Energia in Ostaggio: Il Gruppo Electrica Colpito dal Ransomware Lynx

La più grande azienda energetica della Romania, Electrica Group, è stata vittima di un attacco informatico. Secondo gli esperti di sicurezza informatica, dietro questo incidente c’è il gruppo di estorsione Lynx.

Il Gruppo Electrica serve attualmente più di 3,8 milioni di utenti in tutto il paese, fornendo servizi di fornitura di energia elettrica e manutenzione della rete, nonché distribuendo elettricità ai consumatori in tutta la Transilvania e la Muntenia.

All’inizio di questa settimana, Electrica Group ha dichiarato agli investitori che la società stava collaborando con le forze dell’ordine e gli esperti di sicurezza informatica per indagare su un “attacco informatico in corso”.

“Vogliamo sottolineare che i sistemi critici non sono stati interessati e che eventuali interruzioni che si verificano nell’interazione con i nostri consumatori sono il risultato delle misure di protezione adottate per garantire la sicurezza dell’infrastruttura interna”, ha affermato il capo di Electrica. “Queste misure sono temporanee e mirano a garantire la sicurezza dell’intero sistema.”

Sebbene la società non abbia rivelato i dettagli e la natura dell’attacco, il Ministero dell’Energia del Paese ha riferito che il Gruppo Electrica è stato vittima di un ransomware. Si sottolinea che l’incidente non ha interessato i sistemi SCADA utilizzati per la gestione e il monitoraggio della rete di distribuzione.

Ora la Direzione nazionale rumena per la sicurezza informatica (DNSC), anch’essa coinvolta nelle indagini sull’attacco, ha riferito che il ransomware Lynx è responsabile di questo hack. Gli esperti hanno allegato al loro messaggio uno script YARA, progettato per aiutare a rilevare segnali di possibile compromissione nelle reti di altre aziende.

“Secondo le informazioni disponibili, i sistemi energetici critici non sono stati interessati e funzionano normalmente, ma l’indagine è in corso. In caso di infezione da ransomware, sconsigliamo vivamente di pagare il riscatto richiesto dagli aggressori”, ha affermato DNSC in una nota.

Il ransomware Lynx è attivo almeno dal luglio 2024 e il “sito di fuga” del gruppo ha già pubblicato informazioni di oltre 78 vittime.

Secondo i ricercatori del Center for Internet Security (CIS), l’elenco delle vittime di Lynx comprende diverse aziende statunitensi e più di 20 organizzazioni operanti nei settori dell’energia, del petrolio e del gas che sono state attaccate tra luglio 2024 e novembre 2024.

Gli esperti ritengono che il ransomware Lynx possa essere basato sul codice sorgente del malware INC Ransom, che è stato messo in vendita sui forum di hacker per 300.000 dollari. Tuttavia, Lynx potrebbe anche rivelarsi un rebranding di INC Ransom, poiché gli aggressori spesso cambiano identità per non attirare indebita attenzione da parte delle forze dell’ordine.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.