A distanza di quattro giorni dall’attacco informatico, il sito del GSE (Gestore dei Servizi Energetici) è ancora offline. Il gruppo BackCat ha rivendicato l’azione con un post pubblicato sul dark web, affermando di aver sottratto circa 700 GB di dati. Mercoledì scorso Eni ha confermato un accesso non autorizzato alla rete interna. Non è noto se i responsabili sono sempre i cybercriminali russi.
Attacco ransomware contro GSE
L’attacco ransomware è avvenuto nella notte tra domenica 29 e lunedì 30 agosto. Il GSE ha disconnesso tutti i sistemi e il sito web per proteggere i dati. Le autorità italiane hanno subito avviato le indagini per determinare l’entità dell’attacco. Ieri sera il gruppo BlackCat ha confermato il furto di circa 700 GB di dati dai server del GSE. Come prova, i cybercriminali russi hanno pubblicato alcuni file con documenti personali, informazioni confidenziali, report, progetti e contratti.
La gang ha ovviamente minacciato la divulgazione di tutti i dati, se il GSE non pagherà il riscatto (ignota la somma richiesta). L’accesso ai sistemi interni potrebbe essere avvento tramite l’invio di email di phishing ai dipendenti o una vulnerabilità. Il gruppo BlackCat (noto anche come ALPHV) è nato dalle ceneri di BlackMatter, erede di DarkSide, noto per aver effettuato l’attacco contro Colonial Pipeline.
Anche Eni ha probabilmente subito un attacco ransomware, ma finora non c’è stata nessuna rivendicazione. Questi attacchi sembrano chiaramente correlati alla guerra in Ucraina e alla minaccia della Russia di interrompere le forniture di gas all’Europa.
Aggiornamento (06/09/2022): il GSE ha comunicato che il sito è tornato online.