Il 22 giugno 2026 l'azienda forestale statale lettone Latvijas valsts meži (LVM) ha rilevato un attacco ransomware. Il 7 luglio, a più di due settimane di distanza, il ripristino resta «piuttosto impegnativo» e circa due terzi dei clienti con contratti di servizio sono ancora tagliati fuori dai sistemi. Il caso disegna un diagramma di fallimento sistemico: un singolo sistema non patchato da due anni ha aperto la strada a una crisi di resilienza che ha spillato dati, congelato operazioni e sollevato interrogativi sulla governance IT dello Stato lettone.
- LVM ha subito un attacco ransomware rilevato il 22 giugno 2026; il ripristino è ancora in corso al 7 luglio, con circa due terzi dei clienti con contratto ancora senza accesso ai sistemi.
- Gli attaccanti hanno sfruttato una vulnerabilità in un sistema non aggiornato da due anni; il software specifico non è stato identificato pubblicamente.
- CERT.LV conferma che il gruppo era nella rete LVM per più di una settimana prima della rilevazione, ed è un ransomware group straniero finanziariamente motivato con precedenti in paesi NATO e UE.
- Sono stati leakati circa 44 GB di dati, ma il volume potenzialmente ottenuto è presumibilmente molto superiore; i file includono documenti interni, email, repository di codice sorgente, certificati digitali, chiavi crittografiche, credenziali e hash password.
La vulnerabilità nascosta: due anni di mancata manutenzione
Il CTO di LVM, Maris Kuzmins, ha dichiarato che gli attaccanti hanno sfruttato «una vulnerabilità in un sistema che non era stato aggiornato per due anni». Non ha identificato il software coinvolto, ma il profilo tecnico suggerisce un sistema esposto all'esterno o con accesso laterale da parte di attori interni alla rete. La mancata manutenzione non riguarda una patch saltata di qualche settimana: si parla di un ciclo di vita del software lasciato marcire attraverso almeno due stagioni di rilascio di aggiornamenti di sicurezza.
La permanenza laterale è durata più di una settimana. Secondo CERT.LV, gli attaccanti erano già dentro la rete LVM quando il 22 giugno il personale ha rilevato l'anomalia. Questo intervallo ha consentito ricognizione, movimento laterale e probabilmente la selezione dei target di maggior valore per la doppia estorsione: cifratura e leak. La tecnica è coerente con l'operato di gruppi ransomware maturi, che trattano l'accesso iniziale come merce da sfruttare in modo ottimale prima del rumore della cifratura.
L'esfiltrazione: 44 GB leakati, ma il danno è più ampio
CERT.LV ha confermato che l'attaccante ha pubblicato online 44 GB di dati rubati, precisando che «il volume totale di dati potenzialmente ottenuti è presumibilmente molto più grande». Il divario tra dati accessibili e dati leakati lascia un'area d'ombra su quanto materiale resti nelle mani del gruppo e quanto possa essere monetizzato o rivenduto in secondo momento.
Il contenuto della leak, secondo la ricostruzione di fonti convergenti, spazia dalla corrispondenza aziendale a repository di codice sorgente IT, da certificati digitali a chiavi crittografiche, da credenziali utente a hash password. L'esperto di cybersecurity Elviss Strazdiņš ha riferito di aver comunicato direttamente con gli attaccanti, apprendendo una richiesta di riscatto pari allo 0,1% del fatturato 2025 di LVM: oltre 600.000 euro. LVM ha dichiarato di non aver ricevuto richiesta formale e di rifiutare il pagamento in ogni caso. La discrepanza tra queste due versioni resta non chiarita: la fonte citata non specifica se Strazdiņš abbia agito per conto di LVM o in modo indipendente.
"returning operations to normal remains 'quite challenging'" — Maris Kuzmins, CTO LVM
La paralisi operativa: da LVM GEO all'app Mednis
L'impatto operativo supera i confini IT. I sistemi offline includono la piattaforma di mappatura LVM GEO, l'applicazione di caccia Mednis e i canali di scambio informazioni con appaltatori e clienti. Per un'azienda forestale statale che gestisce circa il 50% del territorio nazionale, la perdita di visibilità geografica e la rottura della catena logistica con appaltatori sono un danno strutturale, non solo un disagio tecnico.
Il contenimento è stato attuato con la disconnessione totale dell'infrastruttura IT a partire dalle 8:30 del 22 giugno, con blocco completo dell'accesso internet entro le 10:15. La decisione ha arrestato la propagazione ma ha anche trasformato l'emergenza acuta in un ripristino cronico. Al 7 luglio la situazione è «stabilizzata» ma la via alla normalità opera ancora per gradi. Il CTO non ha fornito una data di completamento.
Il codice elettorale e la linea di confine con lo Stato
Un ramo dell'attacco ha toccato il confine sensibile tra impresa pubblica e istituzioni statali. LVM ha sviluppato codice per il sistema di registrazione elettorale elettronico lettone. CERT.LV ha verificato ogni consegna software in un ambiente separato, confermando che il codice non contiene modificazioni malevole e che è «sicuro da usare nelle prossime elezioni parlamentari». L'analisi delivery-by-delivery ha escluso che l'attacco abbia compromesso la pipeline elettorale.
La verifica è rassicurante ma non risolutiva: dimostra che il disastro è stato contenuto, non che le condizioni per generarlo fossero accettabili. Un'azienda forestale con un sistema GIS obsoleto che si trova anche a gestire componenti di software elettorale solleva domande sulla segmentazione architetturale e sulla classificazione del rischio nelle pubbliche amministrazioni lettoni. Baltic Focus ha stimato che circa 7.000 password di dipendenti sarebbero state rubate, dato attribuito a fonti mediatiche e non confermato da CERT.LV.
Il contesto geopolitico: un gruppo con appetito sistemico
CERT.LV ha qualificato il gruppo dietro l'attacco come un'entità ransomware straniera finanziariamente motivata, con precedenti di targeting di aziende e istituzioni pubbliche in paesi NATO e UE. La stessa formazione ha compromesso un server della società farmaceutica Olpha, ma i due attacchi sono tecnicamente non correlati: non emergono sovrapposizioni infrastrutturali che colleghino le due operazioni allo stato attuale.
Il gruppo «continua le sue attività nel cyberspazio lettone, cercando sistematicamente nuove potenziali vulnerabilità», secondo CERT.LV. Questa indicazione di pattern sistemico, non opportunistico, inserisce l'incidente LVM in un arco di minaccia più ampio. Per un paese NATO di 1,9 milioni di abitanti con una superficie forestale strategica, la frequenza e la precisione del targeting ransomware costituiscono un vettore di pressione che va oltre il danno economico diretto.
Perche è importante
LVM non ha pubblicato una stima dei costi di ripristino, ma il fatturato 2025 di 604,585 milioni di euro e un utile di 206,73 milioni offrono la scala per cui un riscatto di 600.000 euro rappresenta una frazione minima, mentre il costo operativo delle settimane di blackout è presumibilmente molto più rilevante. Il caso documenta come la mancata manutenzione preventiva di un singolo sistema possa generare un crollo a valanga con costi di recupero che superano di gran lunga quelli della gestione ordinaria.
CERT.LV ha notificato l'incidente alla Polizia di Stato, all'Ispettorato Dati di Stato (DVI), ai clienti e ai partner commerciali. La catena di notifica è attiva, ma il dossier non specifica misure correttive interne adottate da LVM né interventi disciplinari per la mancata manutenzione del sistema vulnerabile. Il tempo stimato per il completamento del ripristino resta non dichiarato.
L'identità del gruppo ransomware, la CVE esatta e il software specifico obsoleto non sono stati divulgati. Questi limiti riducono la capacità di terzi di verificare la propria esposizione attraverso indicatori di compromissione concreti e lasciano il campo a una valutazione del rischio basata su profili generici piuttosto che su firme tecniche riproducibili.
FAQ
Il sistema di voto elettronico lettone è stato compromesso?
No. CERT.LV ha verificato ogni consegna software di LVM relativa al sistema elettorale in ambiente separato, confermando l'assenza di modificazioni malevole. Il codice è stato giudicato sicuro per le prossime elezioni parlamentari.
Quanto è durata la permanenza degli attaccanti nella rete?
Secondo CERT.LV, più di una settimana prima della rilevazione del 22 giugno 2026.
Qual è il dato più aggiornato sul ripristino?
Al 7 luglio 2026 il CTO Maris Kuzmins ha dichiarato che il ripristino resta «piuttosto impegnativo» e che circa due terzi dei clienti con contratti di servizio non hanno ancora accesso ai sistemi. Nessuna data di completamento è stata indicata.
Fonti
- https://therecord.media/latvia-state-owned-foresty-company-lvm-ransomware
- https://eng.lsm.lv/article/society/crime/25.06.2026-cyberattack-on-latvian-state-forests-detected.a652645/
- https://bnn-news.com/what-was-leaked-after-the-cyberattack-on-latvijas-valsts-mezi-cert-lv-explains-281622
- https://balticfocus.org/latvias-lvm-cyberattack-26-06-2026/
- https://cert.lv/lv/2026/06/cert-lv-apstiprina-latvijas-valsts-mezu-izstradata-koda-drosu-izmantosanu-velesanas
- https://eng.lsm.lv/article/features/commentary/05.06.2026-ukraines-lesson-for-latvia-digital-resilience-and-national-security.a650082/?utm_source=lsm&utm_medium=article-bottom&utm_campaign=article
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.