Come ripetiamo ormai da mesi, le aziende strategiche sono sempre state quelle maggiormente nel mirino degli attacchi hacker anche a causa dei gravi problemi che possono arrecare con uno stop del loro funzionamento. Questo è ancora più vero da quando è iniziata l’invasione russa in Ucraina, quando in tutta Europa hanno iniziato a susseguirsi attacchi mirati a tutte le realtà impegnate nella distribuzione di energia e non solo.
L’ultima vittima illustre è ACEA, azienda che nel Lazio gestisce tutto ciò che riguarda gli ambiti di energia e ambiente, che nei giorni scorsi è caduta nella rete del gruppo BlackBasta. Gli hacker sono riusciti infatti a fare breccia nei sistemi della partecipata pubblica installando un ransomware che ha portato al blocco di tutti i servizi IT. A partire dal 2 febbraio il sito ufficiale di ACEA è risultato irraggiungibile e per parecchio tempo non si sono avuti orizzonti temporali certi per la sua rimessa online.
Per soccorrere ACEA si sono attivate ovviamente la ACN (Agenzia per la Cybersecurity Nazionale) e la Polizia Postale, che sono arrivate a capire che effettivamente il responsabile del “colpo” è il gruppo BlackBasta ma che questa problematica non ha impattato sulla distribuzione dei servizi ma solo sui portali online. Per prudenza, tuttavia, si è provveduto allo spegnimento di tutte le macchine che potevano essere state colpite dal ransomware, mentre non è ancora chiaro quale sia stato il modo esatto con cui gli hacker sono riusciti a fare breccia.
Il gruppo BlackBasta è uno di quelli divenuti più noti specialmente dopo la dismissione del noto gruppo Conti avvenuta poco tempo fa. Per quanto sia di grandi dimensioni, il gruppo hacker viene descritto come vicino alla Russia e solo nel 2022 sembra sia stato responsabile di almeno 156 attacchi ransomware, fatto che li ha inseriti nella top5 dei ransomware a livello mondiale. Le modalità di attacco sono quelle che partono da campagne phishing che portano gli utenti a installare software malevolo. A quel punto si crea un punto di connessione alle macchine tramite il quale vengono estratte le informazioni applicandovi poi una crittografia. A seguire, arriverà anche la classica nota di riscatto con la quale il gruppo avanzerà le sue richieste economiche e le modalità di pagamento.
In questi casi per evitare qualsiasi tipo di problema e ripristinare la situazione al più presto è consigliato possedere dei backup in Cloud ovviamente esterni alle macchine colpite, di modo da sostituire i file crittografati con quelli ancora “liberi”. Ad ora il sito di ACEA, comunque, sembra essere tornato online, ma nei prossimi mesi si saprà qualcosa di più su come si è sviluppato questo attacco.
Fonte: 1