Un grupo de piratas informáticos con vínculos con Rusia se atribuyó la responsabilidad de un reciente ataque de ransomware contra la industria energética de Italia, en medio de una escalada que, según el Gobierno con sede en Roma, podría estar relacionada con la invasión rusa de Ucrania.
En una publicación publicada en la llamada web oscura, el grupo BlackCat dijo que robó 700 gigabytes de datos de redes controladas por la agencia de energía GSE de Italia y amenazó con publicar la información en línea si se ignoraban sus demandas. La publicación estuvo acompañada de varias imágenes de lo que parecían ser documentos internos. La magnitud de la demanda de extorsión de BlackCat no quedó clara de inmediato.
GSE dijo a principios de esta semana que sufrió un ataque, lo que provocó que la empresa cerrara algunos sistemas de TI. Además de otras funciones, GSE es una de las agencias gubernamentales responsables de administrar el mercado eléctrico de Italia.
El miércoles, el gigante italiano Eni SpA dijo que sus redes informáticas habían sido pirateadas y agregó que las consecuencias parecían ser menores. A la fecha, nadie se ha atribuido la responsabilidad de ese ataque. El primer ministro, Mario Draghi, más tarde convocó una reunión con altos funcionarios italianos para discutir los incidentes.
El ministro de Exteriores, Luigi di Maio, dijo el viernes que los ciberataques a empresas de Europa occidental han aumentado tras la invasión rusa de Ucrania. El ministro agregó que los ataques forman parte de una estrategia de desestabilización vista desde la invasión de febrero, sin precisar su origen.
Investigadores de la Unidad 42, un equipo de ciberseguridad en Palo Alto Networks Inc., han vinculado a los miembros de BlackCat con Rusia, señalando que el grupo se comunica con sus miembros o afiliados en el idioma ruso y se sabe que opera en foros de ciberdelincuencia rusos.
El grupo BlackCat, también conocido como ALPHV, irrumpe en las computadoras de sus víctimas y usa software malicioso para cifrar los archivos almacenados en ellas para que no se pueda acceder a ellos. Luego,el grupo exige un pago para desbloquear los archivos.
BlackCat se ha centrado en una amplia rango de empresas en los últimos meses, incluidos bufetes de abogados, contratistas de obras, un fabricante de videojuegos y proveedores de tecnología. El grupo también es conocido por sus ataques al sector energético.
Se desconoce si BlackCat opera bajo la dirección del Estado ruso. El grupo puede tener algunos miembros o afiliados que se encuentran fuera del país, según los investigadores de seguridad cibernética. Las conexiones entre el mundo del cibercrimen ruso y las agencias de inteligencia del país son notoriamente turbias.
En julio, BlackCat atacó al proveedor de gas y energía con sede en Luxemburgo Creos Luxembourg y su empresa matriz Encevo SA. En febrero, los piratas informáticos afiliados a BlackCat infectaron computadores de Mabanaft GmbH y Oiltanking GmbH.
El grupo BlackCat tiene vínculos con otro grupo de ransomware llamado DarkSide, que el año pasado atacó a Colonial Pipeline Co., según Brett Callow, analista de amenazas de la firma de ciberseguridad Emsisoft. Callow dijo que el objetivo de BlackCat contra las empresas de energía se destaca como particularmente peligroso, ya que es posible que tales ataques interrumpan el suministro de electricidad o gas.
Después del hackeo de DarkSide, por ejemplo, Colonial Pipeline cerró el oleoducto de combustible más grande de Estados Unidos durante varios días, lo que provocó escasez de combustible en la costa este. Los piratas informáticos, dijo Callow, no siempre están en condiciones de saber el impacto que tendrán sus ataques, y es posible que ni siquiera les importe.
En abril del año pasado, el Tesoro de EE.UU. emitió sanciones contra Rusia y alegó que la agencia de inteligencia FSB del país “cultiva y coopta a piratas informáticos criminales” y les permite “participar en ataques disruptivos de ransomware y campañas de phishing”.