La più importante azienda energetica della Romania, Electrica Group, è stata colpita da un cyberattacco che ha messo a rischio il servizio erogato a oltre 3,8 milioni di utenti. Gli esperti di sicurezza cibernetica ritengono che, dietro questo incidente, ci sia il collettivo di estorsione Lynx. Nel frattempo, sul fronte del conflitto tra Russia e Ucraina, il malware Industroyer2 si distingue per la sua elevata pericolosità.
Infezione da ransomware Lynx nel comparto energetico
“Desideriamo evidenziare che i sistemi critici non sono stati coinvolti e che, eventuali interruzioni verificatesi nell’interazione con i nostri consumatori, rappresentano l’esito delle misure di difesa approntate per assicurare la sicurezza dell’infrastruttura interna”. E ancora, “tali misure sono temporanee e sono volte a garantire la sicurezza dell’intero sistema”.
Parole di Alexandru Aurelian Chirita, CEO di Electrica Group, la più importante azienda energetica della Romania che, come scrive Bleeping Computer – riprendendo la notizia da un comunicato – è stata colpita da un cyberattacco. Secondo gli esperti di sicurezza informatica, dietro l’iniziativa malevola che ha messo a rischio il servizio di fornitura di energia elettrica e manutenzione della rete, erogato a oltre 3,8 milioni di utenti del Paese, c’è il collettivo di estorsione Lynx.
Fermo restando che Electrica (società pubblica quotata alle borse di Bucarest e Londra) non si è espressa né sui dettagli né sulla natura dell’attacco, il Ministero dell’Energia romeno riferisce che il Gruppo è stato vittima di un ransomware (basato, con ogni probabilità, sul codice sorgente del malware INC Ransom, in vendita sui forum di criminal hacker per 300mila dollari).
Evidenziando poi che l’incidente non ha coinvolto i sistemi SCADA (Supervisory Control and Data Acquisition), impiegati in ambienti di tecnologia operativa (Operational Technology/OT) per controllare e monitorare i processi industriali.
Energia sotto attacco, dunque, con malware e cyber incidenti sempre più frequenti. Senza tralasciare i dati che emergono dal report “The State of Ransomware in Critical Infrastructure 2024” di Sophos – società inglese di sicurezza cibernetica – da cui emerge che lo scorso anno è quadruplicato il costo per ripristinare le infrastrutture energetiche e idriche colpite da attacchi informatici.
Non cedere al ricatto dei criminal hacker
Nessun dubbio, dunque. Il ransomware Lynx è responsabile dell’attacco informatico contro Electrica Group. Lo ribadisce, in una nota, la Direzione nazionale rumena per la sicurezza cibernetica (DNSC). Gli esperti allegano alla comunicazione – nella quale si legge che “i sistemi energetici critici non sono stati interessati e funzionano normalmente, ma l’indagine è in corso. In caso di infezione da ransomware, sconsigliamo vivamente di pagare il riscatto richiesto dagli aggressori” – uno script YARA. Si tratta di un programma progettato per aiutare a individuare segnali di compromissione nelle reti di altre aziende.
Spostandosi negli Stati uniti, i ricercatori del Center for Internet Security (CIS) ritengono che la lista delle vittime del ransomware Lynx includa diverse aziende americane e oltre 20 organizzazioni operative nei comparti dell’energia, del petrolio e del gas.
Tutte vittime di attacchi informatici tra luglio e novembre 2024. Restando sui numeri, il “sito di fuga” del collettivo criminale ha già rilasciato online le informazioni di oltre 78 vittime.
Il malware Industroyer2 nel conflitto russo-ucraino
Da fine maggio 2024 in tutta l’Ucraina sono in vigore interruzioni di elettricità programmate. Così, nell’ambito della cyber guerra della Russia per piegare il Paese governato da Volodymyr Zelensky, in materia di attacchi informatici – che “ci sono e continueranno ad esserci, a maggior ragione oggi a causa delle tensioni internazionali, soprattutto legati al rapporto dei Paesi occidentali con la Russia, che è il principale attore di queste minacce”, le parole a Energia Italia News di Giorgio Sbaraglia, Information & cybersecurity advisor, DPO, Comitato direttivo Clusit – è bene citare il malware Industroyer2, tra le armi più nocive.
Noto anche come Crash Override e sviluppato da criminal hacker russi, è un agente malevolo altamente sofisticato volto a compromettere i sistemi di automazione industriale, largamente impiegati nel comparto energetico.
Industroyer 2 può infiltrarsi nei (già citati) sistemi SCADA, compromettendo le infrastrutture critiche, come le reti di distribuzione e le sottostazioni elettriche. Nel corso dei cyberattacchi ai sistemi energetici, i malware possono causare blackout prolungati, con assenza di elettricità (e tutte le conseguenze che ne derivano) per le comunità interessate.
