La compagnia energetica italiana Enel Group ha subito un attacco ransomware pochi giorni fa, a breve distanza di tempo da un attacco molto simile che ha colpito la casa produttrice di automobili e moto Honda. Il ransomware che gli attaccanti hanno cercato di diffondere potrebbe essere SNAKE, conosciuto anche come Ekans.
L'attacco contro Enel ha effettivamente impattato la rete interna dell'azienda, che è andata in down, subendo un'interruzione. Tuttavia Enel ha dichiarato che i sistemi di cyber difesa aziendali hanno funzionato e l'infezione non si è diffusa.
Questa la nota inviata da Enel alla redazione di Bleeping Computer:
"Enel Group informa che Domenica sera si è verificata un'interruzione della rete IT interna, conseguente all'individuazione da parte del sistema antivirus di un ransomware. In forma precauzionale l'Azienda ha temporaneamente isolato la rete aziendale per poter effettuare tutti gli interventi necessari ad eliminare qualsiasi rischio residuale. La connessione è stata ripristinata in sicurezza Lunedì mattina. Enel informa che non si sono verificati problemi critici riguardo i sistemi di controllo da remoto degli asset di distribuzione delle centrali elettriche e che i dati dei clienti non sono stati esposti a terzi".
Come si è svolto l'attacco?
SNAKE è un ransomware specializzato in attacchi mirati: una volta distribuito contro un target bersaglio esegue una serie di controlli sui domini interni e sugli indirizzi IP, per verificare di trovarsi in esecuzione effettivamente nella rete corretta. Se questa verifica fallisce, il ransomware non avvia alcuna routine di criptazione.
Enel non ha parlato apertamente, in alcuna comunicazione ufficiale, del ransomware SNAKE, ma un ricercatore di sicurezza indipendente Milkream ha individuato un campione di SNAKE inviato a VirusTotal in data 7 Giugno e che esegue le verifiche sul dominio "enelint.global", dominio posseduto da Enel e che reindirizzava, quando era attivo, alla pagina internazionale dell'azienda.
Non sono disponibili dettagli su come gli attaccanti siano riusciti ad accedere alla rete: il sospetto dei ricercatori di sicurezza è che un possibile punto di accesso sia stata una connessione di desktop remoto (RDP) esposta. Enel non ha fatto alcun riferimento al punto di accesso, ma alcuni ricercatori hanno scoperto che sia Honda che Enel avevano connessioni RDP esposte pubblicamente in Internet .
Il sospetto si fa concreto quando è stato verificato da parte degli stessi ricercatori che le connessioni esposte riferivano a macchine su enelint.global e mds.honda.com (quest'ultimo dominio è stato sottoposto a verifica da parte di SNAKE durante l'attacco alla Honda).
Fonte: https://twitter.com/1ZRR4H |
Ci sono state conseguenze?
Come detto, sia Enel che Honda hanno dichiarato pubblicamente che l'attacco ransomware è fallito: tuttavia non si hanno informazioni su quando gli attaccanti sono entrati nella rete e se, nel frattempo, abbiano avuto il tempo di procedere al furto di dati. Queste informazioni saranno disponibili, probabilmente, nei prossimi giorni.
Una delle conseguenze più importanti è che l'attacco a Enel dimostra che i ransomware, anche quando programmati per attacchi mirati (quindi dettagliatamente studiati per funzionare su un bersaglio specifico), possono essere individuati e bloccati prima che possano produrre danni effettivi. E' la realizzazione pratica del concetto di Proattività: saper prevenire, intervenire per tempo per prevenire gli attacchi, senza al contrario reagire solo a danno già subito. In questo caso, se i sistemi di difesa di Enel non avessero impedito l'infezione, avremmo avuto in blackout di proporzioni difficilmente quantificabili, come già successo in Ucraina quasi tre anni fa in attacchi simili.
Il ransomware SNAKE in breve
E' un malware piuttosto nuovo nel panorama dei ransomware ed è specializzato, come ormai è di moda tra i ransomware, negli attacchi mirati. In maniera molto simile ad altri malware, Stuxnet e Ryuk in primis, è progettato per colpire i sistemi di controllo industriale (ICS). Come la gran parte dei ransomware di questo tipo, ha codice altamente offuscato per ridurre il rischio di individuazione, è solito eliminare le Shadow Volume Copies per impedirne l'utilizzo per ripristinare i sistemi e prevede l'arresto di numerosissimi processi collegati ai sistemi SCADA, alle virtual machine, ai sistemi di controllo industriale, ai tool di gestione da remoto, ai software di gestione delle reti ecc... L'estensione di criptazione che utilizza è una stringa di 5 caratteri variabili
Nessun commento:
Posta un commento