LVM hatte den Angriff Ende Juni öffentlich gemacht. Betroffen waren die Kartenplattform des Unternehmens, eine Jagd-Anwendung sowie Systeme, über die Informationen mit Auftragnehmern und Kunden ausgetauscht werden. Wochen später läuft die Wiederherstellung weiter. Maris Kuzmins, Technikchef von LVM, sagte lokalen Medien, die Situation sei zwar stabilisiert, die vollständige Normalisierung des Betriebs sei aber weiterhin schwierig. Etwa zwei Drittel der Kunden mit Serviceverträgen hätten noch keinen Zugriff auf die betroffenen Systeme.

Nach Angaben von Kuzmins verschafften sich die Angreifer Zugang über eine Schwachstelle in einem System, das seit zwei Jahren nicht aktualisiert worden war. Um welche Software es sich handelte, nannte er nicht. Das Unternehmen hatte zuvor erklärt, keine Lösegeldforderung erhalten zu haben und auch im Fall einer solchen Forderung nicht zahlen zu wollen.

CERT.LV, das nationale Computer-Notfallteam Lettlands, führt den Einbruch auf eine ausländische, finanziell motivierte Ransomware-Gruppe zurück. Die Gruppe habe zuvor bereits Unternehmen und öffentliche Einrichtungen in NATO- und EU-Staaten ins Visier genommen. Behörden nannten den Namen der Gruppe nicht.

Nach Angaben von CERT.LV veröffentlichten die Angreifer rund 44 Gigabyte gestohlener Daten im Internet. Ermittler gehen demnach davon aus, dass deutlich mehr Informationen eingesehen wurden, als letztlich publik wurden. Zu den offengelegten Dateien zählen laut CERT.LV interne Dokumente, E-Mail-Korrespondenz, Software-Code-Repositorien, digitale Zertifikate, kryptografische Schlüssel und Benutzerzugangsdaten.

Zusätzliche Aufmerksamkeit erhielt der Vorfall, weil LVM an neuer Funktionalität für Lettlands elektronisches Wählerregistrierungssystem mitgewirkt hatte. Dieses System erlaubt die Stimmabgabe in jedem Wahllokal. Lettische Behörden erklärten jedoch, die Wahlinfrastruktur sei nicht kompromittiert worden. Die Software sei in einer getrennten Umgebung entwickelt worden, und ihr Code sei nie in den Unternehmens-Repositorien von LVM gespeichert gewesen. CERT.LV teilte mit, alle Software-Lieferungen für dieses Projekt überprüft und keine Hinweise auf schädlichen Code oder unbefugte Zugriffe gefunden zu haben; das System sei für die bevorstehenden Parlamentswahlen sicher nutzbar.

CERT.LV meldete außerdem, dass derselbe Akteur auch einen Server des lettischen Pharmaunternehmens Olpha kompromittiert habe, das früher als Olainfarm bekannt war. Der Vorfall bei Olpha sei inzwischen eingedämmt, und bislang gebe es keine Hinweise auf weitergehende Schäden über den betroffenen Server hinaus. Nach Angaben der Behörden standen die beiden Einbrüche trotz derselben Zuschreibung technisch nicht in Zusammenhang.

Laut CERT.LV setzt die hinter dem Vorfall stehende Gruppe ihre Aktivitäten im lettischen Cyberraum fort und sucht gezielt nach neuen potenziellen Schwachstellen in den Infrastrukturen öffentlicher und privater Organisationen.