Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Epilogo dell’attacco informatico ad ACEA. Sono online oltre 800GB di dati

Redazione RHC : 16 Marzo 2023 08:27

Acea, l’azienda comunale che fornisce energia e servizi a Roma, aveva subito un attacco informatico ad inizio febbraio scorso di tipo ransomware.

A rivendicare l’attacco era stata la Cyber Gang BlackBasta. RHC era riuscito ad avere delle indiscrezioni a riguardo, avendo accesso alla richiesta di riscatto, ma spiegando anche come funziona un attacco ransomware a “modello chiuso”.

E’ stato pubblicato recentemente un avviso sul data leak site (DLS) della cybergang relativo alla violazione di ACEA, come riportato nella print screen successiva.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Ricordiamo che l’attacco informatico, come ha riportato ACEA “non ha avuto alcun effetto sui servizi essenziali erogati agli utenti”, anche se i siti web come MyAcea sono risultati irraggiungibili per diverse ore.

    Come vedete, nella pubblicazione sul DLS di BlackBasta viene riportato che il 100% dei dati sono stati pubblicati. Cliccando sul link dell’avviso, veniamo riportato al consueto post che riporta una descrizione di ACEA:

    Acea Energia
    Lavoriamo per migliorare la vita quotidiana dei residenti offrendo servizi essenziali e di alta qualità: acqua, energia, illuminazione e trattamento dei rifiuti. Il nostro obiettivo è migliorare costantemente la qualità, attraverso una gestione efficiente delle nostre infrastrutture e importanti investimenti in innovazione tecnologica. Siamo il primo operatore italiano nel settore dei servizi idrici integrati. Produciamo e distribuiamo energia elettrica e illuminiamo strade e monumenti della Capitale. Siamo nel settore della produzione di energia elettrica. Siamo uno dei principali operatori italiani nella vendita di energia elettrica e gas.
    
    I nostri stabilimenti, dislocati in tutta Italia, svolgono un ruolo importante nella nostra attività. Si tratta di impianti tecnologici e complessi, molto diversi tra loro, che comprendono impianti di termovalorizzazione, fotovoltaici, idroelettrici e termoelettrici. Diamo valore alle nostre persone e sosteniamo la loro crescita. Comunichiamo alle nostre persone i principi e i valori del Gruppo e ogni giorno ci impegniamo a valorizzare il loro senso di appartenenza, incoraggiandone e sostenendone la formazione e la crescita professionale in un ambiente pienamente inclusivo.
    
    SITO: www.acea.it
    
    INDIRIZZO
    *2Piazzale Ostiense, *
    *Roma, 00154, Italia *
    Telefono: +39 657991
    Scorrendo il post, viene mostrato un “directory listing”, nel quale sono presenti una serie di file di tipo archivio per un totale di 810GB.

    Stiamo parlando di una quantità di dati enorme di dati che devono essere analizzati per comprendere cosa contengono e se sono presenti al loro interno dati personali dei cittadini italiani.

    Uno tra questi archivi di 454GB ha il nome di “Bollette”, pertanto al suo interno potrebbero esserci moltissimi dati personali dei cittadini italiani.

    A questo punto attendiamo un comunicato stampa ufficiale da parte di ACEA per comprendere tali dati cosa contengono e se sono presenti informazioni personali e/o sensibili.

    Chi sono i criminali di BlackBasta

    Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

    Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

    Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

    Black Basta è un ransomware as a service (RaaS) emerso per la prima volta nell’aprile 2022. Tuttavia, le prove suggeriscono che è in fase di sviluppo da febbraio.

    Gli operatori di Black Basta utilizzano la tecnica della doppia estorsione, il che significa che oltre a crittografare i file sui sistemi delle organizzazioni prese di mira e richiedere un riscatto per rendere possibile la decrittazione, mantengono anche un sito di fuga di informazioni sul dark web dove minacciano di pubblicare informazioni sensibili se un’organizzazione sceglie di non pagare un riscatto.

    Gli affiliati di Black Basta sono stati molto attivi nell’implementazione di Black Basta e nell’estorsione di organizzazioni sin dalla prima comparsa del ransomware.

    Il ransomware di BlackBasta è scritto in C++ e ha un impatto sui sistemi operativi Windows e Linux.

    Crittografa i dati degli utenti utilizzando una combinazione di ChaCha20 e RSA-4096 e, per accelerare il processo di crittografia, il ransomware crittografa in blocchi di 64 byte, con 128 byte di dati che rimangono non crittografati tra le porzione di dati crittografate.

    Più veloce è la cifratura del ransomware, più sistemi possono essere potenzialmente compromessi prima che vengano attivate le difese perimetrali. È un fattore chiave che gli affiliati cercano quando si uniscono a un gruppo Ransomware-as-a-Service.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Una PE in Microsoft Windows sfruttata da 2 anni Nel Patch Tuesday. Aggiornare avverte CISA e ACN

    All’interno del Patch Tuesday di marzo è stata inclusa la CVE-2025-24983, una Vulnerabilità di elevazione dei privilegi del sottosistema kernel Win32 di Microsoft Windows. La Cybersec...

    Ragazzi, Pronti per i Workshop della RHC Conference? Scopriamo assieme Deepfake, AI, Darkweb, Ethical Hacking, Doxing e Cyberbullismo

    Giovedì 8 maggio, la Red Hot Cyber Conference 2025 ospiterà un’intera giornata dedicata ai ragazzi con i Workshop Hands-on (organizzati in collaborazione con Accenture Italia). Si tra...

    Arriva NightSpire! Un Nuovo Attore nel Panorama del Ransomware

    Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

    FUNKSEC rivendica un attacco Informatico All’Università di Modena e Reggio Emilia. Scopri i dettagli

    Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena ...

    Attacco a X: Scovato il Responsabile? Le Indagini Puntano in una Direzione Inattesa!

    L’attacco informatico a X, il social network di Elon Musk, ha scatenato una vera e propria caccia ai responsabili. Dopo le dichiarazioni dello stesso Musk, che ha attribuito l’attacco a ...