AS "Latvijas valsts meži" (LVM) kiberuzbrucējs kompromitējis arī zāļu ražotāja AS "Olpha" serveri, aģentūru LETA informēja kiberincidentu novēršanas institūcijā "Cert.lv".
Institūcijā norāda, ka LVM incidenta analīzes laikā tika identificēts, ka uzbrucējs kompromitējis arī "Olpha" serveri. "Cert.lv" uzsver, ka par šo kiberdrošības incidentu atbildīgs ir tas pats uzbrucējs, kas LVM gadījumā, taču abi incidenti ir tehniski nesaistīti un notikuši neatkarīgi viens no otra.
"Cert.lv" ir sākusi šī notikuma pārbaudi, kurā konstatēta nesankcionēta piekļuve vismaz vienai "Olpha" informācijas sistēmai - serverim, taču dati nav šifrēti. Konstatēta arī pierādījumu žurnālfailu dzēšana.
Patlaban "Olpha" incidentu ir ierobežojis, skarts tikai viens serveris, un nekādu papildu kaitējumu incidenta rezultātā uzņēmums pagaidām nekonstatē. Sadarbībā ar uzņēmumu šī incidenta analīze vēl turpinās, atzīmē "Cert.lv".
"Cert.lv" apkopotie kibertelpas monitoringa dati liecina, ka par uzbrukumu atbildīgais ārvalstu finansiāli motivētais izspiedējvīrusu jeb "ransomware" grupējums turpina aktivitātes Latvijas kibertelpā.
Institūcijā norāda, ka izspiedējvīrusu grupējums mērķtiecīgi meklē jaunas potenciālas ievainojamības valsts un privātā sektora organizāciju infrastruktūrās.
Lai palīdzētu organizācijām savlaicīgi identificēt iespējamos apdraudējumus, "Cert.lv" ir publicējusi LVM incidentā identificētos uzbrucēja infrastruktūras tīkla indikatorus. Uzbrukuma indikatoru informācija var tikt papildināta.
"Cert.lv" aicina organizācijas tos izmantot savu tīklu uzraudzībā, īpaši Nacionālā kiberdrošības likuma subjektus un kritiskās infrastruktūras turētājus, kuri vēl neizmanto "Cert.lv" pakalpojumus.
Vienlaikus LVM kiberdrošības incidenta kontekstā "Cert.lv" ir apkopojusi un publicējusi arī rekomendācijas infrastruktūras kiberdrošības noturības stiprināšanai. To mērķis ir palīdzēt iestādēm un organizācijām mazināt kiberuzbrukumu riskus un uzlabot spēju savlaicīgi atklāt un novērst apdraudējumus.
Uzbrucēja infrastruktūras tīkla indikatori un "Cert.lv" apkopotās rekomendācijas pieejamas "https://cert.lv/lv/2026/07/cert-lv-rekomendacijas-infrastrukturas-kiberdrosibas-noturibas-uzlabosanai-pret-kiberuzbrukumiem".
Iepriekš "Cert.lv" aģentūrai LETA norādīja, ka patlaban uzbrucējs nopludinājis 44 gigabaitus no LVM kiberuzbrukumā iegūtajiem datiem, bet uzbrukumā potenciāli iegūto datu apjoms, visticamāk, ir lielāks.
Institūcijā norādīja, ka lielāko daļu informācijas datu noplūdē veido iekšējie dokumenti, e-pastu sarakstes un pielikumi, LVM biznesa IT projektu koda repozitorijs, dažādu sistēmu sertifikāti un atslēgas, kā arī lietotāju paroles un lietotāju paroļu jaucējfunkciju vērtības.
Analizējot noplūdušos datus, "Cert.lv" apkopo informāciju par potenciālu apdraudējumu trešajām pusēm, kuras nekavējoties informē par nepieciešamību nomainīt autentifikācijas datus un veikt citus preventīvos pasākumus. Papildus tam visi noplūdē sastopamie sertifikāti un atslēgas sistemātiski tiek apzinātas, un tiek organizēts to atjaunošanas process, skaidroja "Cert.lv".
Institūcijā uzsvēra, ka šādu incidentu atkopšanās procesā ir jāuzskata, ka visi skartās infrastruktūras piekļuves un autentifikācijas dati ir obligāti maināmi.
Tāpat "Cert.lv" norādīja, ka, ņemot vērā iespēju, ka noplūdē varētu būt skarti personu dati, uzņēmums ir vērsies arī Datu valsts inspekcijā (DVI).
Iepriekš LVM norādīja, ka jebkura iespējamā datu noplūde kiberuzbrukuma rezultātā, kas bija vērsts pret LVM IT sistēmām, tika pārtraukta 22. jūnijā plkst. 8.30, kad uzņēmums secīgi atslēdza visu uzņēmuma IT infrastruktūru.
Kā skaidro kompānijā, par notikušo kiberuzbrukumu tika informēts "Cert.lv". Ņemot vērā "Cert.lv" rekomendācijas, LVM IT infrastruktūras piekļuve internetam tika pilnībā bloķēta, šie pasākumi tika īstenoti tajā pašā 22. jūnija rītā līdz plkst. 10.15.
Pēc kiberuzbrukuma apturēšanas LVM IT speciālisti strādā ārkārtas režīmā, lai atjaunotu visu IT sistēmu darbību. Kopš uzbrukuma atklāšanas, strādājot ciešā sadarbībā ar "Cert.lv", nav konstatēti jauni datu noplūdes gadījumi, norāda LVM.
Kā ziņots, kiberuzbrukums LVM IT infrastruktūrai konstatēts 22. jūnijā. Pēc uzbrukuma drošības apsvērumu dēļ tika atslēgtas un nebija pieejamas LVM uzturētās ārējās informācijas tehnoloģiju sistēmas - "LVM GEO", karšu pakalpojumu sistēma, kā arī medību lietotne "Mednis". Tāpat tika atslēgtas arī vairākas LVM iekšējās sistēmas, kas nodrošina uzņēmuma informācijas apmaiņu ar LVM pakalpojumu sniedzējiem un uzņēmuma klientiem.
Atbildību par kiberuzbrukumu LVM uzņēmies ārvalstu izspiedējvīrusu jeb "ransomware" grupējums. Saistībā ar incidentu Valsts policija sākusi kriminālprocesu, bet kiberincidenta apstākļu skaidrošanā iesaistījusies arī institūcija "Cert.lv".
Kiberdrošības eksperts Elviss Strazdiņš iepriekš publiski pauda, ka sazinājies ar personu vai grupējumu, kas uzņēmies atbildību par uzbrukumu LVM, un noskaidrojis iespējamo izpirkuma maksas apmēru. Pēc viņa sniegtās informācijas uzbrucēji par datu atšifrēšanu vēlējušies saņemt 0,1% no uzņēmuma gada ieņēmumiem jeb vairāk nekā 600 000 eiro.
LETA jau vēstīja, ka "Olpha" (iepriekš "Olainfarm") koncerna apgrozījums 2024. gadā bija 126,874 miljoni eiro, kas ir par 2,9% mazāk nekā gadu iepriekš, savukārt koncerna peļņa samazinājās par 28% un bija 38,648 miljoni eiro. Koncerna 2025. gada finanšu rezultāti vēl nav publiskoti.
Tikmēr pati "Olpha" 2024. gadā strādāja ar 100,782 miljonu eiro apgrozījumu, kas ir par 10,6% mazāk nekā 2023. gadā, kamēr uzņēmuma peļņa samazinājās par 41% - līdz 30,636 miljoniem eiro.
"Olpha" nodarbojas ar gatavo zāļu formu, farmaceitisko preparātu un uztura bagātinātāju, kā arī ar ķīmisko vielu un aktīvo farmaceitisko ingredientu ražošanu. "Olpha" reģistrēta 1991. gadā, un tās pamatkapitāls patlaban ir 3 000 004 eiro. Kompānijas īpašniece ir AS "Repharm" grupas māteskompānija AS "AB City". "AB City" patiesie labuma guvēji ir Sergejs Korņijenko, Andrejs Leibovičs, Jeļena Ņikitina un Roberts Tavjevs.