L'AW169 di Leonardo
Milano, 13 febbraio 2025. Un attacco ransomware a un’azienda collegata al colosso italiano della difesa. Rotorsim, una joint-venture del 2003 tra Leonardo e Cae (gigante canadese del settore aerospaziale), è finita nel mirino dei cybercriminali di 3AM. Gli hacker filorussi hanno rivendicato l’exploit, affermando di aver bucato direttamente Leonardo, ma l’azienda italiana nega: “I nostri sistemi non sono stati violati”. Secondo fonti qualificate, a essere stata hackerata è stata esclusivamente Rotorsim, società di Varese che si occupa di addestramento con simulatori di piloti di elicotteri. Al momento, sulla bacheca della cybergang, che si trova sul dark web, è stato solo pubblicato il filetree dei dati rubati, un elenco molto dettagliato di tutte le informazioni esfiltrate che, in formato Pdf, conta 4.335 pagine. Si tratta, molto probabilmente, di una grande quantità di dati. Per ora, 3AM ha detto di aver postato appena l’1% del materiale rubato.
Cosa è successo
L’attacco, che oggi è stato segnalato da RedACT, un gruppo italiano di esperti in attacchi ransomware, lascia pensare che siano state rubate informazioni sensibili. Sebbene il contenuto effettivo dei file non sia stato ancora reso noto, la sola pubblicazione dell’elenco dei file rappresenta già di fatto un problema significativo per la sicurezza.
Chi si nasconde dietro 3AM
Il gruppo 3AM è un gruppo di cybercriminali filorussi relativamente recente. Negli ultimi tre anni hanno colpito 56 volte. Non hanno una struttura molto estesa e, secondo le informazioni raccolte da RedACT, alla quantità preferiscono la qualità, cercando di colpire grandi gruppi da cui ottenere riscatti sostanziosi.
Cosa hanno rubato
Scorrendo le pagine del filetree si trova davvero di tutto. Dagli arredi scelti dall’azienda a file personali. Ci sono diversi documenti sull’AW169, un bimotore leggero che può essere utilizzato per scopi civili e militari e che è in dotazione anche al nostro esercito, e sull’AW139, un altro elicottero biturbina. Ovviamente non è ancora possibile capire quanto siano sensibili i documenti in mano agli hacker. Lo si potrà scoprire se e solo se verranno pubblicati i documenti rubati.
La ricostruzione
L’attacco sarebbe avvenuto il 20 gennaio. Subito dopo, Rotorsim sarebbe stata contatta direttamente da 3AM, che avrebbe chiesto un riscatto per non pubblicare sul darkweb i dati sensibili esfiltrati. L’azienda di Varese, secondo quanto filtra da persone a conoscenza dei fatti, non utilizza rete e sistemi di Leonardo, ma quelli della Cae. Si tratta di una rete dedicata, che non è interconnessa con i servizi di Leonardo. Rotorism si sarebbe poi interfacciata con la divisione cyber di Cae per ottenere supporto e per ripristinare i sistemi danneggiati dall’attacco. Dopo la rivendicazione ufficiale, anche Leonardo ha avviato un contatto ufficiale con l’Acn, l’Agenzia per la cyberiscurezza nazionale, per chiarire l’accaduto e avviare accertamenti tecnici per verificare che tipo di dati siano stati pubblicati.