Per Enel, uno dei più importanti player dell’industria energetica a livello mondiale eppure, il 2020 è stato un annus horribilis per l’organizzazione sotto diversi aspetti:
- ha subito ben due attacchi ransomware,
- un’ipotesi di data breach
- ha pagato richieste di riscatto per milioni di dollari.
Ma cosa successe nello specifico a Enel?
In questo articolo ci occuperemo di illustrare i retroscena dell’accaduto.
Sommario degli argomenti:
Enel S.p.A., durante il 2020, è stata vittima di ben due attacchi ransomware.
Complice lo scoppio della pandemia e il particolare momento di vulnerabilità dei settori produttivi, gli attacchi hacker in quel periodo hanno fatto registrare una crescita esponenziale.
Basti pensare che, nello stesso 2020, i pirati informatici hanno avuto nel mirino aziende del calibro de:
- Gruppo Carraro
- Campari
- Geox
- Luxottica e tante altre.
Per ciò che concerne nello specifico Enel, riportiamo di seguito un breve accenno su ciascuno dei cyberattacchi di cui è stata vittima, per poi approfondirne ulteriormente la trattazione nei prossimi paragrafi.
Ekans/Snake ransomware
Il primo, avvenuto tra il 7 e l’8 giugno 2020, fu messo a segno dal ransomware Ekans (ecco un interessante articolo di Onorato Informatica che analizza la minaccia: Ekans Ransomware) che costrinse al temporaneo isolamento della rete interna per limitare una possibile fuga di dati.
NetWalker ransomware
Nell’ottobre dello stesso anno, il colosso dell’energia dovette poi fronteggiare una richiesta di riscatto di 1234,0238 Bitcoin, corrispondenti a 14 milioni di dollari.
L’attacco in questione portava la firma del gruppo criminale NetWalker.
Come da prassi per ogni attacco ransomware che si rispetti, i cybercriminali non mancarono di minacciare la divulgazione di circa 4,54 Terabyte di dati illegalmente esfiltrati se non si fosse provveduto al pagamento della somma richiesta entro una settimana.
Date le dimensioni dell’azienda, un quantitativo di questo calibro potrebbe anche essere considerato irrisorio, se non si tiene conto, però, di due fattori come
- la natura intrinseca di questi dati,
- nonché la loro rilevanza per il business.
Ma procediamo con l’analizzare gli episodi più nel dettaglio.
Ekans, è un ransomware di “fascia alta”, specializzato nel colpire i sistemi di controllo industriale (ICS).
Poiché sprovvisto di un sistema di propagazione integrato, è essenziale che vi sia una persona fisica a eseguirlo tramite
- file eseguibili di tipo update.exe o ekans.exe
- o addirittura da remoto tramite script.
L’obiettivo principale del ransomware è la criptazione dei file con conseguente richiesta di riscatto. Ed effettivamente questo fu il modus operandi messo in atto da Ekans.
Scritto in linguaggio di programmazione Go, si presenta come una variante offuscata di un ransomware.
In linea generale, il suo modello di funzionamento prevede le seguenti operazioni:
- ricerca degli indirizzi IP attraverso l’esecuzione di query DNS
- comparazione degli IP trovati con una lista di obiettivi in target
- impostazione sul software della vittima di un valore Mutex tale da impedire che più task paralleli accedano direttamente ai dati
- arresto forzato dei processi
- eliminazione di tutti i backup della memoria shadow, così da impedire il ripristino del sistema
- crittografia dei file
La buona notizia è che, non essendo molto articolato nella sua implementazione, Ekans non è in grado di manipolare da remoto i processi dell’ICS, limitandosi a terminarli.
Pur essendo una minaccia fino ad allora sconosciuta (o 0-days, come la si definirebbe in gergo), ossia più difficile da arginare proprio per le sue caratteristiche non note, la strutturazione semplicistica fornitagli dagli hacker che l’hanno implementato potrebbe essere stata la chiave del suo insuccesso.
I sistemi di cybersicurezza di Enel, come già riportato, sono riusciti a contenere il pericolo con solo un temporaneo isolamento della rete tale da impedire una fuga di dati, ma non è andata meglio a Honda.
Nello stesso anno, infatti, anche il colosso automobilistico è stato vittima del medesimo ransomware: in quel caso si è stati costretti a una temporanea interruzione dei servizi finanziari e del customer care.
All’epoca dei fatti, Enel ha dichiarato il fallimento dell’attacco, ma non sono mai stati forniti dettagli su come i cracker avessero avuto accesso alla rete aziendale. Tuttavia, si teorizzano due ipotesi:
- la prima è la consueta diffusione attraverso mail di phishing
- mentre l’altra ha nel mirino le connessioni Desktop Remoto (RDP), di per sé usate per manutenzione, supporto remoto e telelavoro.
Noto dal settembre 2019 sotto l’appellativo di Mailto, NetWalker ha conosciuto il suo periodo di massima espansione nel corso del 2020.
Si presenta come malware fileless la cui particolarità risiede nel non infettare direttamente i file, ma nell’allocarsi nella RAM della vittima in modo tale da divenire invisibile agli antivirus.
Distrubuito come RaaS (Ransomware as a Service), è in realtà il tassello di una catena di attacco più complessa, poiché viene utilizzato essenzialmente come strumento di post-exploitation, ovvero dopo l’immissione fraudolenta nel sistema.
Nella vicenda Enel, NetWalker si è reso responsabile di una vera e propria esfiltrazione di dati (data breach), le cui prove sono state inconfutabilmente diffuse sul web. Primo tra tutti, BleepingComputer, un portale specializzato in cybersecurity su cui è stata condivisa la scoperta dell’attacco da parte di un ricercatore informatico.
Infatti, i pirati informatici, a seguito dell’exploit, hanno inviato screenshot di prove sull’avvenuta crittazione dei file. Da ciò, è emerso come avessero preso possesso di dati relativi alle centrali elettriche site in Italia e all’estero (Cile, Colombia, Francia, Grecia, Romania, ecc.) nonché di dati strettamente aziendali.
Vale la pena ricordare come NetWalker avesse preso di mira Enel già nel mese di luglio, anche se le difese del sistema avevano in quel caso impedito il peggio.
Purtroppo, non è dato sapere cosa sia effettivamente successo a seguito di quel complicato ottobre 2020.
Ciò che è noto, però, è il processo di efficientamento cui è stato sottoposto NetWalker: se prima, infatti, venivano forniti indirizzi e-mail anonimi per ricontattare il team e procedere al pagamento del riscatto, dal marzo di quello stesso anno, è stata implementata un’interfaccia specifica: la NetWalker Tor. Attraverso questa gli hacker si garantivano una maggiore tutela nella non tracciabilità della comunicazione.
Con questo metodo, infatti, all’utente veniva richiesto di:
scaricare il browser Tor
accedere al portale tramite la chiave personale fornita per e-mail
Successivamente, la vittima veniva reindirizzata su una chat Messenger di supporto tecnico.
In tal modo si preservavano contemporaneamente:
- l’anonimato dell’hacker
- la tracciabilità della transazione
Oltre ad Enel, nel corso del 2020, grazie anche a questi efficientamenti, NetWalker ha messo a segno circa 9 attacchi informatici a danno di grosse entità industriali a livello globale. Tra le altre si annoverano:
- Equinix
- il fornitore di software di sicurezza Cygilant
- Tandem Corp
- Jands
- il produttore di batterie al litio Forsee Power
- e la texana Trinity Metro
Trattandosi di un settore strategico per la tenuta dell’intera economia, gli attacchi al comparto dell’energia rappresentano la punta dell’iceberg di un sistema dove la minaccia telematica si tramuta costantemente in minaccia reale.
Emblematico da questo punto di vista fu il cyber attacco che il 23 dicembre 2015 colpì la Compagnia ucraina “Prykarpattya Oblenergo”. Oltre 200.000 persone rimasero al buio per sei ore e, nel contesto bellico del Donbass russofono, fu facile additare il Cremlino circa la responsabilità di tale azione.
Ma gli esempi sono innumerevoli. Pensiamo alla Oiltanking tedesca che, dopo aver subito un attacco probabilmente ransomware, per un po’ di tempo è stata costretta ad operare con limitata capacità invocando uno stato di forza maggiore.
O ancora l’esempio di Saudi Aramco, una delle maggiori produttrici di petrolio, che si vide pervenire una richiesta di riscatto di 50 milioni di dollari e che, secondo fonti della Associated Press (AP), subì l’esfiltrazione e la diffusione di un Terabyte di dati.
Che cosa avrebbero dovuto fare Enel e le altre vittime, quindi, per fronteggiare in maniera adeguata questi attacchi? Come impedire un data breach, ossia la violazione di dati sensibili di azienda e dipendenti?
Per rispondere ai nostri quesiti è necessario allacciarsi al tema della Cybersecurity attraverso la Cyber Threat Intelligence (CTI).
La CTI rappresenta la capacità di Intelligence sviluppata nell’ambito della sicurezza informatica.
Essa include la
- raccolta
- e l’analisi di informazioni
al fine di caratterizzare possibili minacce cyber dal punto di vista
- tecnico
- di risorse
- di motivazioni
- e di intenti
spesso in relazione a contesti operativi specifici.
Tutto ciò consente di indentificare
- i possibili punti di attacco
- la probabilità che un attacco informatico sia portato a segno
- e le contromisure più adeguate per contrastarlo.
Avendo constatato che anche le più grandi realtà aziendali non sono immuni agli attacchi informatici, vediamo brevemente alcuni semplici accorgimenti da adottare per potenziare la propria sicurezza in rete, che se ne fruisca da semplici utenti o da dipendenti
- effettuare il backup periodico dei dati
- attivare l’autenticazione a due fattori (two factor authentication) degli account aziendali
- aggiornare costantemente i software
- non scaricare applicazioni sospette;
- non aprire mail sospette
- usare password più sicure
Tornando alla nostra domanda, è bene sottolineare quanto le aziende debbano affidarsi ad esperti di cybersecurity perché all’aumentare del progresso tecnologico crescono gli attacchi e, di conseguenza, la necessità di munirsi di tutte le misure di sicurezza più adeguate.
Pagare il riscatto è la soluzione più comoda, ma non fornisce alcuna garanzia, oltre a finanziare direttamente le organizzazioni criminali.
Oltre al danno economico, si corre infatti il rischio di non ricevere i codici di sblocco, o addirittura di finire in “liste di pagatori” potenzialmente soggetti a periodici attacchi ransomware.
La soluzione consigliata è quella di rivolgersi a tecnici specializzati in cybersecurity capaci di fronteggiare le minacce.
Emerge, quindi, chiaramente come la partita a scacchi tra cracker ed ethical hacker si giochi in maniera preponderante sulla velocità di esecuzione. L’intento dei cyber criminali è quello di riuscire a colpire prima che le vittime abbiano aggiornato i sistemi.
Azienda per il monitoraggio e la prevenzione degli attacchi informatici
Siamo un’azienda specializzata in consulenza di sicurezza informatica.
Il nostro team di specialisti cybersecurity vanta un’esperienza decennale nel settore: ci occupiamo di identificare le vulnerabilità nei sistemi informatici e nelle applicazioni web.
Cyberment ha 3 sedi dalle quali studia con costanza l’evoluzione delle minacce informatiche, tra cui: Milano, Mantova e Londra.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione, contattaci e parlaci dei problemi della tua azienda.
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.