Immaginate di restare a secco in una landa e di non poter fare rifornimento all’unica stazione di servizio perché il carburante non è arrivato. Pensate al disagio di ritrovarvi in aeroporto bloccati o, peggio ancora, alla possibilità di non ricevere adeguate cure in ospedale perché tutti i macchinari non funzionano. Nel mentre, chi gestisce la struttura riceve richieste di pagare milioni in cambio del ripristino dei sistemi. Questi scenari permettono di comprendere come la sicurezza OT trascenda i perimetri aziendali e non sia solo di interesse per le imprese: la faccenda riguarda tutta la società. Le conseguenze di un ransomware, riassunte banalmente nei tre esempi appena raccontati, possono avere un impatto devastante sul vivere quotidiano delle persone, mettere in ginocchio città e governi, colpire i Paesi lì dove batte il cuore dei servizi alla popolazione.
Di ransomware ci si impoverisce, si creano disagi, si muore persino. Effetti concreti di un male virtuale. Ancora un episodio ci ha messo davanti agli occhi l’importanza di curare la safety degli impianti e delle cosiddette strutture critiche dei Paesi: è il caso dell’oleodotto statunitense Colonial Pipeline, un bestione di 8.850 chilometri che ha riaperto dopo sei giorni di “passione” a causa proprio di un attacco informatico rivendicato dal gruppo DarkSide.
Indice degli argomenti
Colonial Pipeline e il ransomware “as a service”
Venerdì scorso è stato infatti sferrato un attacco ransomware che ha portato al blocco delle condutture dell’oleodotto. Un’infrastruttura importantissima per l’East Coast degli USA, in grado di provvedere al 45 per cento degli approvvigionamenti di carburanti, per 2,5 barili ogni giorno, in zone altamente trafficate e popolate come l’area di New York e l’aeroporto di Atlanta.
Come riportato dalla CNN, il governo federale USA martedì sera ha confermato, tramite la CISA e l’FBI, che il gruppo criminale DarkSide è stato utilizzato come un “ransomware-as-a-service”, in pratica a noleggio, modalità per cui, spiega la testata statunitense, “gli sviluppatori del ransomware ricevono una parte dei proventi dagli attori criminali informatici che lo distribuiscono, noti come affiliati”. Potrebbe essere anche una singola persona, le indagini delle autorità americane sono in corso per risalire all’identità di chi ha la responsabolità.
Le scuse di DarkSide
In seguito alle gravi conseguenze per la società tutta, DarkSide lunedì ha comunicato di essere “caduto dal pero”, cioè di aver compreso che l’attacco è andato oltre e che l’intenzione era solo di fare soldi, e che, spiega sempre la CNN, il gruppo non fosse informato che il target degli affiliati fosse l’oleodotto.
In una nota, Vladimir Kuskov, Head of Threat Exploration di Kaspersky, spiega che “DarkSide è il tipico caso in cui i gruppi criminali hanno come obiettivo dichiarato il guadagno economico e la cui attività viene definita Big Game Hunting, ovvero la caccia grossa. Si muovono utilizzando schemi di partner affiliati: offrono il loro prodotto ransomware ai partner che a loro volta possono acquistare da altri hacker l’accesso alle organizzazioni e diffondere così il ransomware”.
Le scuse del gruppo sono arrivate in quanto, spiega l’esperto di Kaspersky, “a differenza di altri gruppi, DarkSide sostiene di avere un codice di condotta che prevede l’esclusione dai loro obiettivi di organizzazioni quali ospedali, scuole, istituzioni governative e organizzazioni non commerciali. A giudicare dalla dichiarazione pubblicata sul loro leak site, sembra che DarkSide non avesse previsto le conseguenze e l’attenzione mediatica avuta con l’attacco a Colonial Pipeline e che ora abbia deciso di adottare una linea più moderata per evitare situazioni simili in futuro”.
Il modus operandi: che cosa è successo ai sistemi Colonial Pipeline
Ai nostri microfoni Claudio Telmon, membro del comitato direttivo del Clusit, l’associazione italiana degli esperti di sicurezza informatica, nonché partner di P4I, spiega: “Quando – ormai parecchi anni fa – hanno iniziato a diffondersi i ransomware, un gran numero di aziende erano del tutto impreparate e la perdita di informazioni che derivava dalla cifratura dei dati fatta da questi programmi poteva metterle in ginocchio. Ancora oggi, le aziende che non curano adeguatamente i propri backup e la loro protezione continuano ad essere danneggiate allo stesso modo, ma molte altre sono invece ormai capaci di ripristinare efficacemente i dati cifrati”.
I gruppi criminali che sviluppano e distribuiscono questi malware quindi “hanno fatto un passo ulteriore: non si limitano alla cifratura automatica dei dati, ma accedono ai sistemi per trovare un modo di estorcere comunque soldi alle aziende, anche quando i backup permettano di ripristinare rapidamente i dati perduti: ad esempio, raccogliendo dati minacciando e poi di pubblicarli (con danni alla reputazione delle aziende, alla riservatezza di dati finanziari o commerciali, o con il rischio di sanzioni se si tratta di dati personali) o causando disservizi alle attività produttive”, prosegue Telmon.
Questo sembra essere quello che è successo anche nel caso di Colonial Pipeline, “anche se i dettagli su come sia avvenuto effettivamente l’attacco non sono ancora noti, almeno pubblicamente. Questi ransomware di solito non usano modalità particolarmente sofisticate per entrare in azienda, spesso basta una mail a personale aziendale. Una volta dentro, il malware è la testa di ponte che i delinquenti utilizzano per trovare altre debolezze nella siucrezza interna, fino a raggiungere obiettivi di valore. Lo scopo è fare soldi, e infatti probabilmente questo incidente non è stato un grande successo per il gruppo che lo ha praticato: ha attirato tale e tanta attenzione su di sé, con il disservizio provocato, da metterli certamente al centro del mirino delle polizie di mezzo mondo, tanto che si sono addirittura affrettati a scusarsi, precisando appunto che a loro interessano i soldi e non i disservizi”.
Questo episodio “è solo il più clamoroso di un’evoluzione che è in corso da tempo e che proseguirà nei prossimi anni. La dipendenza delle organizzazioni dai sistemi informativi e la sempre maggiore aggressività di gruppi come Darkside renderà indispensabile assicurare un’attenzione adeguata e continua alla propria sicurezza, per poter contrastare minacce in continua evoluzione”, conclude Telmon.
I consigli dei technology provider
Kaspersky in una nota precisa che negli ultimi due anni il numero di attacchi ransomware mirati è aumentato in modo notevole, per cui “è molto importante che le organizzazioni aumentino il livello di protezione dei loro sistemi e di quello dei loro network”. Questo è possibile se:
- non si espongono i servizi di desktop remoto a reti pubbliche
- si installano tempestivamente le patch disponibili per le soluzioni VPN commerciali
- Aggiornare costantemente il software di sicurezza su tutti i dispositivi utilizzati per evitare che il ransomware sfrutti le vulnerabilità
- adottare una strategia volta a rilevare tattiche di movimento laterale ed esfiltrazione di dati sul web e prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici.
Cionostante, come precisa in un comunicato Charlie Gero, Vice President and CTO, Security Technologies Group, Akamai, “La natura dei sistemi operativi desktop oggi rende i ransomware difficili da fermare completamente. Man mano che i sistemi operativi otterranno maggiori protezioni funzionalmente più equivalenti a quelli mobile, la superficie di minaccia diminuirà naturalmente nel tempo, ma non ci siamo ancora. Se è probabile comunque che ci sarà sempre qualche superficie dove questi exploit possano essere sfruttati, esistono altre modalità per fermare questi attacchi sul nascere semplicemente rendendoli meno economicamente remunerativi”.