A operadora da rede elétrica nacional da Suécia, Svenska kraftnät, confirmou que sofreu uma violação de dados após uma reclamação da gangue de ransomware Everest, grupo de crimes cibernéticos ligado à Rússia. Os hackers dizem que obtiveram 280 gigabytes de dados da operadora, embora o conteúdo exato do roubo permaneça desconhecido.
De acordo com o chefe de segurança da informação da operadora, a violação foi descoberta depois que um pesquisador de segurança alertou a empresa de que o Everest havia postado dados em sua plataforma de vazamento. A operadora disse que está investigando o incidente e enfatizou que seu fornecimento de eletricidade permanece inalterado.
A empresa afirmou que uma solução externa de transferência de arquivos foi comprometida. As autoridades enfatizaram que, embora os dados tenham sido acessados, não há indicação de que sistemas operacionais vitais tenham sido afetados. A investigação está em andamento e as autoridades não divulgaram publicamente que tipo de registros foram expostos.
Enquanto isso, o Everest alegou em seu site de vazamento que acessou centenas de gigabytes de dados da Svenska kraftnät e ameaçou liberar mais, a menos que suas demandas sejam atendidas. No entanto, o operador não confirmou se os dados são genuínos ou qual pode ser o impacto total.
Por que as organizações de infraestrutura crítica são visadas
Os operadores de redes nacionais e outras infraestruturas são alvos atraentes porque gerenciam grandes volumes de dados confidenciais e fazem parte de serviços essenciais. Os invasores podem usar informações roubadas para extorsão, para obter uma vantagem estratégica ou para causar interrupções indiretamente.
Nesse caso, o fato de os sistemas operacionais não terem sido afetados mostra como os invasores podem se concentrar no roubo de dados em vez da sabotagem direta. O rápido reconhecimento do incidente pela operadora e a cooperação com as autoridades refletem o foco crescente na resposta e transparência nas violações de infraestrutura.
O que isso significa para os usuários e a segurança nacional
Embora atualmente não haja ameaça ao fornecimento de eletricidade da Suécia, a violação levanta questões sobre a segurança dos sistemas não essenciais que suportam infraestrutura crítica. Ferramentas externas de transferência de arquivos, portais de acesso e data warehouses são vetores de ataque comuns. As organizações devem tratá-los como parte da superfície de ataque.
Do ponto de vista da segurança nacional, o ataque ilustra as táticas em evolução dos grupos de crimes cibernéticos e ransomware. Em vez de direcionar as operações diretamente, os adversários buscam cada vez mais dados para alavancagem, seja por meio de resgate ou publicação. Essa mudança complica os esforços de detecção e mitigação, especialmente quando os dados se tornam uma mercadoria.
O que a Svenska kraftnät está fazendo a seguir
A Svenska kraftnät disse que está trabalhando com as agências suecas de aplicação da lei e segurança cibernética para determinar o escopo completo da violação. A empresa está revisando a ferramenta afetada, avaliando todos os dados expostos e fortalecendo sua postura de segurança de acordo. A empresa também se comprometeu a fornecer atualizações à medida que a investigação avança.
O operador também esclareceu que as operações de transmissão de eletricidade permanecem estáveis e não afetadas neste momento. Essa garantia visa manter a confiança do público e tranquilizar as partes interessadas de que o incidente não comprometeu a confiabilidade da rede.