Portogallo, industria produzione energia elettrica colpita da ransomware: chiesto riscatto da 10 milioni di euro
Un attacco condotto tramite il ransomware Ragnar Locker ha colpito i sistemi del gruppo Energias de Portugal (EDP), uno dei più importanti gruppi industriali portoghesi e fra i maggiori produttori di energia elettrica in Europa e il quarto produttore mondiale di energia eolica, presente in 19 paesi, con oltre 11.500 dipendenti e 11 milioni di clienti. La nota informativa a tale riguardo fornita dal gruppo EDP chiarisce che non si è verificata alcuna compromissione della continuità operativa della fornitura energetica ma che ha riguardato solamente “alcuni servizi e attività” prontamente ripristinati e che è in corso di svolgimento un’analisi approfondita dell’incidente di sicurezza.
Prima di criptare i dati dei server del gruppo, i cybercriminali risultano aver sottratto circa 10 Tb di informazioni aziendali riservate e nella nota di riscatto minacciano di renderle di dominio pubblico in caso di mancato pagamento di 1580 BTC, pari a circa 10 milioni di euro.
All’interno della comunicazione sono state inserite anche delle schermate con un elenco di file aziendali per comprovare il buon esito della sottrazione delle informazioni, e la minaccia consiste nel rendere pubblici tali dati e generare così un data leak di cui saranno specificamente informati clienti, partner, concorrenti e testate giornalistiche. È evidente che il danno reputazionale sarebbe infatti di tale rilevanza che può costituire una valida leva di ricatto soprattutto nei confronti di gruppi aziendali solidi e quotati, sebbene al momento non vi sia alcuna notizia circa la volontà del gruppo EDP di pagare alcun riscatto.
Questo evento rende evidente come un attacco ransomware sia in grado di impattare molto pesantemente sul business di un’organizzazione, in ragione delle molteplici implicazioni e costi che può generare, e solitamente la scelta di pagare il riscatto non rappresenta una soluzione percorribile in quanto non garantisce la totale restituzione dei file criptati e sottratti né protegge da ulteriori e future minacce.
Ulteriormente, è opportuno considerare che qualora siano oggetto dell’attacco anche dati personali il GDPR prevede che, in un caso come quello del gruppo EDP, si provveda a notificare all’autorità di controllo il data breach e fornire una comunicazione agli interessati. Risulta infatti che siano stati coinvolti nell’attacco anche i dati dei dipendenti e degli utenti, pertanto sebbene l’indisponibilità sia stata risolta e non abbia prodotto conseguenze rilevanti, la sottrazione dei dati espone a un rischio rilevante gli interessati.
La possibilità che vi siano conseguenze anche gravi per gli interessati nell’ipotesi di data leak non può essere infatti esclusa ma anzi deve essere oggetto di valutazione in concreto, dal momento che soprattutto nell’attuale panorama tecnologico le credenziali di accesso sono spesso impiegate per condurre campagne di scamming, anche dopo anni di distanza. Considerato il volume dei dati sottratti, l’appetibilità di tale database è piuttosto elevata ad esempio contemplando le possibilità di reimpiego illecito dei dati di contatto per attacchi massivi di phishing, campagne RAT per la creazione di una botnet o invio di ulteriori malware o ransomware.
Fonte: Infosec.news