Flash news

Eni SpA colpita da attacco ransomware

Eni è il più recente attacco informatico rivolto all’Italia delle partecipate e delle istituzioni. Seguito solo negli ultimi quattro giorni da Gse, Comune di Gorizia, Studio Grande Stevens e gruppo Angelantoni

Il colosso petrolifero italiano Eni ha segnalato mercoledì (31 agosto) un attacco informatico alle sue reti di computer. L’attacco sembrava essere un tentativo di ransomware che ha inflitto solo lievi danni secondo quanto dichiarato dall’azienda italiana. Tuttavia al momento non sono presenti rivendicazioni criminali lato cyber tramite le quali, nella maggior parte dei casi riusciamo a capire l’effettiva entità del danno, a seguito dell’esposizione di un data breach. Resta sotto osservazione la cyber gang CUBA.

Eni riferisce di attacco hacker alla propria rete

Un rappresentante dell’azienda ha dichiarato a Bloomberg News “Eni conferma che i sistemi di protezione interni hanno rilevato negli ultimi giorni accessi non autorizzati alla rete aziendale”.

I gruppi della criminalità informatica organizzata utilizzano sempre più il ransomware per attaccare le aziende del settore energetico poiché la continuità del servizio è estremamente importante per questo settore, che diventa strategico per ogni paese. Spesso, le aziende energetiche sono disposte a pagare un riscatto pur di riprendere rapidamente le operazioni.

Insider anonimo su Twitter condivide una comunicazione interna della società, sull’attacco informatico

I casi recenti nel settore energia

All’inizio di questo mese, la società energetica lussemburghese Encevo è stata attaccata da ransomware di gruppi strettamente affiliati al gruppo che ha eseguito l’attacco dell’anno scorso all’operatore Colonial Pipeline, un attacco informatico che ha fatto crollare il più grande gasdotto di carburante degli Stati Uniti e che ha fatto storia.

Sebbene l’attacco informatico all’operatore di gasdotti e fornitore di energia elettrica Encevo non abbia portato a interruzioni nelle consegne di energia, RTL Luxembourg ha riferito che i dati dei suoi clienti sono finiti nel dark web e che l’azienda ha lottato per settimane per riportare i suoi sistemi alla normalità operazioni.

Il movente è quasi sempre quello finanziario, se parliamo di ransomware. L’80% delle organizzazioni colpite da attacchi ransomware ha pagato il riscatto per riottenere l’accesso ai dati aziendali, dati Kapersky. Nello scenario internazionale attuale tuttavia, focalizzare l’attenzione sul comparto energia, con una crisi del gas dettata dalla guerra russa in Ucraina, significa intervenire anche dal punto di vista ideologico per rallentare o mettere in difficoltà l’approvvigionamento obbligatorio per chiunque, alle porte dell’inverno.

Eni e Gse segnano la settimana cyber italiana

La società riferisce che le conseguenze dell’odierno attacco informatico ai sistemi di Eni appaiono “minori”, ma la minaccia per l’industria energetica e la pubblica amministrazione italiana, sembra non fermarsi, solo se guardiamo indietro degli ultimi sette giorni, non c’è da dormire sogni tranquilli. In effetti questo attacco arriva proprio a distanza di pochi giorni dall’attacco rilevato contro Gse il Gestore dei servizi energetici italiano, società partecipata interamente dal Ministero Economia e Finanze (MEF).

Anche in questo caso un ransomware, del quale ancora non si conoscono i dettagli e non risultano rivendicazioni 1. Per le indagini sulla vicenda Gse sembrano essere scesi in campo, oltre i reparti speciali della Polizia Postale supportati da ACN, anche i servizi di intelligenze AISE e AISI.

1 Aggiornamento 02-09-2022 è stata pubblicata la rivendicazione dalla cyber gang BlackCat/ALPHV. 700 GB di dati esfiltrati, con la minaccia di pubblicazione, in assenza di trattativa.

Comuni e aziende importanti per l’Italia con il ransomware in agosto

Ma la PA italiana il 28 agosto ha visto anche attacchi minori, ma pur sempre strategici e assolutamente evitabili semplicemente con l’introduzione nelle postazioni di lavoro, di buone pratiche di sicurezza, ormai indispensabili. Parlo del Comune di Gorizia e del gruppo societario Angelantoni ma anche dell’importante studio legale Grande Stevens.

“Abbiamo subito un pesantissimo attacco hacker e poi ci hanno chiesto un riscatto di tre milioni in criptovaluta. Non lo abbiamo mai pagato ma stiamo ancora cercando di ricostruire tutti i file che ci hanno sottratto”, ha dichiarato il presidente di Angelantoni.

Nell’intervista al Corriere dell’Umbria, il presidente della società parla dei disservizi subiti a seguito dell’attacco e che per il ripristino ci sono volute ore di lavoro extra per tutto il personale.

Tuttavia questo pezzo, citando direttamente le parole del presidente, penso meriti una attenta lettura, proprio per comprendere quale NON deve essere l’approccio al ransomware.

“In un primo momento era stata di tre milioni, poi il prezzo era un po’ sceso. Le trattative con il gruppo le ha tenute per noi un intermediario. Il gruppo che ci ha attaccato minacciava di pubblicare nel dark web i dati sensibili sottratti. Cosa che poi in parte è anche accaduta. Ma abbiamo valutato che non c’erano elementi inediti se non per un progetto che poi abbiamo fatto nuovamente e quindi non abbiamo mai aderito alle loro richieste“.

Possiamo dunque stare tranquilli sul fatto che il pagare o meno un riscatto criminale sia dettato unicamente dalla valutazione effettuata sul cosa mi hanno rubato?

Poi c’è Grande Stevens sempre nella giornata del 28 agosto. La cyber gang BlackByte rivendica di aver colpito il più storico e importante studio legale d’Italia, Grande Stevens. Collegato ad una delle più importanti famiglie d’Italia, gli Agnelli e il cui fondatore Franzo Grande Stevens è anche presidente onorario della squadra di calcio Juventus.

Il ransomware sembra aver rubato una grande quantità di dati tra cui atti e fascicoli di cause dei clienti, offrendo al pubblico 440 MB a titolo di esempio.

Presto dunque arriverà un’altra grande quantità di dati riservati alla mercé di chiunque.

Giorni caldi dunque che, lato sicurezza informatica, seppur agosto sia terminato, non sembrano offrire segnali di arresto. La corrente campagna elettorale in vista delle elezioni del 25 settembre 2022 non aiuta questo scenario, vista la scarsa ricorrenza della parola “cybersecurity” tra i programmi dei vari partiti e schieramenti politici.