lunedì 10 maggio 2021

Attacco ransomware blocca il più grande oleodotto negli Stati Uniti: Biden dichiara lo stato di emergenza



I ransomware non fanno, ormai, più sconti a nessuno: se l'ondata verso le piccole e medie aziende non si è arrestata mai (e Ryuk continua a fare da protagonista), la scorsa settimana c'è stato un vero e proprio picco di attacchi contro laboratori e strutture sanitarie un pò in tutto il mondo. D'altronde, come dichiarato recentemente dagli appartenenti alla banda Revil, attualmente la più pericolosa famiglia ransomware in attività, gli ospedali sono bocconi prelibati perché deboli in termini di cyber sicurezza, ma con una necessità estrema di rientrare in possesso dei dati e riattivare i sistemi fosse anche solo per tutelare vite umane. 

Ha fatto però notizia sui media di tutto il mondo un attacco ransomware in particolare, i cui effetti hanno davvero messo in ginocchio gli States costringendo addirittura il Presidente Biden a dichiarare lo stato di emergenza: parliamo dell'attacco ransomware che ha colpito il Colonial Pipeline, il più grande oleodotto del paese.

Il Colonial Pipeline trasporta i prodotti di raffinazione del petrolio per tutti gli Stati Uniti meridionali e orientali: la compagnia traporta circa 2.5 milioni di barili al giorno lungo 5.500 miglia di infrastrutture e fornisce circa il 45% di tutto il carburante usato nella East Coast. 

Mappa del sistema Colonial Pipeline

Lo scorso sabato notte questo oleodotto ha subito un attacco che ha obbligato allo shut down di tutta l'infrastruttura onde impedire al malware di potersi ulteriormente diffondere: l'attacco è stato confermato dalla compagnia stessa il giorno successivo, quando la rete era già stata completamente sospesa ed erano in corso i primi tentativi di risoluzione del cyber incidente. 

"Il 7 Maggio, la Colonial Pipeline Company ha avuto consapevolezza di essere stata vittima di un cyber attacco - si legge nella nota. "In risposta, abbiamo messo offline in modo proattivo alcuni sistemi al fine di contenere la minaccia, che ha temporaneamente interrotto le operazioni dell'oleodotto e ha colpito alcuni dei nostri sistemi IT. Appreso del problema, abbiamo immediatamente ingaggiato una società di cyber security di terza parte, che sta portando avanti una indagine sulla natura e sulla portata di questo incidente, che è attualmente ancora in corso" conclude il comunicato, consultabile qui

Biden dichiara lo stato di emergenza

Lo stop dell'oleodotto ha portato a interrompere il trasporto di carburante per una zona che va dal Golfo del Messico fino alla città di New York, ma non solo, perchè lo stop ha riguardato anche zone più periferiche sempre servite dalla stessa infrastruttura. Il timore che una porzione sostanziosa di Stati Uniti possa rimanere senza benzina, diesel carburante per aerei si fa strada, quindi Biden ha dichiarato lo stato di emergenza per far si che possano attivarsi alcune misure straordinarie come il trasporto su gomma per il carburante e l'aumento delle ore di lavoro giornaliere degli auto trasportatori americani, per garantire almeno un afflusso minimo di carburante alle zone interessate. 

Tutta colpa di Darkside
Soltanto da ieri si è cominciato a parlare di Darkside come possibile responsabile di questo attacco: è il Washington Post a fare il nome del team Darkside.

Darkside è una operazione ransomware lanciata intorno alla metà di Agosto 2020 e specializzata in attacchi mirati contro le aziende: il team Darkside cioè organizza campagne di attacco mirate, con tecniche di attacco e strumenti personalizzati rispetto all'obiettivo e all'architettura della sua rete. E' un ransomware che mira esclusivamente a target "di peso", come dimostra anche l'andamento dei conti in criptovaluta correlati a questa operazione: gli attaccanti hanno comunque più volte spiegato di puntare solo a riscatti estremamente onerosi, quindi mirano soltanto aziende che possono permettersi di pagare riscatti milionari. I riscatti fino ad ora registrati oscillano tra i 200.000 e i 2 milioni di dollari statunitensi. 


Come tutti i ransomware di punta da un paio di anni a questa parte, Darkside non cripta soltanto i dati: la routine di criptazione è preceduta dall'esfiltrazione di tutti i dati disponibili nella rete bersaglio. Dati che poi vengono pubblicati a piccole dosi sul sito di leak della gang a scopo ricattatorio, per "incentivare" la vittima a pagare velocemente il riscatto. 

Un estratto del sito di leak Darkside

In questi anni Darkside ha dimostrato di privilegiare vittime appartenenti ai seguenti settori:

  • sanitario (ospedali, ambulatori);
  • educativo ( scuole, università);
  • organizzazioni no profit;
  • enti governativi. 
Aggiornamento del 14/05
E' di ieri la notizia del pagamento, da parte di Colonial Pipeline, di un riscatto pari a 5 milioni di dollari. Il riscatto è stato pagato già Venerdì 7 Maggio, in aperta contraddizione con quanto espresso pubblicamente dalla compagnia, la quale aveva ribadito in più occasioni di non avere alcuna intenzione di pagare il riscatto. Sia la fretta di pagare da parte dell'azienda che la scelta degli attaccanti di accettare un riscatto così basso (mediamente il riscatto contro aziende di questo tipo oscilla tra i 25 e i 35 milioni di dollari) si devono probabilmente alla gravità della situazione: l'interruzione della fornitura di carburante e diesel a milioni di persone ha messo in allarme e costretto Biden ad intervenire immediatamente, anche per scongiurare il panico. Si sono registrate infatti, per alcuni giorni, lunghe code ai distributori di benzina, da parte di una popolazione civile spaventata dalla possibile scomparsa di carburanti. Il riscatto è stato pagato dopo poche ore dall'attacco, gli attaccanti hanno immediatamente fornito il tool di decriptazione che, però, si è dimostrato così lento da costringere l'azienda ad affiancargli i propri backup per velocizzare il ripristino della rete. 

Nessun commento:

Posta un commento