Ransomware

Lettlands statliga skogsbolag LVM fortfarande offline veckor efter ransomware-angrepp

Latvia’s State-Owned Forestry Giant LVM Still Offline Weeks After Ransomware Attack

Det lettiska statsägda skogsbolaget LVM drabbades av ett ransomware-angrepp för flera veckor sedan, och många av bolagets interna och kundvända tjänster är fortfarande offline. Angriparna tog sig in via en sårbarhet i ett föråldrat system. LVM har inte betalat lösensumman. Enligt The Record låg en utländsk, ekonomiskt motiverad grupp bakom angreppet.

LVM är ett av Lettlands största statsägda bolag, förvaltar ungefär hälften av landets skogar och bedriver timmerverksamhet i betydande kommersiell skala. Att bolaget slås offline är ingen marginell störning. Arbetet med att återställa IT-miljön pågår, och ingen tidplan för full återgång har publicerats.

Föråldrat system öppnade dörren

LVM har bekräftat att angriparna utnyttjade en sårbarhet i ett föråldrat system. Inget CVE har offentliggjorts och den drabbade produkten har inte namngetts. Det är en påtaglig brist. Utan information om vilken komponent som angreps kan andra organisationer i samma sektor inte bedöma om de bär samma exponering.

Mönstret är välbekant och lärdomen densamma: opatchade äldre system i operativa miljöer är ingångspunkten som ekonomiskt motiverade ransomware-grupper väljer framför andra. Det här var inget zero-day. Sårbarheten var känd. Bolaget hade inte åtgärdat den.

Attribueringen stannar vid ”ekonomiskt motiverad” tills vidare

Lettiska myndigheter och LVM har beskrivit angriparna som en utländsk, ekonomiskt motiverad grupp. Ingen ransomware-grupp har pekats ut offentligt, och ingen grupp har heller tagit på sig angreppet. Den attribueringsnivån är rimlig i det här skedet. Den som hävdar att de vet exakt vem som ligger bakom inom några dagar efter ett angrepp bör pressas på sina bevis.

Den ekonomiskt motiverade beskrivningen begränsar dock fältet. Statsdirigerade operationer mot ett skogsbolag har begränsad strategisk logik. Det här ser ut som ett opportunistiskt angrepp mot en stor organisation med ett föråldrat IT-arv, vilket är exakt den profil dessa grupper söker för maximal utpressningspotential.

Statsägt är inte detsamma som välskyddat

LVM:s erfarenhet bekräftar något som ofta tappas bort i diskussioner om säkerhet för kritisk infrastruktur: statsägande översätts inte automatiskt till god cyberhygien. Offentliga och statsanknutna organisationer i Norden och Baltikum bär ofta teknisk skuld uppbyggd under decennier av underinvestering i IT-modernisering. Angripare känner till detta och väger in det i sitt urval av mål.

Svenska Sveaskog, det statsägda skogsbolaget som förvaltar ungefär 14 % av Sveriges produktiva skogsmark, driver en jämförbar IT-beroende verksamhetsmodell inom timmerlogistik, markförvaltning och kundtjänster. Det finns inget som tyder på att Sveaskog har angripits, men LVM-angreppet är en direkt anledning att se över patchstatus på alla äldre system som finns i eller i anslutning till operativ infrastruktur.

Patching är den enda verkliga åtgärden

Åtgärden för det här angreppet är inte komplicerad. Den är bara kroniskt eftersatt. Håll ett aktuellt register över varje system i miljön, inklusive de som tillkom före det nuvarande IT-teamet. Kartlägg vilka som är internetexponerade eller nåbara från externa nätverk. Prioritera patching utifrån exponering, inte sårbarhetens ålder.

Om ett system inte kan patchas för att det kör programvara som inte stöder ett aktuellt operativsystem, isolera det. Placera det bakom strikt nätverkssegmentering utan onödig extern åtkomst. Dokumentera risken formellt och säkerställ att ledningen har godkänt beslutet att behålla det i drift. Det dokumentationsspåret spelar roll när tillsynsmyndigheter ställer frågor, och under NIS2 kommer de att göra det.

Offline-testade säkerhetskopior är fortfarande den enskilt mest effektiva kontrollen för att begränsa ransomware-skador när en angripare väl är inne. LVM:s vägran att betala tyder på att bolaget hade tillräcklig integritet i sina säkerhetskopior för att försöka återställa. Veckor av driftstopp är priset för det beslutet. Det är ändå rätt val.

Referenser

  1. Latvian Forestry Company Still Restoring Systems Weeks After Ransomware Attack

This post is also available in: English

Per Häggdahl

Jobbar som CSO/CISO, har arbetat med leverans av säkra system till banker, riksbanker, börser och värdepapperscentraler i över 20 år.