De Letse staatsbosbeheerder Latvijas Valsts Mezi (LVM) is weken na een ransomware-aanval nog steeds bezig met het herstellen van haar IT-systemen. De aanval, die eind juni aan het licht kwam, legde onder meer het kaartplatform en de jachtapplicatie van het bedrijf plat, evenals systemen voor informatie-uitwisseling met klanten en aannemers die offline werden gebruikt. Volgens Letse autoriteiten waren de aanvallers vermoedelijk meer dan een week onopgemerkt binnen het netwerk actief voordat ze werden ontdekt, zoals bekend is gemaakt.

Maris Kuzmins, CTO van LVM, gaf aan dat de situatie inmiddels gestabiliseerd is, maar dat het terugbrengen van de operaties naar normaal nog steeds "vrij uitdagend" is. Ongeveer tweederde van de klanten met servicecontracten heeft nog geen toegang tot de getroffen systemen, aldus Kuzmins in een toelichting aan de lokale media, waarbij hij ook meldde dat de aanvallers een kwetsbaarheid in een systeem hebben misbruikt dat twee jaar niet was bijgewerkt. Het specifieke softwareproduct werd niet genoemd. LVM heeft eerder aangegeven geen losgeld te hebben ontvangen en weigert dit ook te betalen mocht het alsnog geëist worden.

Latvijas Valsts Mezi behoort tot de meest winstgevende staatsbedrijven van Letland en beheert het grootste deel van de staatsbossen, verkoopt hout, onderhoudt recreatiegebieden en levert geografische informatie en kaartdiensten. De Letse nationale computer emergency response team CERT.LV wijst de aanval toe aan een buitenlandse, financieel gemotiveerde ransomware-groep die eerder bedrijven en publieke instellingen in NAVO- en EU-landen heeft aangevallen, zoals zij melden. De aanvallers publiceerden ongeveer 44 gigabyte aan gestolen data online, maar onderzoekers vermoeden dat zij veel meer informatie hebben bemachtigd dan uiteindelijk werd vrijgegeven. De gelekte bestanden bevatten interne documenten, e-mailcorrespondentie, softwarecode, digitale certificaten, cryptografische sleutels en gebruikersgegevens.

De aanval leidde ook tot bezorgdheid over de veiligheid van Letlands elektronische kiezersregistratiesysteem, waaraan LVM heeft meegewerkt. De autoriteiten benadrukken dat de verkiezingsinfrastructuur niet is aangetast omdat deze in een aparte omgeving is ontwikkeld en de code nooit in de bedrijfsrepositories van LVM is opgeslagen. CERT.LV heeft elke softwarelevering voor dit project gecontroleerd en geen aanwijzingen gevonden voor kwaadaardige code of ongeautoriseerde toegang, waardoor het systeem veilig wordt geacht voor de komende parlementsverkiezingen, aldus CERT.LV.

Daarnaast werd ook een server van het Letse farmaceutische bedrijf Olpha, voorheen Olainfarm, gehackt door dezelfde dreigingsactor. Deze inbreuk is inmiddels ingeperkt en er is geen bewijs van verdere schade buiten de getroffen server. De autoriteiten geven aan dat de twee incidenten technisch los van elkaar staan, ondanks dat dezelfde groep verantwoordelijk wordt gehouden. CERT.LV waarschuwt dat deze groep actief blijft in het Letse cyberspace en gericht zoekt naar nieuwe kwetsbaarheden in publieke en private infrastructuren.