Andrea Saturnino, ICT Security Specialist di Sababa Security, ha commentato l’attacco ransomware rivolto ad Air Albania.
“Nella sera di lunedì 30 gennaio, Lockbit ha annunciato di aver effettuato un attacco informatico di tipo ransomware nei confronti di Air Albania, compagnia di bandiera dell’Albania, posseduta al 50% da Turkish Airlines.
Ad oggi, 31 gennaio, la compagnia aerea non ha ancora rilasciato nessun comunicato ufficiale, mentre da parte di Lockbit è stata indicata come deadline per il pagamento del riscatto il 14 febbraio.
L’attacco verso una compagnia aerea è solo uno dei tanti avvenuti negli ultimi mesi, basti pensare a quello effettuato da Ragnar Locker verso TAP Air Portugal, o quello da Daixin Team verso Air Asia, o quello, sempre da parte di Lockbit, verso Kuwait Airlines.
Tutto porta alla conferma di un trend, avviato ormai da qualche anno, di attacchi informatici verso infrastrutture critiche, come ospedali, aeroporti e sistemi finanziari, in Albania come nel resto del mondo.
La situazione è stata esacerbata dalla guerra in Ucraina e dalla crisi legata alla pandemia, ma anche dall’entrata in gioco negli ultimi anni di gruppi parastatali cinesi e iraniani che puntano sempre più spesso ad attaccare sistemi governativi o infrastrutture critiche europee o nordamericane, con lo scopo di danneggiare gravemente i sistemi e generare disservizi sparsi.
Tornando all’Albania, la nazione balcanica è sotto costante minaccia informatica da circa un anno, con attacchi che hanno colpito i principali sistemi governativi, tra cui quello della polizia.
Secondo Tirana, dietro a questi attacchi ci sarebbe l’Iran. L’Albania ha infatti fornito asilo a circa 3000 membri del MEK, il partito di opposizione iraniano. Proprio l’attacco al sistema informatico delle forze dell’ordine potrebbe avere avuto come scopo quello di ottenere informazioni riguardanti i movimenti in entrata e in uscita dal territorio albanese, permettendo quindi all’attaccante di conoscere i nomi delle persone presenti in Albania.
Lockbit è invece, ormai da diversi anni, il gruppo criminale più prolifico in fatto di attacchi ransomware: solo nel 2022 è arrivato a coprire il 44% del totale degli attacchi ransomware nel mondo. Per questo specifico attacco, benché sia stato annunciato da Lockbit, è possibile che il gruppo abbia “noleggiato” il proprio malware ransomware ad altri gruppi, magari più piccoli o parastatali. Infatti, Lockbit è stato uno dei primi gruppi criminali ad implementare il modello del RaaS, Ransomware as a Service, tramite cui affitta il proprio malware Ransomware ad altri gruppi o organizzazioni per effettuare attacchi. Una parte del guadagno risultante dall’attacco viene poi ceduto a Lockbit come forma di pagamento.
In attesa di un eventuale annuncio ufficiale, con possibile smentita, non ci resta che attendere il 14 febbraio per verificare l’attendibilità dei dati forniti da Lockbit.”