Svenska kraftnät drabbade utav Ransomware [Everest Group]

Everest group hänger ut SVK som offer på sin blogg:
https://www.ransomware.live/id/U3ZlbnNrYSBLcmFmdG7DpHRAZXZlcmVzdA==

De påstår sig ha kommit över en databas á 280GB som de nu hotar läcka, se screenshot:
https://imgur.com/a/cEZChD0

"Everest is a ransomware group active since at least December 2020, known for its double-extortion tactics. The group initially operated as a typical ransomware outfit, encrypting files with strong cryptography and appending victim-specific extensions, but later shifted toward pure data extortion—threatening to sell or release stolen data without necessarily deploying encryption. Everest targets a wide range of sectors, including government, healthcare, manufacturing, and IT services, with confirmed victims in North America, Europe, and Asia. Initial access vectors include exploitation of vulnerable public-facing applications, phishing campaigns, and credential theft for remote access services. The group maintains a Tor-based leak site to publish stolen information and advertise access to compromised networks."

Saken verkar tas upp av flera medier nu, Aftonbladet, Expressen, DN, o.s.v.

Svenska kraftnät håller på att utreda uppgifter om en ramsomwareattack riktad mot dem från hackergruppen Everest.

– Det kan vi säga att vi känner till uppgifter från hackergruppen som uttalat att de har gjort något mot oss, säger ***, kommunikatör i beredskap på Svenska kraftnät.

https://www.aftonbladet.se/nyheter/a/Rr77qd/aftonbladet-direkt?pinnedEntry=1417713

Det är lite tidigt att sia om vad gruppen har ställt till med, om de t.ex. har krypterat något. Att enbart stjäla data i syfte att utpressa organisationer med hot om att läcka informationen har blivit allt vanligare så det behöver inte vara värre än så.

Beror lite på vad de kommit över. 280 GB är inte särskilt mycket i det här sammanhanget. Men beror ju på vad det är.
Men är det IT-systemen så är det illa. Anläggningarna känner ju "främmande makt" till sen gammalt. Det var annat på den tiden "En Svensk Tiger".

Tietoevry driftar en del av Svenska Kraftnät, inkl någon riktigt skön gammal portal ediel.se för el-leverantörer om jag skulle vara tvungen att gissa.

Hur ”kommer man över” en databas på 280gb? Det måste ju ta en jävla tid att tanka ner?

Mest troligt är väl att det skulle vara en databas som finns publicerad via någon tjänst på internet, om vi då skall spekulera så kan man tänka sig att hotaktören har hittat credentials(API-tokens/nycklar alt. kontouppgifter) via någon miss som exponerat dessa, typ en .env/.conf fil alt. hårdkodat i något script. Därefter så är det som du skriver bara en fråga om tid att hämta hem innehållet, om ingen tittar i loggarna så har du all tid i världen.

Ett annat scenario skulle kunna vara infostealer, dvs. Användare med giltig session till ovan tjänst faller offer för skadlig mjukvara och får sina sessions-tokens/cookies stulna.

Ett mer bekymrande scenario vore en komprometterad klient och att man därifrån har lyckats förflytta sig lateralt till en databasserver.

280gb tar väl sisådär någon timma eller två med hyfsat snabb internetuppkoppling via fiber. Vi lever inte på 90-talet längre.

Jag har tyvärr bara erfarenhet av mobilt bredband och känner ej till hur snabbt dagens bredband presterar i realiteten.

ska bli spännande att se vad det är för något.. vad har svenska kraftnät som är intressant? de är ju mer eller mindre bara ett elbolag

De har väl uppgifter om samtliga kunder som får el från dom?

Just Everest är kända för dubbel utpressning. Kryptera datan och hota att läcka den.