Colpiti i porti di Anversa, Gand e Amsterdam. Gli indizi puntano verso il software BlackCat, affiora l’ombra della Russia
Alcuni tra i principali terminal petroliferi dell’Europa del Nord sono stati colpiti da un’ondata di attacchi informatici, probabilmente di tipo ransomware, proprio nel momento in cui l’intero continente è sotto pressione per gli alti prezzi dell’energia. I porti finiti nel mirino nelle ultime 24 ore sono – stando alle informazioni disponibili – Gand, Terneuzen, Amsterdam e Anversa, ovvero lo scalo europeo più grande dopo Rotterdam.
Le autorità belghe, olandesi ed europee hanno già lanciato le indagini pertinenti per capire chi si celi dietro questi cyberattacchi mentre al momento non è chiaro quale possa essere l’impatto sulle operazioni di scarico del greggio. Tra i terminal coinvolti ci sono quelli operati dalle compagnie Sea-Tank, Oiltanking ed Evos. “Tutto è attualmente in fase di mappatura”, ha assicurato Kristof Aerts della Procura di Anversa a De Morgen. “Un’indagine è stata avviata con l’aiuto dell’unità crimini informatici della polizia federale: non possiamo fare altre dichiarazioni al riguardo”.
I cyberattacchi in Belgio e Olanda seguono a quelli riscontrati in Germania, a partire dal 29 gennaio, contro undici siti, sempre di Oiltanking. Ovvero uno dei trader più importanti, che rifornisce Shell, tra gli altri. Il capo dell’agenzia tedesca per la sicurezza informatica, Arne Schoenbohm, ha detto in conferenza stampa che l’incidente è serio ma “non grave”. Secondo il giornale tedesco Handelsblatt, un primo rapporto dei servizi di sicurezza di Berlino ha identificato l’episodio come “un ransomware BlackCat”; da qui il sospetto che ci sia la stessa mano anche in Belgio e Olanda.
Ora, il BlackCat è l’ultimo software ransomware identificato dalla comunità di esperti di sicurezza e a quanto pare si sta diffondendo a macchia d’olio poiché i creatori del programma lo mettono a disposizione di chi vuole materialmente eseguire gli attacchi – che prevedono un riscatto – a un prezzo molto vantaggioso.
Il porto di Anversa (Keystone)
La Unit 42 del Paloalto Networks ha condotto uno studio sul software e ha scoperto che, oltre a essere stato creato con il linguaggio Rust, scelta molto originale, il programma è scritto in russo. Questa, stando agli esperti, non può essere considerata però una pistola fumante perché gli hacker spesso e volentieri usano questi trucchetti per depistare gli investigatori.
Ma, vista la situazione geopolitica attuale, la circostanza aggiunge tensione alla tensione. Il Centro nazionale olandese di sicurezza informatica (Ncsc) ritiene che non vi sia una “regia unica” dietro agli attacchi e che si tratti di “gruppi criminali” alla ricerca di denaro. Non si tratterebbe dunque di una cyber-operazione di Mosca, tanto per essere chiari.
Resta il fatto che, secondo le autorità Usa, dietro alla sortita contro la Colonial Pipeline si nascondeva una gang basata in Russia (REvil e DarkSide). Recentemente il governo russo ha annunciato che, su richiesta degli Stati Uniti, ha arrestato 14 individui ritenuti membri di REvil. Di nuovo, stando agli esperti del settore i fermi di Mosca non sembrano aver ridotto affatto le attività della gang. Che potrebbero avere dei legami con BlackCat.