Le infrastrutture energetiche italiane stanno subendo un'ondata di attacchi ransomware. Da GSE ad ENI, passando per Canarbino, qualcuno sta puntando ad infrastrutture critiche del nostro paese
BlackCat attacca GSE: dopo una settimana è tornato online solo il sito web
GSE, Gestore dei servizi energetici, è una società pubblica controllata dal Ministero dell'economia e delle finanze. Si occupa di energie rinnovabili. Nella notte tra il 28 e il 29 Agosto
"il Gse è stato vittima di un attacco informatico per mezzo di un malware di ultima generazione. Al fine di mettere in sicurezza i dati e i sistemi informativi, il sito internet e i portali sono stati resi temporaneamente indisponibili”
come ha fatto sapere il gestore stesso, dichiarando anche di aver tempestivamente segnalato l'attacco alle autorità competenti. Il sito web è finito offline e il ripristino è riuscito solo pochi giorni fa. L'attacco è stato rivendicato da una vecchia conoscenza, che in Italia si è già fatta notare più volte: parliamo dell'operazione ransomware BlackCat.
Per approfondire > L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva
La rivendicazione è avvenuta, come da consuetudine, nel leak site di Black Cat: qui gli attaccanti affermano di aver esfiltrato 700 GB di dati dall'infrastruttura GSE
 |
| Fonte: leak site di BlackCat / ALPHV |
Tra i sample pubblicati "a mò di riprova" dagli attaccanti si trovano non solo dati personali ma anche informazioni riservate di GSA. Il resto dei dati rubati dovrebbe contenere anche delibere e verbali interne, report dei vertici aziendali, informazioni del gestore dei mercati energetici ecc...
 |
| Fonte: leak site di BlackCat / ALPHV |
 |
| Fonte: leak site di BlackCat / ALPHV |
I tecnici sono riusciti al momento a far tornare online il sito web di GSE, ma il resto rimane bloccato a causa dell'attacco. Stando alle dichiarazioni che GSE ha rilasciato alla stampa, il ripristino completo dei sistemi con riattivazione dei servizi ai clienti dovrebbe avvenire entro la giornata di oggi, 7 Settembre. GSE ha comunque affermato, fin da subito, che
“l’attività di acquisto di gas per il servizio di ultima istanza affidato dal Gse è garantita”.
Aggiornamento del 09/09/2022
Il post riguardo GSE sul leak site di BlackCat è stato eliminato. Difficile dire quali siano i motivi, ma non si può escludere che il riscatto sia stato pagato. Nel frattempo il sito di GSE è tornato online, ma l'Area Clienti non è ancora disponibile.
Ransomware contro ENI, ma le difese reggono
Due giorni dopo l'attacco subito da GSE, anche ENI subisce un attacco informatico. Eni confermava che
“nei giorni scorsi i sistemi di protezione interna hanno identificato un accesso non autorizzato alla rete aziendale”.
I danni sembrano però essere di lieve entità e, va detto, non c'è neppure certezza che si sia trattato di un attacco ransomware, anche se quanto trapelato conduce quantomeno al fatto di poter ritenere verosimile che sia stato un tentativo di attacco ransomware.
Anche Canarbino vittima di attacco informatico
La scorsa settimana è finita sotto attacco anche la Canarbino, un gruppo che è nato nel 2010 ed ha un respiro nazionale nel mercato dell'energia. In questo caso la Polizia Postale, in collaborazione con la Procura di Genova, sta indagando sull'accaduto.
Per quanto per ora è trapelato pubblicamente, pare che un ransomware sia riuscito a penetrare nell'infrastruttura IT di un'azienda affiliata di Canarbino, avente sede a Sarzana. Ad ora comunque non risulta una rivendicazione sull'attacco: i principali gruppi ransomware non hanno ancora pubblicato, sui propri leak site, alcuna rivendicazione né sample riconducibili a Canarbino.
Il gruppo ha comunque pubblicato una nota ufficiale sull'accaduto, spiegando che
“una controllata è stata oggetto di un attacco cyber nei giorni scorsi. I sistemi di protezione del Gruppo hanno consentito di fronteggiare l’attacco che non ha causato significativi disservizi per i clienti, né la sottrazione di dati sensibili degli stessi. I sistemi informatici sono stati prontamente riattivati in sequenza, dopo un’attenta attività di verifica e analisi, e sono tornati pienamente funzionanti”.
Le infrastrutture energetiche italiane coinvolte nella cyber-guerra?
Visto il periodo di forti tensioni internazionali, che proprio sulle risorse energetiche si stanno ancora di più acuendo, è quantomeno legittimo sospettare che l'Italia sia bersaglio di una campagna di attacchi mirati cosiddetti state sponsored, cioè condotti da gruppi di attaccanti affiliati o quantomeno collaboranti con entità statuali straniere.
Va però detto che, guardando al caso di GSE, la rivendicazione dell'attacco da parte del gruppo ransomware BlackCat apre le porte invece alla possibilità che si tratti di comune cyber-delinquenza finalizzata alla mera massimizzazione dei profitti. BlackCat non è direttamente riconducibile al Cremlino e, va detto, ha già colpito in Italia più enti e organizzazioni che non rappresentano infrastrutture critiche per il paese. Il quadro potrebbe chiarirsi meglio se, nei prossimi giorni, verranno pubblicate da qualche operazione ransomware le rivendicazioni degli attacchi a Eni e Canarbino.
Per ora resta una sola conferma: l'Italia è stata eletta come terreno di caccia delle principali operazioni ransomware. Il perché è desumibile dalle varie interviste, ovviamente anonime, rilasciate dai portavoce dei vari gruppi alla stampa italiana: in Italia abbiamo una grave carenza di cyber sicurezza...
Nessun commento:
Posta un commento