Weekly Threats N. 35 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Italia: sferrate diverse offensive ransomware
• Montenegro e Cile: colpiti entrambi i Paesi da un attacco informatico
• APT: attivi Leviathan e ScarCruft

Questa settimana diverse offensive hanno colpito il nostro Paese. Di particolare scalpore è stata la compromissione – successivamente rivendicata dall’ALPHV Team – del Gestore dei Servizi Energetici (GSE), società interamente partecipata dal Ministero dell’Economia e delle Finanze che promuove lo sviluppo sostenibile in Italia. Solo qualche giorno dopo l’accaduto, l’impresa italiana del settore energetico ENI S.p.A. ha dichiarato che le sue reti IT hanno subito una violazione le cui conseguenze sembrerebbero tuttavia di lieve entità. Nello specifico, i sistemi di protezione interni della società hanno rilevato un accesso non autorizzato alla rete aziendale. Fonti vicine alla vicenda avrebbero riferito che sembrerebbe trattarsi anche in questo caso di un attacco ransomware, notizia attualmente non confermata. Di matrice certa, invece, è l’attacco sferrato dal BlackByte Team ai danni dello Studio Legale Grande Stevens con sede a Torino. Infine, sempre sul territorio italiano, nella notte tra domenica 28 e lunedì 29 agosto 2022 un’offensiva informatica – anch’essa presumibilmente di natura ransomware – ha colpito il Comune di Gorizia mandando in tilt il sistema IT.

Tuttavia, l’Italia non è l’unico Paese ad essere stato bersagliato. A partire dalla tarda notte di giovedì 25 agosto 2022, il Montenegro è stato colpito da un massiccio attacco informatico che ha preso di mira le istituzioni governative del Paese. Inizialmente la Russia sembrava essere il principale sospettato, ma il 30 agosto il Cuba Team ha rivendicato sul proprio sito dei leak la compromissione del Parlamento dello Stato balcanico, il che indicherebbe una matrice cybercriminale e non state-sponsored.
Spostandoci nel continente latinoamericano, lo CSIRT del Cile ha rilevato un attacco ransomware in corso – anch’esso iniziato il 25 agosto – contro i server Microsoft e VMware ESXi di un’Agenzia governativa.

Concludendo con il panorama state-sponsored, il nordcoreano ScarCruft ha preso di mira entità e individui coreani del settore politico, diplomatico, della Difesa e dell’istruzione. In aggiunta, sono state rilevate diverse ondate di una campagna di spionaggio attribuibile al cinese Leviathan e rivolta contro target in Australia, Malesia ed Europa, oltre ad alcune realtà che operano nel Mar Cinese Meridionale.