La multinazionale Enel S.p.A. è stata nuovamente colpita da un ransomware. Questa volta si tratta degli hacker del gruppo Netwalker, che hanno chiesto un riscatto di 14 milioni di dollari per rilasciare la chiave di decrittazione e per non diffondere diversi terabyte di dati rubati.
Enel è uno dei maggiori player nel settore energetico europeo, con oltre 61 milioni di clienti in 40 paesi. Il 10 agosto di quest’anno, si è collocato addirittura all’87° posto nella classifica Fortune Global 500, con un fatturato di quasi 90 miliardi di dollari nel 2019.
Una chat di supporto privata per comunicare con la vittima
All’inizio di giugno, la rete interna di Enel è stata presa di mira dal ransomware Snake – noto anche come EKANS – tuttavia il tentativo è stato intercettato prima che potesse comportare danni gravi.
Il 19 ottobre, un ricercatore ha condiviso con BleepingCopmuter una richiesta di riscatto da parte di Netwalker, che sembrava essere stata originata da un attacco nei confronti del gruppo Enel.
All’interno della comunicazione era presente un collegamento all’URL https://prnt.sc/, che mostrava i dati rubati in occasione dell’offensiva. Sulla base dei nomi dei dipendenti presenti nelle cartelle, è stato accertato che la vittima era proprio Enel. L’informazione è stata confermata pochi giorni dopo dagli stessi criminali digitali sulla chat di supporto privata creata appositamente da questi ultimi:
“Ciao Enel. Non aver paura di risponderci. Domani scriveremo un post che ti riguarda sul blog o inizieremo a cercare buone mani a cui affidare i tuoi file”.
File criptati a scopo estorsivo
In genere, se la società non risponde rapidamente al responsabile della richiesta di riscatto, la cifra tende a raddoppiare poco dopo. E sembra che anche Enel sia ricaduta in questo iter, in quanto la chat fornita dall’aggressore non è mai stata presa in considerazione dalla controparte.
I cybercriminali hanno utilizzato il medesimo canale per annunciare che avrebbero iniziato a divulgare le informazioni dell’azienda, pubblicando anche la prova dell’effettivo possesso del materiale nel tentativo di spingere la vittima a pagare la somma richiesta, che ora è di 14 milioni di dollari (1234.02380000 BTC).
In questo caso, gli hacker hanno confermato di aver criptato tutti i file, facendo intendere che l’unico modo per sbloccarli è concludere la transazione economica:
“Tutti i tuoi file sono crittografati.
L’unico modo per decrittografare i tuoi file è acquistare il decryptor.
La tua chiave utente è *** e puoi usarla per accedere di nuovo.
Il sistema è automatizzato. Dopo aver effettuato il pagamento e concluso le 3 conferme di rete della transazione, sarai in grado di scaricare il decryptor.
Nota: abbiamo visto molte aziende sprecare tempo e denaro cercando di recuperare i propri file, ma alla fine sono sempre venute a chiedere il nostro aiuto.
Collaborando con noi eviterai di danneggiare la reputazione della tua azienda.”
5 terabyte di dati in possesso dei criminali informatici
Infine, i criminali informatici hanno aggiunto Enel al proprio sito di fuga di dati, condividendo una serie di screenshot dei file non crittografati della società sottratti in occasione dell’attacco di questo mese.
Stando a quanto dichiarato dagli stessi colpevoli, Netwalker si è impossessata di circa 5 terbayte di dati ed è pronta a renderne pubblica una parte fra una settimana. Ha aggiunto anche che vorrà “analizzare ogni singolo file per scoprire cose interessanti” da divulgare sul proprio sito. Si tratta di uno stratagemma alquanto diffuso – e anche molto efficace – che ha come scopo quello di mettere la vittima sotto pressione per forzarla ad effettuare il pagamento.