Conferenza CSE

Due compagnie energetiche sudamericane vittime di attacchi cyber negli ultimi giorni

340

Due tra le più importanti compagnie energetiche di controllo statale dell’America Latina sono state proprio in questi giorni prese di mira dal cybercrime ed in particolare vittime di attacchi ransomware. La Eletrobras, Centrais Elétricas Brasileiras S.A., non solo prima compagnia energetica dell’America del Sud, ma anche tra le prime al mondo, e Copel, Companhia Paranaense de Energia, principale fornitore elettrico dello stato brasiliano del Paranà, si sono trovate a dover fronteggiare dei veri e propri attacchi hacker che hanno causato la temporanea interruzione delle operazioni, costringendo così le aziende a sospendere alcuni dei loro sistemi di gestione degli impianti industriali e dei servizi per i consumatori.

Per quanto riguarda Eletrobras la filiale colpita è stata Eletronuclear, una controllata del gruppo che si occupa della costruzione delle centrali termonucleari. Fortunatamente l’attacco si è limitato al sistema amministrativo senza toccare le reti di gestione degli impianti Angra 1 e Angra 2, scollegate dalla rete, situate ad Angra dos Reis.

L’incidente, quindi, non ha avuto ripercussioni sulla sicurezza, né sul funzionamento della Centrale Nucleare di Almirante Álvaro Alberto (CNAAA), tanto meno danni alla fornitura di energia elettrica al Sistema Interconnessa Nazionale. Eletronuclear come strategia di difesa ha temporaneamente sospeso il funzionamento di alcuni dei suoi sistemi amministrativi per proteggere l’integrità dei suoi dati.

Il team di Eletronuclear, insieme al team del Managed Security Service (MSS), ha contenuto ed eliminato gli effetti dell’attacco, quindi il virus è stato isolato ed è in corso una verifica approfondita. 

L’ azienda ha dichiarato di esser riuscita tempestivamente ad isolare il malware e a limitare le conseguenze dell’attacco, senza chiarire però se e quali violazioni dei database sono stati compiuti ed eventuali richieste di riscatto avanzate dai criminali.

La Companhia Paranaense de Energia è stata invece vittima del collettivo cybercriminale DarkSide – conosciuto da qualche mese poiché concentrato a prendere di mira le società in grado di pagare il riscatto, che poi puntualmente viene devoluto in beneficenza. L’organizzazione afferma di esser riuscita ad entrare nei server aziendali sfruttando una vulnerabilità del sistema CyberArc, deputato alla protezione degli accessi privilegiati ai server, ed esfiltrare 1 terabyte di informazioni sensibili sui sistemi di accesso alle infrastrutture aziendali, le mappe delle reti di distribuzione e dati di clienti e quelli di top manager. Affermano inoltre di aver copiato il database che memorizza i dati di Active Directory: si tratterebbe di un file denominato NTDS.dit che include le credenziali e gli hash delle password per tutti gli utenti registrati al dominio.

Hanno infine spostato il materiale acquisito in un sistema di archiviazione distribuito dove verrà ospitato per i prossimi sei mesi e messo a disposizione dei migliori offerenti.

L’azienda non ha precisato quando sia avvenuta l’incursione ma si presume non molto tempo fa.

Lascia una risposta

L'indirizzo email non verrà pubblicato.