I sistemi tecnologici di Acea, l’Azienda comunale energia e ambiente di Roma, sono stati presi di mira da un attacco di tipo ransomware condotto, sembrerebbe dalle prime analisi, dalla cyber gang BlackBasta. L’Azienda, lo ricordiamo, si occupa della gestione dei rifiuti, della produzione e distribuzione di energia elettrica e del servizio idrico per la Capitale.
Per gran parte della giornata del 2 febbraio e fino al momento della pubblicazione di questo articolo il sito Web istituzionale dell’azienda è irraggiungibile, per quella che sembra essere un’azione di mitigazione del danno, post attacco (update: ancora è così al 4 febbraio).
Al momento, Acea ha comunicato di avere attivato, in collaborazione con l’Agenzia per la Cybersicurezza Nazionale (ACN) e la Polizia Postale, una task force per la risposta all’incidente di sicurezza.
Indice degli argomenti
Attacco ransomware ad Acea: cosa sappiamo
Non ci sono rivendicazioni criminali pubblicamente note finora, ma da quanto appreso da Adnkronos, l’attacco all’Azienda comunale energia e ambiente di Roma sembra essere stato condotto e portato a termine, come dicevamo, dal gruppo ransomware BlackBasta.
Dall’azienda fanno sapere che l’attacco “non sta impattando sui servizi essenziali alla cittadinanza di distribuzione di acqua ed elettricità. I servizi IT interni sono in corso di ripristino”, aggiunge Adnkronos.
Tuttavia, il sito Web istituzionale risulta offline, questo come effetto di un’azione di mitigazione dei rischi ereditati dall’attacco ransomware. Per sicurezza si è deciso di spegnere tutti i server che potrebbero essere impattati dall’attacco. Sicuramente un bene per evitare conseguenze ulteriori derivanti da possibili movimenti laterali del malware che ha infettato determinate macchine. Ancora una volta, però, questo effetto fa emergere una probabile insufficiente segmentazione della rete utile ad affrontare le fasi di emergenza.
In effetti, non si sono registrati impatti sull’erogazione dei servizi settore energia, tipici di Acea: tuttavia, l’accesso all’area riservata degli utenti, che viene operata per mezzo del sito Web, rientra appieno tra i servizi erogati e per tutta la giornata del 2 febbraio l’indisponibilità ha impattato direttamente sulla clientela.
BlackBasta, un gruppo ransomware noto
In attesa di una eventuale rivendicazione da parte del gruppo criminale, utile per misurare più nel dettaglio l’entità del danno subito da Acea, e basando l’informazione sui comunicati stampa rilasciati finora, possiamo identificare il gruppo BlackBasta come uno tra i più attivi.
Si tratta di un gruppo recente, apparso nella scena cyber crime nel 2022, appena dopo la cessazione delle operazioni di Conti. In effetti, viene considerato proprio un cartello ransomware derivato dalle strutture e forze lavoro di Conti, ereditandone anche il collegamento con la Russia dei propri operatori.
Nello stesso anno diventa presto molto prolifico, esattamente come era Conti fino a quel momento, totalizzando in pochi mesi un grande numero di attacchi rivendicati. Nel corso del 2022 rivendica l’attribuzione di 156 attacchi con il proprio ransomware, attestandosi così come il sesto gruppo più attivo di quell’anno. Nell’immagine sottostante, i primi dieci gruppi ransomware in ordine di attacchi rivendicati nell’anno 2022 (fonte dati DRM, considerando LockBit2 e LockBit3 come una medesima entità).
Una volta ottenuto l’accesso alla rete, tramite software malevolo, presumibilmente con l’azione convincente di un attacco phishing atto a distribuire il download di un falso software lecito, il ransomware BlackBasta esfiltra i file di contenuto delle macchine infette, direttamente su un server C&C (comando e controllo) in mano al gruppo criminale. A questo punto parte la crittografia sui file presenti nei computer presi di mira, rendendone così tutto il contenuto inutilizzabile.
Portata a termine questa operazione, l’unico modo per ripristinare una situazione operativa è avere un backup (al riparo) da applicare.
Nel frattempo tra i pochi file che saranno disponibili nel sistema infetto, ci sarà anche una nota di riscatto, che rappresenta il primo contatto tra vittima e gruppo criminale, nel quale si invita il pagamento di un riscatto per avere indietro l’accesso ai file e la promessa di non divulgazione online di quanto rubato.
Di seguito, tre esempi di richieste di riscatto appartenenti al gruppo ransomware Black Basta, una di queste, con grande probabilità, è anche quella che è stata adoperata nell’attacco contro Acea.
