La notizia l’ha diffusa il sito specializzato in cyber sicurezza Red Hot Cyber (www.redhotcyber.com). La banda di hacher BlackBasta, che lo scorso 2 febbraio aveva portato a termine un assalto ai sistemi del gruppo Acea – sistemi che coinvolgono tutte le società del gruppo controllato da Roma Capitale a partire dalla enorme banca dati dei clienti contenuta nel portale MyAcea – con un attacco ransomware a “modello chiuso”, ha diffuso 800 GB di informazioni presumibilmente sottratte al colosso della gestione idrica ed energetica.
In sintesi – per spiegare – i ransomware sono software malevoli che, inseriti in modo fraudolento all’interno dei sistemi informatici, riescono a cifrare i dati e rendono indisponibili i sistemi stessi. Una volta cifrati i dati, i criminali chiedono il pagamento di un riscatto in criptovaluta, per poterli rilasciare.
Gli hacker mettono online i dati rubati
Lo scorso febbraio, Acea è riuscita a risolvere il problema e rimettere online i propri siti web e quelli delle aziende collegate in circa 48 ore, precisando che l’attacco hacker “non ha avuto alcun effetto sui servizi essenziali erogati agli utenti”. Ma adesso sui siti del gruppo hacker BlackBasta viene indicato che la totalità dei dati copiati ad Acea nel corso dell’attacco sono stati pubblicati.
Nel post dei criminali informatici, è inoltre presente un link alla “directory listing” nel quale sono presenti una serie di file di tipo archivio, per un totale di 810GB. Una quantità enorme di informazioni, del cui contenuto ancora non si ha certezza e che è necessario analizzare nel dettaglio per capire cosa contenga e se vi siano anche dati sensibili sottratti alla multiutility romana.
Pubblicato anche un archivio da 450GB denominato “Bollette”
Tra gli archivi pubblicati, risulta essercene uno – della capienza di oltre 450 gigabyte – intitolato “Bollette”, circostanza che farebbe pensare possa contenere moltissimi dati personali degli utenti. Al momento Acea non ha ancora rilasciato alcuna comunicazione al riguardo.
Chi sono i criminali di BlackBasta
Come spiega il sito Red Hot Cyber “Gli operatori di Black Basta utilizzano la tecnica della doppia estorsione, il che significa che oltre a crittografare i file sui sistemi delle organizzazioni prese di mira e richiedere un riscatto per rendere possibile la decrittazione, mantengono anche un sito di fuga di informazioni sul dark web dove minacciano di pubblicare informazioni sensibili se un’organizzazione sceglie di non pagare un riscatto. Gli affiliati di Black Basta sono stati molto attivi nell’implementazione di Black Basta e nell’estorsione di organizzazioni sin dalla prima comparsa del ransomware. Il ransomware di BlackBasta è scritto in C++ e ha un impatto sui sistemi operativi Windows e Linux”.
