REPORT YCTI: Minacce cibernetiche nel settore energetico

Il team Yarix Cyber Threat Intelligence (YCTI) rilascia un Report sulle minacce cibernetiche nel settore energetico, con riferimento al periodo luglio-ottobre 2022.

Dalle analisi sotto copertura condotte da Yarix Cyber Threat Intelligence (YCTI) sul Dark Web nel periodo luglio-ottobre 2022 si evidenzia che le aziende e le infrastrutture critiche del settore energetico sono diventate un target prioritario per le minacce cibernetiche. Nello specifico è stata osservata una prevalenza di attacchi di tipo ransomware (48%) e Distributed Denial of Service – DDoS (29%).

Dalle evidenze raccolte si evidenzia un trend costante nel numero di attacchi informatici registrati e una duplice matrice alla base degli stessi: se da un lato risulta prominente la ricerca di profitti economici, dall’altro il fattore ideologico e politico che motiva gli attacchi diventa sostanziale nel contesto della crisi geopolitica determinata dal conflitto russo-ucraino e della conseguente crisi energetica in cui riversa in particolare il continente europeo. L’Europa risulta inoltre l’area più colpita dagli attacchi informatici nel periodo di riferimento (48%). Si osserva inoltre che il settore privato è particolarmente esposto alle minacce cibernetiche nel settore energetico, registrando un 52% degli attacchi totali osservati nel periodo finestra, seguito dal 30% degli attacchi al settore pubblico e dal 18% degli attacchi condotti contro strutture private a partecipazione pubblica. L’attuale crisi geopolitica dovuta al conflitto russo-ucraino e la conseguente crisi energetica hanno portato ad un incremento degli attacchi contro il settore energetico. La rilevanza strategica e gli interessi economici legati al settore hanno infatti esteso l’area del conflitto anche al cyber-spazio, conseguentemente gli attori operanti nella produzione e distribuzione di energia sono diventati uno dei principali obiettivi strategici per indebolire le nazioni avversarie.

 

1. Threat Landscape

Il settore energetico rappresenta un asset di vitale importanza per la protezione degli interessi strategici nazionali. Le infrastrutture critiche energetiche rientrano infatti nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), la cui definizione, prevista dal D.lgs. 105/2019 e attuata con il DPCM 131/2020, ha rappresentato un punto cardine nell’implementazione e rafforzamento della cybersecurity sul territorio nazionale. Il PSNC ha infatti concretizzato la necessità di realizzare un sistema di sicurezza per lo spazio cibernetico che sia complementare al perimetro di protezione tracciato dalla sicurezza fisica.

Le infrastrutture energetiche, data la lora rilevanza a livello strategico per la sicurezza nazionale, rientrano fra i target prioritari delle minacce cibernetiche. Inoltre, l’attuale crisi geopolitica scaturita dal conflitto russo-ucraino ha esteso il conflitto anche sul piano economico, nello specifico nel settore energetico divenuto un terreno di scontro parallelo a quello bellico.

Nel periodo luglio-ottobre 2022, il team YCTI ha condotto, tramite operazioni sotto copertura dei propri analisti, un monitoraggio sistematico delle minacce cibernetiche contro infrastrutture critiche ed aziende operanti nel settore energetico. Dalle analisi condotte si osserva che:

  • è presente un trend costante in riferimento al numero di attacchi informatici condotti contro il settore energetico;
  • l’Europa rappresenta l’area geografica che ha subito il maggior numero di attacchi (48%), seguita da Asia (26%), America (23%), Africa (3%);
  • le maggiori minacce cibernetiche riscontrate risultano essere gli attacchi ransomware (48%) e gli attacchi di tipo Distributed Denial of Service – DDoS (29%), seguiti dalla vendita di dati confidenziali nel Dark Web (11%), spionaggio industriale (4%), web-defacing (4%), attacchi informatici generici (4%);
  • il settore privato è il target primario delle minacce cibernetiche (52%), seguito dal settore pubblico (30%) e da strutture a partnership pubblico-privata (18%).

Proseguiamo con alcune considerazioni in merito alle principali minacce cibernetiche riscontrate, gli attacchi condotti dalle gang criminali ransomware e le campagne di DDoS sferrate da cyber-collettivi di matrice ideologico-politica.

Gli attacchi condotti da gruppi ransomware hanno costituito quasi la metà degli eventi analizzati dal team YCTI (48%). Questo dato risulta in linea con il complesso contesto geopolitico da cui sono scaturite conseguenti crisi energetiche a livello globale che hanno reso le aziende operanti nel settore di riferimento un ambito obiettivo per i gruppi criminali. Dovendo garantire continuità dei servizi erogati, i gestori energetici si trovano a dover contrattare con le gang ransomware per riavere accesso ai propri sistemi in cambio di somme cospicue. In aggiunta, i dati sottratti possono venire riutilizzati e/o rivenduti a terzi per essere poi immessi nei mercati clandestini del dark web. È stato infatti osservato che, contestualmente all’aumentare degli attacchi ransomware, alcuni attori malevoli tracciati dal team YCTI hanno messo in vendita su vari canali dati personali di utenti luce/gas di diverse compagnie energetiche (11%).

Anche se risulta difficile stimare l’entità dei guadagni che i gruppi ransomware ricavano attraverso le loro attività, a titolo esemplificativo è utile riportare alcuni dati rinvenuti a seguito di analisi condotte all’interno dei canali ufficiali delle gang criminali. È stato osservato che per specifiche compagnie energetiche LockBit ha richiesto fino a 300.000USD per la distruzione della copia dei dati esfiltrati in suo possesso e 2.000USD per estendere di 24 ore il termine ultimo per il pagamento del riscatto e evitare la pubblicazione dei dati dell’organizzazione colpita. In un altro caso specifico, il gruppo Everest ha invece richiesto una cifra di circa 111.000USD per far sì che i dati di un’azienda energetica da loro colpita non venissero resi pubblici. Non è chiaro però se la somma comprendesse anche l’effettiva distruzione dei dati in possesso.

Date le importanti possibilità di guadagno che attività di questo tipo generano, il team YCTI ha infine osservato un proliferare di gruppi ransomware tra la primavera e l’estate del 2022; in particolare, gruppi di recente formazione quali DAIXIN e Donut Leaks, che hanno colpito anch’essi aziende appartenenti al settore energetico.

Gli attacchi DDoS mirano a bloccare servizi online, siti web e applicazioni inondandoli di traffico malevolo con l’obiettivo di rendere il target non disponibile agli utenti ed interromperne il servizio, causando dunque un danno economico e reputazionale. Questa tipologia di attacchi viene sfruttata in particolare per operazioni cyber di carattere ideologico e politico. Nel periodo temporale luglio-ottobre 2022 il team YCTI ha riscontrato numerosi attacchi di tipo DDoS condotti da cyber collettivi filorussi (Anonymous Russia, Killnet/Legion, NoName057(16), Narodnaja CyberArmija, Phoenix, Russian Hackers) contro aziende ed infrastrutture critiche (incluso il settore energetico) in particolare nelle Repubbliche baltiche (Estonia, Lettonia, Lituania) e nei paesi dell’Europa orientale (nello specifico: Polonia, Moldavia, Ucraina). In generale, dall’inizio del conflitto russo-ucraino a febbraio 2022 e a seguito delle sanzioni imposte dal blocco occidentale contro la Federazione Russa è stato registrato un aumento degli attacchi cyber, in particolare di tipo DDoS, aventi come target il settore energetico e le infrastrutture critiche ad esso correlate. Il settore energetico rappresenta infatti un campo di scontro parallelo a quello bellico attualmente in corso. Un terreno sul quale la Federazione Russa ha applicato, anche nei confronti del blocco occidentale ed in particolare contro i paesi dell’Unione Europea, la cosiddetta “Truboprovodnaja politika” (trad. “Pipeline Politics”), già ampiamente sperimentata ai danni dei paesi dello spazio post-sovietico. Il ricatto energetico esercitato da Mosca si esprime sotto forma di pressioni diplomatiche sui paesi del blocco occidentale, sfruttando la dipendenza energetica europea come leva per alimentare la “Informacionnaja Vojna” (trad. “Information Warfare”) in atto contro l’Occidente, al fine di generare dissensi nell’opinione pubblica, in virtù del rincaro dei prezzi energetici, nonché instabilità politica.


2. Evidenze

Di seguito si riportano alcune delle evidenze per tipologia di attacco raccolte durante le attività di analisi del team YCTI.

2.1 Attacco ransomware: la società italiana Gestore dei servizi energetici – GSE S.p.A. vittima di un attacco informatico

Data: 28/08/2022 | Settore: Infrastrutture Critiche: Energy&Utilities | Attacco: Ransomware | Geo: Italia | Threat Actor: BlackCat (alias ALPHV) | Fonte: Clear web / Dark Web

Nella notte tra domenica 28 e lunedì 29 agosto la società Gestore dei servizi energetici – GSE è stata colpita da un attacco malware. Secondo alcune testate giornalistiche, a seguito dell’attacco, GSE avrebbe reso temporaneamente indisponibili sito internet e portali della compagnia per proteggere la sicurezza dei dati e dei sistemi informativi e avrebbe allertato le autorità competenti per investigare sull’incidente. GSE è una società partecipata interamente dal ministero dell’Economia e della Finanza italiano operante nell’ acquisto di gas e nella raccolta di energia dagli impianti per una successiva collocazione nella borsa dell’energia elettrica – il Gestore dei Mercati Energetici (GME) [1] – società che gestisce la borsa elettrica italiana, nella quale si forma il prezzo che i consumatori pagheranno per l’energia. Il gruppo ransomware BlackCat (alias ALPHV), emerso a metà novembre 2021, ha rivendicato l’attacco pubblicando l’annuncio sul proprio data leak site, nel quale afferma di aver esfiltrato 700 GB di dati dall’interno dell’infrastruttura di GSE (compromissione di: rete, clients, infrastruttura degli applicativi, files server, sistemi di posta elettronica). Risulta di interesse osservare che il gruppo BlackCat raccoglie l’eredità di BlackMatter, a sua volta nato dal gruppo DarkSide, gang ransomware nota per l’attacco al gasdotto Colonial Pipeline avvenuto negli USA nel 2021.

[1] Gestore Mercati Energetici, Disponibile al seguente riferimento: https://www.mercatoelettrico.org/it/

2.2 Attacco DDoS: aziende del settore energetico lituano colpite da gruppi hacker pro-Russia

Data: 08/10/2022 | Settore: Infrastrutture Critiche: Energy&Utilities | Attacco: DDoS attack | Geo: Lituania | Threat Actor: Gruppo hacker pro-Russia | Fonte: Dark Web

Un collettivo cyber pro-Russia, già noto per aver eseguito vaste campagne di attacchi DDoS contro siti governativi ed infrastrutture critiche di paesi europei, ha condotto un attacco informatico ai danni di società lituane operanti nel settore energetico, rendendone inutilizzabile il servizio. Nello specifico sono state colpite le società Ignitis Gamyba, Ignitis Grupe ed Energijos Skirstymo Operatorius AB.

2.3 Vendita di dati confidenziali: in vendita nel Dark Web dati consumer di aziende italiane operanti nel settore energetico

Data: 30/08/2022 | Settore: Infrastrutture Critiche: Energy&Utilities | Attacco: Vendita di dati | Geo: Italia | Threat Actor: contenuto riservato | Fonte: Dark Web

Tramite le attività sotto copertura svolte dal team YCTI è stato individuato e contattato un Threat Actor in possesso di dati relativi a utenti di varie compagnie di fornitura energetica attive in Italia. I database in suo possesso includono nome, cognome, indirizzo di residenza (presumibilmente relativo all’attivazione dell’utenza in questione), numero di cellulare, codice fiscale ed indirizzi IBAN di clienti.

2.4 Spionaggio industriale: attacco informatico condotto da APT state-sponsored nordcoreano contro il settore energetico

Data: 09/09/2022 | Settore: Infrastrutture Critiche: Energy&Utilities | Attacco: Spionaggio industriale | Geo: Stati Uniti; Canada; Giappone | Threat Actor: State-sponsored | Fonte: Clear Web

Nel mese di settembre sono state osservate evidenze relative ad una campagna di spionaggio (condotta da febbraio a luglio 2022) ad opera del gruppo APT38/Lazarus ai danni di aziende e fornitori in ambito energetico in Canada, Giappone e Stati Uniti. Lazarus sembrerebbe essere un APT state-sponsored nordcoreano, secondo la classificazione della Cybersecurity and Infrastructure Security Agency (CISA)[1] degli Stati Uniti. Il threat actor avrebbe sfruttato una vulnerabilità in Log4j, nota come Log4Shell, per compromettere i servers VMware Horizon esposti a Internet per stabilire un punto d’appoggio iniziale nella rete aziendale della vittima, per poi diffondere malware custom del gruppo noti come “VSingle” e ” YamaBot” per ottenere un accesso persistente a lungo termine. Oltre a queste famiglie malware già note è stato rilevato l’uso di un malware precedentemente sconosciuto denominato “MagicRAT” da Cisco Talos.[2]L’obiettivo principale di questi attacchi è stato probabilmente quello di stabilire un accesso a lungo termine alle reti delle vittime per condurre operazioni di spionaggio a sostegno degli obiettivi del governo nordcoreano. Questa attività è in linea con le operazioni del gruppo Lazarus che prendono di mira infrastrutture critiche e società del settore energetico al fine di condurre operazioni di spionaggio industriale.

[1] CISA, North Korea Cyber Threat Overview and Advisories, contenuto consultato il 19 Ottobre 2022. Disponibile al seguente riferimento: https://www.cisa.gov/uscert/northkorea
[2] Cisco Talos, Lazarus and the tale of three RATs, 8 Settembre 2022. Disponibile al seguente riferimento: https://blog.talosintelligence.com/2022/09/lazarus-three-rats.html

2.5 Attacco di web-defacement: violato il profilo Twitter del Ministero della Transizione Ecologica (MiTE) italiano

Data: 15/09/2022 | Settore: Infrastrutture Critiche: Energy&Utilities | Attacco: web-defacement/scam | Geo: Italia | Threat Actor: Sconosciuto | Fonte: Clear Web

Il profilo Twitter del Ministero della Transizione Ecologica (MiTE) è stato violato durante la notte del 15 settembre in quello che gli esperti ritengono facesse parte di un tentativo di truffa informatica. Risulta inoltre confermato il furto delle credenziali di accesso ufficiali dell’account del Ministero. Gli hackers hanno cambiato la foto del profilo, inserendo quella di Vitalik Buterin, il canadese di origine russa fondatore del provider di criptovalute Ethereum. Sul profilo Twitter era anche presente un tweet che prometteva la distribuzione gratuita di criptovaluta. Incidenti analoghi si erano già verificati nel mese di settembre ai danni dei profili Twitter del Consolato italiano a Basilea e dell’Istituto per gli Studi di Politica Internazionale (ISPI), con sede a Milano.

3. Conclusioni

Data l’attuale situazione geopolitica e l’avvicinarsi della stagione invernale, il settore dell’industria energetica si trova particolarmente esposto ad attacchi informatici sia a fine estorsivo che a fine strategico. Da un lato i gruppi ransomware sono a conoscenza del fatto che, per garantire la continuità dei servizi, i gestori energetici potrebbero essere disposti a pagare somme di riscatto cospicue in cambio dello sblocco dei sistemi colpiti e/o della non pubblicazione/distruzione dei dati in loro possesso; dall’altro lato, i cyber collettivi filorussi mossi da motivazioni ideologiche e politiche proseguiranno a condurre attacchi informatici ai danni di aziende ed infrastrutture critiche del settore energetico europee nel contesto del conflitto russo-ucraino e della crisi energetica da esso scaturita. L’Europa ed il settore energetico continueranno quindi nei prossimi mesi a essere un target preferenziale degli attacchi informatici condotti da gang criminali e cyber-collettivi mossi da ragioni ideologiche. Da ciò ne consegue che la protezione delle infrastrutture critiche informatiche e del perimetro cibernetico nazionale devono assumere un ruolo di primaria importanza nel delineamento degli obiettivi strategici delle aziende e del sistema paese nel suo complesso.

 

 

Newsletter Yarix

Iscriviti alla newsletter di Yarix per rimanere informato sulle ultime notizie in ambito Digital Security.