La Centrais Elétricas Brasileiras S.A., meglio nota come Eletrobras, la più grande compagnia energetica dell’America Latina e tra le prime al mondo, e Copel, la principale compagnia elettrica dello stato brasiliano del Paraná, entrambe soggette a controllo statale, sono state vittima di attacchi ransomware nel corso dell’ultimo mese.
Entrambi gli attacchi ransomware hanno causato la temporanea interruzione delle operazioni e hanno costretto le aziende a sospendere alcuni dei loro sistemi di gestioni degli impianti industriali e dei servizi per i consumatori finali.
Nel caso di Eletrobras, l’incidente è avvenuto presso la sua filiale Eletronuclear, una controllata del gruppo che si occupa della costruzione e della gestione delle centrali termonucleari, ma fortunatamente, come emerso dal comunicato stampa della compagnia, l’attacco si è limitato al sistema amministrativo senza toccare le reti di gestione degli impianti Angra 1 e Angra 2, scollegate dalla rete, situate ad Angra dos Reis, nello stato carioca.
L’ azienda ha dichiarato di esser riuscita tempestivamente ad isolare il malware e a limitare le conseguenze dell’attacco, senza chiarire però se e quali violazioni dei database sono stati compiuti ed eventuali richieste di riscatto avanzate dai criminali.
La Companhia Paranaense de Energia è stata invece vittima del collettivo cybercriminale DarkSide – famoso alle cronache per ritenersi un moderno Robin Hood che prende di mira solo le società in grado di pagare tranquillamente il riscatto, poi puntualmente devoluto in beneficenza – i quali hanno affermato di esser riusciti ad entrare nei server aziendali ed esfiltrare 1 terabyte di informazioni sensibili sui sistemi di accesso alle infrastrutture aziendali, le mappe delle reti di distribuzione, nonché i database dei clienti e quelli dei top manager.
L’azienda non ha precisato quando sia avvenuta l’incursione e l’unica data certa attiene la comunicazione alla SEC – la Securities and Exchange Commission, dal momento che la società è quotata alla borsa di New York – avvenuta lunedì 1 febbraio.
Gli stessi criminali hanno dichiarato di esser riusciti a sfruttare una vulnerabilità del sistema CyberArc, sistema deputato alla protezione degli accessi privilegiati ai server. Affermano inoltre di aver esfiltrato il database che memorizza i dati di Active Directory: si tratterebbe di un file denominato NTDS.dit che include le credenziali e gli hash delle password per tutti gli utenti registrati al dominio.
Hanno infine spostato i dati in un sistema di archiviazione distribuito – come quello, se non proprio lo stesso, messo in piedi in Iran tra la fine del 2019 ed il 2020 – dove verranno ospitati per i prossimi sei mesi e messi a disposizione dei migliori offerenti.
