Dopo Snake a giugno, ora è la volta di Netwalker. Enel Group ha subito un nuovo attacco ransomware e stavolta le informazioni a disposizione sono dettagliate. Il gruppo che sta dietro l'attacco ha infatti reso pubbliche sia le richieste ad Enel, sia le prime parti del blocco di dati che ha esfiltrato durante la penetrazione della rete dell'utility italiana. Il che dimostra come l'attacco stavolta abbia avuto successo, al contrario di quello di Snake, che era stato bloccato con successo.

Sul dark web, nel blog del gruppo Netwalker è apparsa una lunga lista di cartelle che sono state trafugate dai server di Enel. Si parla di circa 5 Terabyte di dati che secondo le fonti online potrebbero contenere informazioni riservate su alcune delle centrali elettriche del gruppo. 

La pubblicazione è palesemente un incentivo a pagare il riscatto. L'attacco sarebbe stato portato con successo la settimana scorsa, ma Enel non avrebbe risposto alla richiesta di riscatto. Di conseguenza il gruppo di criminali ha aumentato la richiesta di riscatto - ora siamo a circa 14 milioni di dollari - e ha cominciato a pubblicare una parte dei dati esfiltrati. Questo per mettere pressione ad Enel.

Screenshot dei dati rubati allegato alla richiesta di riscatto. Fonte: Bleeping Computer
Se Enel non pagherà quanto richiesto, i dati raccolti saranno pubblicati in dettaglio, a passi successivi. Il gruppo afferma anche che "analizzerà ogni file alla ricerca di contenuti interessanti". Idealmente, alla ricerca di informazioni riservate o critiche che si possono monetizzare rivendendole. 

Netwalker

Netwalker è un gruppo ransomware particolarmente attivo quest'anno. I dati pubblici conferma che è stato coinvolto in nove incidenti di grande portata, fra cui quelli ai danni di KYB Corporation, il più grande fornitore di apparecchiature automobilistiche.

Fra le vittime illustri figurano anche Equinix, il fornitore di software di sicurezza Cygilant, e le australiane Tandem Corp e Jands, il produttore di batterie al litio Forsee Power e la texana Trinity Metro. Non ci sono informazioni dettagliate sul pagamento dei riscatti. L'unico certo è quello che riguarda l'Università della California, che ammontava a 1,14 milioni di dollari.

Non è dato sapere chi vi sia dietro a Netwalker. Come in molti altri casi, ci sono più gruppi criminali dietro allo stesso nome e questo rende difficile le indagini. Quello che è noto è che quanto sta accadendo a Enel si è già verificato ad altre vittime di Netwalker, fra cui Equinix: se il riscatto non viene corrisposto nei tempi richiesti, i cyber criminali alzano la posta. A Equinix era stato richiesto un primo riscatto di 4,5 milioni di dollari, in caso di mancato pagamento la cifra sarebbe raddoppiata a 9 milioni. Non è noto se l'azienda abbia deciso di pagare.

La pubblicazione dei dati rubati e il riscatto

Le forze dell'ordine e le aziende di cyber security sconsigliano sempre il pagamento del riscatto. Il primo motivo è che i proventi dei riscatti vanno a finanziare le attività criminali, incentivandole e favorendo quindi nuovi attacchi. 

Il secondo motivo è che pagare non garantisce la restituzione o la non pubblicazione dei dati. Come faceva notare pochi giorni fa un esperto di sicurezza, chi paga può essere sottoposto a un secondo ricatto. Il problema nel caso di Enel Group tuttavia non è la restituzione dei dati, quanto il rischio della loro pubblicazione online.

È un meccanismo perverso che è stato messo a punto per la prima volta dal gruppo Maze, e nel tempo imitato da altri gruppi criminali. Oltre a chiedere denaro in cambio della restituzione dei dati bloccati, la minaccia è quella di svelare pubblicamente le informazioni riservate sottratte nell'attacco. 

Sono molte le aziende che, pur disponendo di copie di backup, pagano per mantenere riservate le informazioni sottratte. Che farà Enel? Tutto dipende dal contenuto delle cartelle rubate, che l'azienda ovviamente conosce bene. Se reputerà i file di secondaria importanza potrebbe fare orecchie da mercante, in caso contrario potrebbe contrattare la cifra da saldare. 

In questo momento da Enel tutto tace. Non è dato sapere se siano in corso delle contrattazioni con i criminali informatici o se siano già state prese decisioni, e nel caso quali. Non resta che attendere.