Secondo un rapporto della BBC, pare ci sia il gruppo criminale ransomware DarkSide dietro l’attacco alla Colonial Pipeline Company, il più grande fornitore di carburante negli Stati Uniti, incursione portata a termine lo scorso venerdì 7 maggio.
La Colonial Pipeline Company, con sede in Georgia, è il più grande sistema di oleodotti negli Stati Uniti, che trasporta fino a 100 milioni di galloni ogni giorno, tra benzina, diesel, carburante per aviazione e olio combustibile per uso domestico ed è anche responsabile della fornitura di carburante in sette grandi aeroporti Usa. Esso rappresenta il 45% della fornitura di combustibile sulla costa orientale e meridionale degli Stati Uniti e il suo sistema di condutture si estende per oltre 5.500 miglia tra Houston, Texas e Linden nel New Jersey, servendo direttamente 14 stati.
Dopo aver appreso dell’attacco ransomware, la società ha immediatamente messo offline alcuni dei sistemi nel tentativo di controllare la minaccia cyber, con la chiusura temporanea di tutte le operazioni della pipeline.
L’incidente è stato immediatamente notificato alle forze dell’ordine, al governo federale e al Dipartimento per l’Energia nazionale.
A distanza di 48 ore dall’incidente, la società Oil & Gas ha adottato un insieme di misure preventive per monitorare e proteggere la sicurezza dell’intero gasdotto. Sono stati dunque assoldati i maggiori esperti di sicurezza sulla piazza, per cercare di far fronte all’attacco informatico, tra cui la FireEye Inc., una nota società di sicurezza informatica americana.
La stessa FBI, il Dipartimento dell’Energia e la Cybersecurity and Infrastructure Security Agency (CISA) stanno tutti collaborando con la Colonial Pipelineper indagare a fondo la vicenda.
Contestualmente ha anche previsto un piano di riavvio del sistema. Nonostante i quattro principali gasdotti siano rimasti chiusi per tutto il tempo, alcune diramazioni minori sono state riaperte domenica 9 maggio, mentre altre sono in fase di riavvio e si prevede che l’intero sistema tornerà in servizio solo dopo aver avuto la conferma che la sicurezza dell’intero impianto è stata ripristinata.
Sempre domenica la Federal Motor Carrier Safety Administration (FMCSA) ha emesso una dichiarazione di emergenza regionale in 17 stati che revoca temporaneamente per i vettori automobilistici e i conducenti che forniscono assistenza alle aree carenti di “… benzina, diesel, carburante per aerei e altri prodotti petroliferi raffinati …” alcune delle prescrizioni di cui al codice dei regolamenti federali. La dichiarazione di emergenza regionale interesserà i territori dell’Alabama, Arkansas, District of Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, New Jersey, New York, North Carolina, Pennsylvania, South Carolina, Tennessee, Texas e Virginia, e rimarrà in vigore fino al 8 giugno 2021.
Il gasdotto è rimasto chiuso per tre giorni, anche se gli esperti hanno affermato che i prezzi probabilmente non saranno influenzati se il gasdotto sarà di nuovo operativo nei prossimi giorni. Tuttavia, Debnil Chowdhury, Direttore Esecutivo di IHS Markit, la principale fonte di informazioni e approfondimenti in aree critiche nel panorama aziendale, ha riferito in un’agenzia di stampa che i prezzi potrebbero iniziare a salire se il fermo durasse da una a tre settimane.
Il ransomware Darkside riaffiora sul Dark Web. Ma cos’è un ransomware, chi è questo gruppo criminale e come agisce?
Quando apparvero le prime minacce di ransomware nel 2013, le finalità dell’hacker (o cracker) erano quelle di crittografare i dati dei computer delle vittime e quindi richiedere un riscatto per un programma di decryptor.
Si pensi ad esempio a CryptoLocker, un programma ransomware rilasciato ai primi di settembre 2013 (minaccia resa inoffensiva il giugno successivo), il quale prendeva di mira tutte le versioni di Windows, inclusi Windows XP, Windows Vista, Windows7 e Windows8. Questo ransomware crittografava alcuni dei file del sistema informatico utilizzando una combinazione di crittografia RSA e AES. Al termine della crittografia dei file, veniva poi visualizzato al malcapitato un programma di pagamento – appunto il CryptoLocker – che richiedeva allora un modesto riscatto di $ 100 o $ 300 per decrittare i file compromessi. Alla vittima appariva inoltre una schermata che mostrava un timer con indicato il tempo necessario (72 ore o 4 giorni tipicamente)per pagare il riscatto, pena la cancellazione della chiave di crittografia, perdendo così ogni possibilità didecrittare i file. Questo riscatto avrebbe dovuto essere pagato attraverso voucher MoneyPak o Bitcoin. Una volta eseguito il pagamento, i file venivano decrittati automaticamente dal programma.
Oggi, invece, questa richiesta di riscatto può variare da poche centinaia di dollari a milioni di dollari in criptovaluta, tenuto conto che questi attacchi hanno cominciato a rivolgersi alle grandi aziende e multinazionali, oltre le utility e le più note infrastrutture critiche mondiali.
Dopo le prime esperienze di CryptoLocker la strategia degli attacchi condotti con tecniche di ransomware mutò nel modus operandi. Negli ultimi anni infatti gli hackers iniziarono a condurre una strategia definita a doppia estorsione, in quanto una volta crittografata la rete delle vittime, i dati sottratti venivano poi resi disponibili nel Dark Web se non si pagava un riscatto per riaverli e rimuovendo unitamente l’infezione dai propri sistemi informatici.
In questo modo le vittime, più preoccupate per ulteriori violazioni ma soprattutto per evitare le possibili cause intentate dai propri clienti, erano piuttosto incautamente propense a pagare il riscatto.
È vero altresì che, sebbene possa sembrare meno oneroso pagare un riscatto, non vi è però nessuna garanzia che questi dati non vengano poi rilasciati o venduti nel Dark Web dagli attori stessi della minaccia. Ed è per questo che conviene maggiormente denunciare l’evento alla Pubblica Autorità trattando il tutto come un Data Breach e mostrare la più ampia trasparenza nell’incidente in cui si è incorsi.
Secondo DarkTracer, un noto ricercatore del Dark Web, pare esistano almeno 34 bande criminali dedite all’utilizzo di ransomware, celebri per aver fatto trapelare i dati di quasi 2.103 organizzazioni tra pubbliche e private.
Si enumerano tra queste gangs: Team Snatch, MAZE, Conti, NetWalker, DoppelPaymer, NEMTY, Nefilim, Sekhmet, Pysa, AKO, Sodinokibi (REvil), Ragnar_Locker, Suncrypt, DarkSide, CL0P, Avaddon, LockBregor, Mount, Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname e XING LOCKER, e tante altre anche se poi alcune di queste non siano più attive.
DarkSide ha attirato l’attenzione del pubblico mondiale e dell’industria della sicurezza informatica quando uscìallo scoperto per la prima volta nell’agosto dello scorso anno con il suo Ransomware-as-a-Service (RaaS). Da allora è riemerso sul
Dark Web e i suoi adepti sono ora attivi sui forum clandestini. Attraverso i loro post, hanno lanciato una nuova campagna che coinvolge l’ultima variante del ransomware, ovvero Darkside 2.0. Questa versione presenta un’infrastruttura software aggiornata con funzionali
tà ottimizzate. Il ransomware mette fuori gioco i servizi come vss, sql, svc, memtas, mepocs, sophos, veeam e backup, dedicati ai processi che vegliano sulla sicurezza e sui backup dei sistemi informatici.
In precedenza DarkSide ha colpito altre volte, comunque sempre obiettivi di alto profilo ed interesse strategico come: CompuCom, Discount Car and Truck Rentals, Brookfield Residential e la brasiliana Companhia Paranaense de Energia (Copel).
Il gruppo criminale ha dichiarato esplicitamente che non prenderà di mira ospedali, scuole, università e organizzazioni senza scopo di lucro.
“… Al momento non ci sono prove che la Russia sia implicata nella vicenda del cyber attacco all’oleodotto della Colonial Pipeline negli Stati Uniti …”, ha detto oggi il presidente Usa Joe Biden parlando alla Casa Bianca e gettando così acqua sul fuoco per raffreddare gli animi.
Lascia comunque non poche perplessità il fatto che questo fantomatico gruppo di crackers, affetto dalla “sindrome di Robin Hood” – rubo ai ricchi per dare ai poveri (mah!) – colpisca solo i paesi di lingua inglese risparmiando però le nazioni che facevano parte dell’ex-Unione Sovietica (Russia compresa).