Dalle informazioni dipende la nostra sicurezza!
Qualche giorno fa il gigante energetico europeo, Enel, ha subito un attacco di ransomware contro la sua rete interna. Rilevato il 7 giugno, l'incidente è opera degli operatori di ransomware EKANS (SNAKE), lo stesso che ha preso di mira anche la Honda all'inizio di questa settimana.
Per far fronte all'incidente è stato necessario isolare la rete aziendale per un periodo di tempo limitato, "per eseguire tutti gli interventi volti a eliminare qualsiasi rischio residuo". Tutta la connettività è stata ripristinata senza problemi il lunedì mattina presto, afferma la compagnia.
“Il Gruppo Enel informa che domenica sera si è verificata un'interruzione della sua rete IT interna, a seguito del rilevamento, da parte del sistema antivirus, di un ransomware. A titolo precauzionale, la Società ha temporaneamente isolato la propria rete aziendale al fine di realizzare tutti gli interventi volti ad eliminare qualsiasi rischio residuo. Le connessioni sono state ripristinate in sicurezza lunedì mattina presto. Enel informa che non si sono verificati problemi critici riguardanti i sistemi di controllo remoto delle sue risorse di distribuzione e centrali elettriche e che i dati dei clienti non sono stati esposti a terzi. Le interruzioni temporanee delle attività di assistenza al cliente potrebbero essersi verificate per un tempo limitato a causa del blocco temporaneo della rete IT interna. " - Portavoce Enel
Enel non ha commentato il nome del ransomware utilizzato nell'attacco, ma il ricercatore di sicurezza Milkream ha trovato un campione SNAKE / EKANS inviato a VirusTotal il 7 giugno che dimostra che controlla il dominio "enelint.global".
Si tratta di un dominio attualmente di proprietà di Enel e reindirizzato alla pagina internazionale dell'azienda quando era on line. Lo stesso dominio collegato agli indirizzi Enel negli Stati Uniti e in Italia, quest'ultimo punta a siti localizzati per i paesi in cui l'azienda opera. L'analisi di Milkream mostra la stringa "enelint.global" nell'esempio di malware e un controllo per un indirizzo IP interno.
Infatti, pur non essendoci dettagli aggiuntivi su come gli aggressori siano riusciti ad accedere alla rete, sembra che un punto di ingresso comune siano le connessioni desktop remoto (RDP) esposte, generalmente utilizzate per il supporto / manutenzione da remoto o per il lavoro da casa (remote working).
Ciò sembra plausibile sia per Enel che per Honda, dal momento che il ricercatore di sicurezza Germán
Fernández, di CronUp, ha scoperto che le due società avevano connessioni RDP esposte a Internet. Ancora di più, le connessioni esposte erano per macchine su "enelint.global" e "mds.honda.com", gli stessi domini controllati dagli esempi di ransomware EKANS caricati su VirusTotal.
Per noi comuni mortali la lezione da trarre può essere, ancora una volta, quella di protegere le connessioni remote, RDP, il cui numero è fortemente aumentato nelle settimane di lock down e che, ancora oggi risultano esposte e prive di protezione.
Quando BleepingComputer ha riferito per la prima volta di Snake Ransomware, abbiamo notato che stava terminando i processi associati a SCADA e ai sistemi di controllo industriale (ICS). Ciò è stato successivamente confermato dall'analisi della società di sicurezza informatica industriale Dragos, che ha confermato che Snake ransomware è stato il primo nella sua categoria a rivolgersi alle operazioni del sistema di controllo industriale (ICS).
Fonte: bleepeng computer
Se questo post ti è piaciuto, faccelo sapere!
Iscriviti alla newsletter
Categorie News
Galleria video
Tags
Informatore Informatico © Copyright 2016 - All Rights Reserved Privacy e Cookie Policy
Responsabile Redazione: Luigi Duraccio
Mi sostengono in questo progetto:
In.Ser.T. Srl. - In4mati Srl - Martinelli Srl - Pratical Group - Informatica95 Srl - Bieffe