to dogodilo januara lane. U to vreme je švajcarski trgovac automobilima bio žrtva hakerske grupe "Hajv"(Hive) koja je do sada od 1500 žrtava navodno uspela da iznudi više od 100 miliona dolara u više od 80 zemalja.