9 Settembre 2022

Chi c’è veramente dietro agli attacchi informatici alle nostre aziende di energia?

C’è una mano statale estera dietro agli attacchi informatici alle nostre aziende di energia? L’intelligence e le agenzie per le informazioni e la sicurezza interna ed esterna stanno lavorando per riuscire a trovare il responsabile. Anche la Polizia Postale sta entrando nel pieno della questione, setacciando la procedura e la geografia degli attacchi, senza mai abbassare la guardia.

Gli attacchi non hanno compromesso i sistemi informatici

L’ultimo caso noto riguarda il gruppo Canarbino, con sede in Liguria. Si tratta di un’azienda molto importante che si occupa di importazione ed esportazione di gas. Nonostante tutto, sembra che l’attacco hacker non abbia compromesso il sistema informatico dell’azienda.

Il sito di Gse, il gestore italiano dei servizi energetici, dopo l’attacco della notte tra il 28 e il 29 agosto, avrebbe ripreso a funzionare. Il cyber attacco è stato rivendicato dal gruppo Alphv/BlackCat. Anche l’attacco ad Eni non ha avuto particolari ripercussioni, grazie alla tempestività del sistema di sicurezza aziendale che ha intercettato velocemente i primi segnali della violazione.

Chi voleva attaccare, sapeva bene chi voleva colpire e soprattutto quali effetti voleva provocare.

Anche la sanità corre dei rischi

L’agenzia per la cybersicurezza nazionale (ACN) ha notato che un altro settore è finito sotto tiro: stiamo parlando della sanità italiana. Abbiamo già potuto constatare il pericolo lo scorso agosto, nella Asl di Torino, dove hanno cominciato a saltare prenotazioni, analisi, e risultava impossibile pagare con PagoPA o scrivere referti al PC.

Potrebbe accadere ovunque, con notevoli ricadute sui cittadini italiani. Proprio per questo motivo le preoccupazioni sono altissime. ACN deve assicurare urgentemente alla sanità pubblica adeguati livelli di sicurezza, per evitare che si ripetano o intensifichino questi attacchi.

Non è una cosa nata il 24 febbraio

Il sottosegretario della Presidenza del Consiglio, Franco Gabrielli, ha dichiarato: «Da tempo viviamo sotto attacco, non è una cosa nata il 24 febbraio. Mentre parliamo ci sono Francia, Gran Bretagna, Grecia e Montenegro sotto attacco. È un fenomeno che non può essere riferibile solo alle vicende belliche che stanno interessando il nostro continente, e non solo».

Continua: «Siamo in quella che è stata definita la prima guerra ibrida, un’altra guerra non meno pericolosa e preoccupante. Più che preoccuparci delle conseguenze, dovremmo preoccuparci di una maggiore resilienza e maggiore capacità di far fronte agli attacchi».

La keyword “Italy”

L’Italia è da sempre una delle nazioni maggiormente colpite dal cybercrimine. I criminali, infatti, puntano a fare soldi facili, e per farlo attaccano i Paesi più ricchi. Negli ultimi tempi, le cose hanno cominciato ad accelerare, e nel dark web si è registrato anche un picco di richieste nei confronti di bersagli italiani.

Secondo Swascan, ad agosto nel dark web si è registrato un picco di ricerche con la keyword “Italy”. Ci troviamo in due forum molto frequentati dai cybercriminali, ovvero Breached.to e XSS. In questi forum ci sono dati di ogni genere, dalla moralità discutibile, provenienti da furti di credenziali e intrusioni informatiche, avvenute tramite truffe o phishing.

Pierguido Iezzi, amministratore delegato di Swascan, ha detto: «Gli annunci di compravendita dati con oggetto “Italy” sono passati dai cinque del mese di giugno agli oltre 60 del mese di agosto, a conferma del particolare interesse dei criminali nei confronti delle nostre aziende. Un trend che era già stato preannunciato dal Copasir e che forse si giustifica con il fatto che i criminali vedono un ritorno dei loro investimenti attaccando il nostro Paese».

I cybercriminali vendono i nostri dati

I bersagli possibili sono tutti da verificare, anche se non mancano quelli di alto profilo. In un post pubblicato su Breached.to rilasciato il 25 agosto, un criminale ha dichiarato di essere in possesso di un database di 36mila documenti, contenente anche le credenziali di accesso a quello che sembrava un sistema della rete ferroviaria italiana.

Secondo un altro post, sarebbero a disposizione anche le credenziali di accesso alle webcam dell’azienda HikVision presenti in Italia, gestibili anche da remoto grazie ad una vulnerabilità che non è ancora stata corretta.

Non mancano i cybercriminali più sfacciati, che rilasciano richieste esplicite di materiale che agevola le intrusioni informatiche. I budget per questi materiali arrivano sino a 25.000 euro a richiesta.

Gli accessi avvengono tramite Tor

Sul forum criminale XXS troviamo una situazione molto simile. Le richieste si sono concentrate a giugno e a luglio, con una pausa ad agosto.

I post di questo forum sono molto più espliciti. Un criminale, infatti, ha offerto “pacchetti di accessi tramite vulnerabilità e credenziali” nei confronti di 50 aziende italiane.

Non mancano le proposte per le aziende ospedaliere, cliniche private e grandi aziende. Non è facile stabilire chi accede a questi forum, ma quel che è certo è che gli accessi avvengono tramite Tor, un sistema di navigazione appositamente pensato per garantire l’anonimato delle persone.

La negoziazione, spesso, avviene privatamente. Chi pubblica l’annuncio lascia a disposizione il proprio account telegram, dal quale è possibile contrattare un prezzo finale. Questo serve per attirare più utenti: infatti, non sapendo se il prezzo è accessibile o meno, molte persone potrebbero interessarsi all’offerta e iniziare a contrattare.

Aumento di traffico nel Dark Web

Si è verificato anche un aumento del numero di persone che prendono delle precauzioni durante la navigazione nella rete Tor. Questo fenomeno si era notato all’inizio dell’invasione Russa in Ucraina, e ha ricominciato a prendere piede dal mese di luglio.

Uno dei possibili motivi dell’incremento potrebbe essere facilmente collegabile all’aumento di traffico e utenti nel Dark Web.

Non ci sono formule magiche per correre ai ripari dagli attacchi informatici, ma dobbiamo tenere alte le difese. Alla “classica” azione cybercriminale, infatti, si affianca anche un’azione collegata alla geopolitica.

——————————–

LEGGI ANCHE:

Instagram dovrà pagare una delle multe più salate di sempre

Risparmio energetico: ecco come la PA potrebbe fare la differenza

TORNA ALLE NOTIZIE

Servicematica

Nel corso degli anni SM - Servicematica ha ottenuto le certificazioni ISO 9001:2015 e ISO 27001:2013.
Inoltre è anche Responsabile della protezione dei dati (RDP - DPO) secondo l'art. 37 del Regolamento (UE) 2016/679. SM - Servicematica offre la conservazione digitale con certificazione AGID (Agenzia per l'Italia Digitale).

Iso 27017
Iso 27018
Iso 9001
Iso 27001
Iso 27003
Agid
RDP DPO
CSA STAR Registry
PPPAS
Microsoft
Apple
vmvare
Linux
veeam
0
    Prodotti nel carrello
    Il tuo carrello è vuoto