Attacco hacker Acea, tutto quello che c’è da sapere dietro una situazione ancora fuori controllo.
Gli attacchi ransomware continuano a mietere vittime, colpendo sempre più spesso che infrastrutture critiche e i fornitori di servizi fondamentali per i cittadini, come avvenuto nel caso di Acea, azienda comunale romana attiva nel settore energia, rifiuti e altre utility. Vediamo cosa è accaduto e quali sono i rischi che il ransomware comporta nell’ambito delle aziende che erogano servizi indispensabili per la collettività.
Attacco hacker Acea: danni limitati ma preoccupanti vulnerabilità
Secondo una nota dell’agenzia Adnkronos, Acea sarebbe stata colpita dal gruppo ransomware BlackBasta. Nel momento in cui scriviamo non vi sarebbero rivendicazioni pubbliche, ma l’azienda romana starebbe collaborazione con la polizia postale e l’ACN (Agenzia Nazionale per la Cybersicurezza) per la notifica dell’incidente e le opportune attività di risposta.
Secondo quanto comunicato da Adkronos, l’attacco, certamente di natura ransomware: “Non sta impattando sui servizi essenziali alla cittadinanza di distribuzione di acqua ed elettricità. I servizi IT interni sono in corso di ripristino”.
Gli effetti pubblici dell’attacco ransomware appaiono evidenti per il fatto che il sito web istituzionale di Acea è stato messo fuori uso, probabilmente per l’attività di mitigazione sostenuta in risposta all’incidente di sicurezza informatico.
Come spesso accade, quando si verificano situazioni di questo genere, almeno parte dei server vengono isolati in modo da contenere e circoscrivere la minaccia fino a quando non è stata completata l’attività di investigazione mirata ad individuare le cause e la timeline dell’attacco in corso di esecuzione, ai fini di eradicare definitivamente la minaccia.
Spesso i cybercriminali sfruttano i cosiddetti movimenti laterali per accedere alle zone più sensibili della rete, esfiltrare eventualmente i dati sensibili e, se lo reputano necessario, sferrare attacchi di natura violenta nei confronti dei sistemi informativi violati, come il celebre blocco di natura crittografica che paralizza l’operatività aziendale e precede la richiesta di pagamento di un importante riscatto monetario.
Per l’intera giornata di giovedi 2 febbraio, giorno in cui è emersa la notizia dell’attacco di BlackBasta, Acea è stata si in grado di erogare i servizi nel settore energia, ma non è riuscita a garantire l’accesso agli utenti nella loro area riservata, venendo chiaramente meno ad una delle funzioni fondamentali del servizio.
Interruzioni di servizio come quella rilevata da Acea sono sintomatici di una scarsa o inefficace segmentazione della rete, condizione che consentirebbe di affrontare al meglio soprattutto le condizioni di emergenza limitando l’entità dei downtime che ne derivano.
Attacco hacker Acea e infrastrutture critiche: ransomware sempre più letale
Secondo i dati pubblicati dal Nnaipic, divisione per la cybersicurezza della polizia postale, nel 2022 sarebbero stati rilevati ben 12.947 attacchi contro le infrastrutture critiche, contro i 5.435 del 2021, per un incremento netto del 138% su base annua (qui anche i dati Clusit sulla Cybersecurity in Italia). Un valore estremamente importante, che dimostra la crescente attenzione dei cybercriminali nei confronti delle realtà che erogano servizi fondamentali per la collettività, facendo leva sulla loro indispensabilità ai fini di chiedere importanti cifre per il riscatto dei sistemi paralizzati e dei dati violati dall’azione del ransomware. Nel mirino delle indagini della polizia postale sono finite 332 persone (+78% rispetto al 2021) ma è evidente come la soluzione di contrasto verso questo fenomeno sia oltremodo complessa per via del totale anonimato con cui operano i criminali, spesso facenti capo ad organizzazioni russe.
Tra i principali fattori alla base della crescita degli attacchi nei confronti delle infrastrutture critiche figura ovviamente la tensione geopolitica collaterale alla guerra in Ucraina, che ha incrementato sensibilmente la tossicità nella rete. Nel corso del 2022 si è registrato un sensibile aumento delle campagne massive contro le infrastrutture critiche, utilizzando, oltre al malware, anche metodi di phishing e tecniche di social engineering ai fini di violare l’accesso ai sistemi informativi delle vittime.
I dati sono stati rilevati della Polizia Postale e delle Comunicazioni, guidata da Ivano Gabrielli, che li ha diffusi nel resoconto dell’attività svolta nel 2022 insieme ai Centri Operativi Sicurezza Cibernetica.
La polizia postale ha notificato per il 2022 ben 113.226 allarmi di sicurezza nell’ambito delle infrastrutture critiche, un numero tutto sommato simile a quello registrato nel 2021, a cui è tuttavia seguito un riscontro molto più elevato di attacchi concreti.
Tra le tipologie di attacco rilevate al primo posto figurano ovviamente i ransomware, come nel caso di BlackBasta, autore dell’attacco contro Acea, ed in via più marginale sono state riscontrate campagne DDoS e attacchi ATP (Advanced Persistent Threat) che prevedono un’azione silente da parte dei cybercriminali, che con movimenti laterali provvedono ad esfiltrare dati sensibili per lunghi periodi, senza farsi in buona sostanza scoprire dai sistemi che dovrebbero accorgersi della loro illecita intrusione.
Spesso alla base degli attacchi nei confronti delle infrastrutture critiche, oltre allo sfruttamento delle vulnerabilità della rete e delle applicazioni, figura l’errore umano, che consente ai cybercriminali di ottenere le credenziali di accesso dai dipendenti, vittime di tecniche di social engineering.
La polizia postale ha comunicato di procedere nella propria attività informativa, per favorire la sensibilizzazione verso una maggior igiene informatica, e le attività di monitoraggio nei confronti delle minacce ransomware presenti nella rete, a partire dalle attività nel dark web, dove i cybercriminali tendono a concentrare le loro attività, ad esempio erogando i servizi Ransomware-as-a-Service.
Per cercare di prevenire e sventare la minaccia nei confronti delle infrastrutture critiche, la polizia postale opera in collaborazione con Europol, Interpol e FBI, ai fini di formare un’azione di intelligence a livello internazionale. Appare tuttavia evidente come tale sforzo rimarrà vano fino a quando le singole entità non saranno in grado di proteggere in maniera adeguata i propri sistemi informativi dall’azione del ransomware.
Il caso Acea non è certamente il primo e non sarà purtroppo nemmeno l’ultimo episodio che vede un’azienda costretta ad interrompere l’erogazione dei servizi fondamentali per la collettività. Le notizie di enti pubblici e privati colpiti dall’azione del ransomware occupano ormai le cronache con una frequenza quotidiana.