Enel Group ha confermato a BleepingComputer che la sua rete IT interna è stata interrotta domenica sera a seguito di un attacco ransomware catturato dal loro antivirus prima che il malware potesse diffondersi. Enel ha reagito prontamente e rapidamente si è ripresa. 

Qualche giorno fa il gigante energetico europeo, Enel, ha subito un attacco di ransomware contro la sua rete interna. Rilevato il 7 giugno, l'incidente è opera degli operatori di ransomware EKANS (SNAKE), lo stesso che ha preso di mira anche la Honda all'inizio di questa settimana. 

Per far fronte all'incidente è stato necessario isolare la rete aziendale per un periodo di tempo limitato, "per eseguire tutti gli interventi volti a eliminare qualsiasi rischio residuo". Tutta la connettività è stata ripristinata senza problemi il lunedì mattina presto, afferma la compagnia.

“Il Gruppo Enel informa che domenica sera si è verificata un'interruzione della sua rete IT interna, a seguito del rilevamento, da parte del sistema antivirus, di un ransomware. A titolo precauzionale, la Società ha temporaneamente isolato la propria rete aziendale al fine di realizzare tutti gli interventi volti ad eliminare qualsiasi rischio residuo. Le connessioni sono state ripristinate in sicurezza lunedì mattina presto. Enel informa che non si sono verificati problemi critici riguardanti i sistemi di controllo remoto delle sue risorse di distribuzione e centrali elettriche e che i dati dei clienti non sono stati esposti a terzi. Le interruzioni temporanee delle attività di assistenza al cliente potrebbero essersi verificate per un tempo limitato a causa del blocco temporaneo della rete IT interna. " - Portavoce Enel

Enel non ha commentato il nome del ransomware utilizzato nell'attacco, ma il ricercatore di sicurezza Milkream ha trovato un campione SNAKE / EKANS inviato a VirusTotal il 7 giugno che dimostra che controlla il dominio "enelint.global".

Si tratta di un dominio attualmente di proprietà di Enel e reindirizzato alla pagina internazionale dell'azienda quando era on line. Lo stesso dominio collegato agli indirizzi Enel negli Stati Uniti e in Italia, quest'ultimo punta a siti localizzati per i paesi in cui l'azienda opera. L'analisi di Milkream mostra la stringa "enelint.global" nell'esempio di malware e un controllo per un indirizzo IP interno.

Infatti, pur non essendoci dettagli aggiuntivi su come gli aggressori siano riusciti ad accedere alla rete, sembra che un punto di ingresso comune siano le connessioni desktop remoto (RDP) esposte, generalmente utilizzate per il supporto / manutenzione da remoto o per il lavoro da casa (remote working). 

Ciò sembra plausibile sia per Enel che per Honda, dal momento che il ricercatore di sicurezza Germán

 Fernández, di CronUp, ha scoperto che le due società avevano connessioni RDP esposte a Internet. Ancora di più, le connessioni esposte erano per macchine su "enelint.global" e "mds.honda.com", gli stessi domini controllati dagli esempi di ransomware EKANS caricati su VirusTotal.

Per noi comuni mortali la lezione da trarre può essere, ancora una volta, quella di protegere le connessioni remote, RDP, il cui numero è fortemente aumentato nelle settimane di lock down e che, ancora oggi risultano esposte e prive di protezione.