Wärtsilään kohdistunut hakkeri-isku – jäljet viittaavat Venäjälle

Pimeässä verkossa toimivia rikollisryhmiä seuraava DarkFeed havaitsi, että LV-haittaohjelmaa käyttävä hakkeriryhmä on lisännyt Wärtsilän uhrilistalleen.

LV-haittaohjelmaa käyttävä hakkeriryhmä väittää vieneensä Wärtsilältä noin 2000 gigatavua dataa, joka sisältää paljon arkaluontoista materiaalia.

Wärtsilä vahvistaa havainneensa verkkohyökkäyksen eräässä Voyage-liiketoiminnan tietojärjestelmässä, mutta ei kerro varastettujen tietojen määrää.

– Hyökkääjät saivat haltuunsa joitakin laskutuksessa ja ostoissa käytettyjä tietoja. Wärtsilän kyberasiantuntijat saivat välittömästi rajattua hyökkäyksen ja minimoitua sen vaikutukset, ja ovat jo ryhtyneet toimenpiteisiin nykyisten turvatoimien vahvistamiseksi edelleen, Wärtsilä kertoo Tiville sähköpostitse.

Lue myös: Venäjän hybridioperaatiot Suomessa voivat lisääntyä syksyllä, arvioi Supo – "Meidän täytyy edelleen olla hereillä"

Yhtiö kirjoittaa, että hyökkäys oli vaikutuksiltaan paljon pienempi, mitä hyökkääjät antavat olettaa.

Se saatiin rajattua kauppalaivojen digitaalista ekosysteemiä kehittävän Voyagen verkkoon, eikä se ole levinnyt yhtiön muihin järjestelmiin. Hyökkäyksen vuoksi Voyagen palveluissa oli hetkellisiä häiriöitä, Wärtsilä viestittää Tiville.

– Tapauksen tarkemmat tutkimukset ovat käynnissä ja viranomaisia on informoitu. Samoin asiakkaita ja henkilöstöä on informoitu ja varoitettu riskistä, että tietoja yritetään käyttää vilpillisiin tarkoituksiin, yhtiö kirjoittaa.

Juttu jatkuu videon jälkeen.

Tietoturvasivusto Decipherin mukaan LV-haittaohjelmaa on käytetty vuoden 2020 lopusta saakka.

Jäljet viittaavat Venäjälle

Tutkijoiden mukaan kyseessä on muunneltu versio REvil-kiristyshaittaohjelmasta, jolla on isketty aikaisemmin esimerkiksi yhdysvaltalaiseen Colonial Pipelineen.

Putkilinjaan tehty isku sekoitti polttoaineen jakelun Yhdysvalloissa useiksi päiviksi.

REvilin jäljet viittaavat Venäjälle ja Wärtsilään kohdistunut isku tehtiinkin vain muutama päivä sen jälkeen, kun Wärtsilä ilmoitti saaneensa Venäjältä vetäytymisen päätökseen.

Yhtiö muun muassa myi Transas Navigator -liiketoimintansa ja Wärtsilä Vostok LLC -yhtiönsä paikallisille toimijoille.

LV-haittaohjelmaa käyttävä hakkeriryhmä tunnetaan nimellä Gold Northfield.

Lue myös: Näin Suomi varautuu kyberturvallisuusuhkiin – Traficomin johtaja: "Kriittiset  toiminnot pitkälti elinkeinoelämän ja yritysten vastuulla"

Ryhmällä on useita lunnasmaksuja varten tehtyjä tor-sivustoja sekä ainakin kaksi uhrien nimiä julkaisevaa sivustoa.

Gold Northfield uhkaa tyypillisesti julkaista varastamansa arkaluontoiset tiedot, mikäli uhri ei ota yhteyttä ryhmään 72 tunnin sisällä.

Wärtsilän viestintä-, brändi- ja markkinointijohtaja Atte Palomäki kieltäytyi puhumasta tapauksen yksityiskohdista puhelimitse, eikä yhtiö kommentoi tapahtunutta tarkemmin.

Asiasta uutisoi ensimmäisenä Yle.