Attacco ransomware a un'azienda nel settore energetico

Dopo l’attacco informatico all'ENI e alla GSE, pare che l’ondata di attacchi cyber alle aziende energetiche italiane non si sia arrestato. Uno dei più recenti, il terzo di probabile matrice russa, ha avuto come oggetto una azienda affiliata alla Canarbino, un gruppo nato nel 2010 e diventato un leader nazionale nel campo dell’energia.

Andrea Saturnino, ICT Security Specialist di Sababa Security, ha commentato l’attacco ransomware con alcune interessanti riflessioni.

“Pochi giorni fa un’azienda affiliata di Canarbino, azienda attiva nel settore energetico, è stata soggetta ad un attacco informatico di tipo ransomware, in quello che risulta essere il terzo attacco contro un’azienda italiana dell’energia in poco più di 10 giorni.

Canarbino, tramite una nota ufficiale, fa sapere che l’attacco ha causato un piccolo disservizio ma che i sistemi di protezione dell’azienda hanno mitigato la minaccia e che non ci sono state fuoriuscite di dati sensibili, lasciando quindi ipotizzare che l’attacco sia fallito.

L’azione non è ancora stata rivendicata e, visto l’esito, potrebbe non succedere neanche in futuro a meno che gli attaccanti non siano riusciti effettivamente ad esfiltrare dei dati interessanti, andando quindi a contraddire la nota dell’azienda.

Anche se non è presente una rivendicazione, la tipologia dell’attacco e il settore in cui opera Canarbino rende possibile restringere il perimetro dei possibili indiziati intorno a due gruppi, BlackCat e Lockbit. BlackCat, conosciuto in precedenza come AlphaV o AlphaVM è stato protagonista degli attacchi contro ENI e GSE nei giorni precedenti, rendendolo quindi uno degli attaccanti plausibili vista l’inclinazione verso le aziende energetiche. Lockbit, dal canto suo, si è resa protagonista nelle ultime settimane degli attacchi contro le istituzioni italiane e può vantare il record di attacchi ransomware effettuati nel 2022."

Una matrice (probabilmente) russa 

"È degno di nota infatti - prosegue Saturnino - che i due gruppi criminali si dividono rispettivamente il secondo e il primo posto per il numero di attacchi ransomware effettuati durante la prima metà del 2022, con circa 440 attacchi per Lockbit e circa 120 attacchi per BlackCat, anche se probabilmente i numeri risultano essere “gonfiati” dal servizio Ransomware-as-a-Service offerto da entrambi.

Alla luce dell’attuale situazione geopolitica e della crisi energetica in atto sembra comunque certa la matrice russa dell’attacco, la quale potrebbe aver assoldato diversi gruppi criminali per effettuare una massiccia campagna di attacchi informatici contro aziende italiane ed europee sin dall’inizio delle operazioni in Ucraina.

L’attacco al settore energetico italiano non è un caso isolato, sia in Europa che in Nord America stanno avvenendo operazioni contro aziende del settore dell’energia come la greca DESFA a fine agosto, la lussemburghese Creos a inizio agosto, l’americana Colonial Pipeline a maggio e in generale verso diverse aziende tedesche, olandesi e belghe.

Il trend di attacchi verso le istituzioni e le aziende europee strategiche sembra destinato ad aumentare con l’acuirsi delle tensioni tra Russia e Nato, in quella che è a tutti gli effetti una guerra informatica con conseguenze pratiche non solo per le aziende colpite ma anche per la vita quotidiana dei cittadini europei.”