Il mondo sta vivendo un periodo storico degno di nota, questo è certo. La pandemia prima e le tensioni da Russia, Ucraina e Nato poi e l’attuale crisi energetica, hanno scatenato una serie di fenomeni preoccupanti che giornalmente minacciano non solo i comuni cittadini, ma anche aziende e organizzazioni di tutti i settori, in particolare quello energetico. Proprio il settore energetico, da qualche mese a questa parte, è il bersaglio preferito di criminali informatici che sferrano attacchi ransomware per poi guadagnare ingenti somme di denaro in cambio dei dati e delle informazioni sensibili rubati ai malcapitati. Degni di nota sono gli attacchi subiti recentemente da ENI e GSE.
Andrea Saturnino, ICT Security Specialist di Sababa Security, ha commentato l’attacco ransomware ai danni di un’azienda affiliata di Canarbino anch’essa, non a caso, operante nel settore energetico. Nessuna organizzazione criminale ha rivendicato il colpo, ma l’esperto espone il suo pensiero come segue.
“Pochi giorni fa un’azienda affiliata di Canarbino, azienda attiva nel settore energetico, è stata soggetta ad un attacco informatico di tipo ransomware, in quello che risulta essere il terzo attacco contro un’azienda italiana dell’energia in poco più di 10 giorni. Canarbino, tramite una nota ufficiale, fa sapere che l’attacco ha causato un piccolo disservizio ma che i sistemi di protezione dell’azienda hanno mitigato la minaccia e che non ci sono state fuoriuscite di dati sensibili, lasciando quindi ipotizzare che l’attacco sia fallito.
L’azione non è ancora stata rivendicata e, visto l’esito, potrebbe non succedere neanche in futuro a meno che gli attaccanti non siano riusciti effettivamente ad esfiltrare dei dati interessanti, andando quindi a contraddire la nota dell’azienda.
Anche se non è presente una rivendicazione, la tipologia dell’attacco e il settore in cui opera Canarbino rende possibile restringere il perimetro dei possibili indiziati intorno a due gruppi, BlackCat e Lockbit. BlackCat, conosciuto in precedenza come AlphaV o AlphaVM è stato protagonista degli attacchi ransomware contro ENI e GSE nei giorni precedenti, rendendolo quindi uno degli attaccanti plausibili vista l’inclinazione verso le aziende energetiche. Lockbit, dal canto suo, si è resa protagonista nelle ultime settimane degli attacchi contro le istituzioni italiane e può vantare il record di attacchi ransomware effettuati nel 2022.
È degno di nota infatti che i due gruppi criminali si dividono rispettivamente il secondo e il primo posto per il numero di attacchi ransomware effettuati durante la prima metà del 2022, con circa 440 attacchi per Lockbit e circa 120 attacchi per BlackCat, anche se probabilmente i numeri risultano essere “gonfiati” dal servizio Ransomware-as-a-Service offerto da entrambi.
Alla luce dell’attuale situazione geopolitica e della crisi energetica in atto sembra comunque certa la matrice russa dell’attacco, la quale potrebbe aver assoldato diversi gruppi criminali per effettuare una massiccia campagna di attacchi informatici contro aziende italiane ed europee sin dall’inizio delle operazioni in Ucraina.
L’attacco al settore energetico italiano non è un caso isolato, sia in Europa che in Nord America stanno avvenendo operazioni contro aziende del settore dell’energia come la greca DESFA a fine agosto, la lussemburghese Creos a inizio agosto, l’americana Colonial Pipeline a maggio e in generale verso diverse aziende tedesche, olandesi e belghe.
Il trend di attacchi ransomware verso le istituzioni e le aziende europee strategiche sembra destinato ad aumentare con l’acuirsi delle tensioni tra Russia e Nato, in quella che è a tutti gli effetti una guerra informatica con conseguenze pratiche non solo per le aziende colpite ma anche per la vita quotidiana dei cittadini europei”.
