La Tesla di Elon Musk si salva da un attacco ransomware grazie ad un dipendente fedele

I numeri ne danno conferma schiacciante: una fetta importante dei cyber attacchi ha successo a causa dell'errore umano. Non a caso, c'è un vecchio detto nella comunità dei ricercatori di sicurezza: l'anello debole della cyber sicurezza sta tra il pc e la sedia. Questo però è il caso in cui, al contrario, la fedeltà di un singolo dipendente ha salvato un'azienda del peso della Tesla di Elon Musk dal subire una gravissima infezione ransomware. 

Il dipendente, che opera nella Gigafactory di Sparks in Nevada, è stato contattato da un cyber attaccante di origine russa: il tentativo era di convincerlo a iniettare un malware nella rete aziendale, un ransomware appunto. Una volta criptati i file, l'attaccante avrebbe avanzato una gigantesca richiesta di riscatto, minacciando anche la pubblicazione dei dati rubati: al dipendente sarebbe stata riservata una percentuale del riscatto per l'aiuto prestato. Il sospetto attaccante si chiama Egor Igorevich Kriuchkov ed è stato arrestato dall'FBI qualche giorno fa, dopo aver tentato una precipitosa fuga lontano dagli Stati Uniti. 

Il dipendente Tesla ha spiegato che il piano dell'attaccante era quello di fargli diffondere il ransomware tramite chiavetta USB oppure convincendolo a cliccare su un allegato dannoso che l'attaccante avrebbe inviato alla sua casella email aziendale. Il malware, oltre a fornire accesso da remoto, avrebbe garantito sia il furto dei dati che la criptazione di tutti i file in rete. Per coprire il dipendente al momento di infettare la rete aziendale, Kriuchkov  aveva promesso che la sua gang avrebbe condotto un attacco DDoS contro i server della Tesla, così da avere un diversivo che potesse distrarre l'attenzione dall'insider infedele. Kriuchkov ha detto inoltre al dipendente, durante un incontro faccia a faccia, che aveva già organizzato piani simili ben due volte, guadagnando 4 milioni di dollari: un piano già testato ma che necessita di un insider. In cambio, gli attaccanti avrebbero pagato 1 milione di dollari al dipendente, sia per la distribuzione del ransomware sia per la condivisione di informazioni riservate sull'architettura della rete aziendale, dati necessari per produrre un malware mirato. 

E' stato al termine di questo incontro faccia a faccia che il dipendente di Tesla ha allertato l'FBI, dando il via alla caccia all'uomo. Kriuchkov è stato arrestato a Los Angeles, mentre si apprestava lasciare il paese. Poco dopo lo stesso Elon Musk ha confermato, tramite il proprio account Twitter, il tentativo di corruzione. Stando all'FBI i contatti sono iniziati già nel 2016, ma si sono intensificati via WhatsApp a Luglio. Durante i primi giorni di Agosto si è poi tenuto l'incontro faccia a faccia in una località piuttosto vicina alla Gigafactory bersaglio e, di li a pochi giorni, è avvenuto l'arresto con tanto di intercettazioni e screenshot delle comunicazioni intercorse tra Kriuchkov e il dipendente. 

Kriuchkov è stato accusato di cospirazione con la finalità di causare danni ad una struttura protetta: rischia una pena massima di 5 anni di prigione e una multa di 250.000 euro. 

I ransomware sono sempre più sfacciati

Tutto è bene quel che finisce bene, ma l'episodio in realtà rivela un grave problema: gli attori che gestiscono ransomware si sono fatti così sfacciati e così ricchi da potersi permettere di corrompere persone comprando insider nelle aziende. Offrire 1 milione di dollari in cambio di un attacco dall'interno quando non si trovano falle dall'esterno è qualcosa che può permettersi solo chi ha molti soldi a disposizione: oltre a ciò, va tenuto anche in conto il fatto che l'infrastruttura di server C&C e la botnet necessaria a lanciare un attacco DDoS hanno dei costi non irrisori, così sono necessari guadagni crescenti perchè si possa mantenere e allargare l'infrastruttura stessa. Insomma, più le aziende pagano i riscatti per non vedere divulgati i propri file o per tornarne in possesso, più gli attaccanti guadagnano, ampliando la platea delle possibilità di attacco comprando infrastrutture migliori, malware migliori e... persone interne alle aziende. Più si cede ai ricatti del riscatto quindi, più si rendono forti e attrezzati i cyber attaccanti.