Dopo l’attacco ransomware subito, Colonial Pipeline è stata costretta a chiudere uno dei più grandi oleodotti degli Stati Uniti. Secondo Reuters si tratterebbe di uno degli attacchi ransomware più gravi e dirompenti mai segnalato: la Casa Bianca sta lavorando con Colonial Pipeline per ristabilire il funzionamento della rete il più presto possibile. Nel frattempo si apprende che gli autori dell’attacco apparterrebbero al gruppo criminale DarkSide.
Max Heinemeyer, Director of Threat Hunting di Darktrace, commenta così la vicenda: “È ormai evidente come gli approcci tradizionali alla sicurezza dei sistemi di controllo industriale non siano più sufficienti e l’attacco ransomware a Colonial Pipeline dovrebbe essere un segnale chiaro per tutti i fornitori di infrastrutture critiche nazionali nel mondo. Se è vero che l’incidenza delle minacce ransomware sta aumentando in tutti i settori, l’aggravante nell’industria Oil & Gas è che un attacco di questo tipo non solo causa interruzioni diffuse e blocchi forzati, ma rischia di mettere in pericolo anche l’ambiente, per non parlare delle vite umane!”
Heinemeyer conclude affermando che “Di per sé il ransomware è un metodo di attacco molto comune, caratterizzato dalla presenza di malware che si spostano rapidamente all’interno delle organizzazioni colpite per disabilitarne i sistemi e criptare i file a una velocità che supera di gran lunga quella umana. E qui è il punto dolente, non si tratta più di un problema affrontabile su scala umana; per combattere con successo questo tipo di attacchi è necessario che le organizzazioni utilizzino le tecnologie autonome e l’IA in grado di rilevare e bloccare tempestivamente la minaccia prima ancora che si queste evolva in un vero e proprio attacco.”
La Caccia grossa dei criminali informatici
Sull’argomento è intervenuto anche Vladimir Kuskov, Head of Threat Exploration di Kaspersky, ha commentato e analizzato l’attacco subito da Colonial Pipeline: ” DarkSide è il tipico caso in cui i gruppi criminali hanno come obiettivo dichiarato il guadagno economico e la cui attività viene definita “Big Game Hunting“, ovvero la “caccia grossa”. Si muovono utilizzando schemi di partner affiliati: offrono il loro “prodotto” ransomware ai “partner” che a loro volta possono acquistare da altri hacker l’accesso alle organizzazioni e diffondere così il ransomware. A differenza di altri gruppi, DarkSide sostiene di avere un codice di condotta che prevede l’esclusione dai loro obiettivi di organizzazioni quali ospedali, scuole, istituzioni governative e organizzazioni non commerciali. A giudicare dalla dichiarazione pubblicata sul loro leak site, sembra che DarkSide non avesse previsto le conseguenze e l’attenzione mediatica avuta con l’attacco a Colonial Pipeline e che ora abbia deciso di adottare una linea più moderata per evitare situazioni simili in futuro.
Esistono versioni del ransomware di DarkSide per Windows e Linux ed entrambe hanno uno schema crittografico sicuro che rende impossibile decriptare i file senza la chiave del gruppo criminale.
In passato, DarkSide aveva commesso l’errore di utilizzare le stesse chiavi per più vittime, permettendo così alle aziende di sicurezza di sviluppare uno tool di decrittazione per aiutare le vittime a recuperare i loro file senza pagare il riscatto. Il gruppo ha risposto a questa situazione sul forum darknet e le vittime non hanno più potuto utilizzare questa opzione.
Negli ultimi due anni il numero di attacchi ransomware mirati è aumentato notevolmente, per questo motivo è molto importante che le organizzazioni aumentino il livello di protezione dei loro sistemi e di quello dei loro network. Si consiglia di non esporre i servizi di desktop remoto a reti pubbliche a meno che non sia assolutamente necessario e di utilizzare sempre password complesse. Inoltre, è importante installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono l’accesso ai dipendenti che lavorano da remoto e che fungono da gateway nella rete aziendale. Un altro importante suggerimento è quello di tenere sempre aggiornato il software di sicurezza su tutti i dispositivi utilizzati per evitare che il ransomware sfrutti le vulnerabilità.
Inoltre, è importante focalizzare la propria strategia di difesa nel rilevare tattiche di movimento laterale ed esfiltrazione di dati su Internet e prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici. A questo proposito, è possibile utilizzare soluzioni di protezione endpoint e di rilevamento e risposta e/o i servizi di managed detection and response, come Kaspersky Endpoint Detection and Response e Kaspersky Managed Detection and Response, per identificare e bloccare l’attacco nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi finali.
