Periodicamente, su questo blog, parliamo di attacchi ransomware e di cybersecurity dando alcuni consigli per evitare di cadere nelle trappole tese dai criminali della rete. In molti casi queste truffe bloccano totalmente i sistemi delle aziende ed in altri si limitano al blocco di qualche device risolvibile in poco tempo. In questo caso, invece, l’effetto di un attacco ransomware potrebbe avere risvolti particolarmente impattanti addirittura sul sistema economico.
Al termine della prima settimana di maggio, infatti, Colonial Pipeline ha subito un attacco informatico che l’ha obbligata ad interrompere la sua attività in gran parte del territorio. L’azienda statunitense di oleodotti ha dovuto bloccare la distribuzione di petrolio su tutta la costa orientale dopo essere stata colpita da un ransomware. La rete di Colonial Pipeline copre attualmente più di 8800 km e l’incidente è talmente grave che il Presidente degli Stati Uniti Joe Biden ha dovuto anche dichiarare lo stato d’emergenza e procedere con misure organizzative straordinarie.
Appena scoperta l’infezione, l’azienda ha comunicato in modo trasparente che si trattava di un Ransomware ed ha decretato lo stop alle 4 linee principali lasciando attivi solo alcuni oleodotti minori. Il malware installato per errore ha operato invece in modo duplice. Prima di venerdì 7 maggio, giorno dell’attacco, i sistemi erano già stati presi di mira tramite il furto di una ingente quantità di dati in poche ore. A partire da sabato 8 maggio, poi, gli hacker hanno iniziato i loro tentativi di estorsione ai danni dell’azienda. Ovviamente il ricatto è doppio, poiché in caso di mancato pagamento dell’ingente somma di denaro i dati verrebbero resi pubblici. Secondo alcuni esperti, il malware utilizzato è il già noto Ryuk, un ransomware che colpisce frequentemente le aziende di grosse dimensioni.
Vista l’importanza strategica della vittima dell’attacco, l’FBI si è attivata rapidamente per scovare i responsabili, che dopo qualche indagine sono stati identificati nel gruppo hacker DarkSide. Questa rete di cybercriminali russa è nota per la sua attività di vendita di ransomware-as-a-service allo scopo di monetizzare il più possibile e gli investigatori hanno pertanto pensato ad un attacco di tipo politico. Per evitare ogni tipo di speculazione, è stato lo stesso gruppo DarkSide a rilasciare una dichiarazione via Twitter per specificare di non agire per scopi politici ma solo per guadagno economico, arrivando addirittura a scusarsi per l’accaduto.
La questione, in questo caso, è particolarmente grave poiché i problemi non si limitano alla sola azienda ma potrebbero esserci grossissime ripercussioni anche sul mercato petrolifero. La East Coast americana, attualmente, dispone di soluzioni alternative a breve termine per poter continuare a ricevere le forniture in modo continuo, ma non si potrà andare avanti ancora molto. Sarà quindi necessario ripristinare le condotte entro la settimana per evitare una situazione ben peggiore.
Casi come questo mettono più che mai il focus sull’importanza fondamentale di una gestione ottimale della sicurezza dei sistemi, vista la grande rilevanza economica e logistica dei processi di certe aziende. Una distrazione, anche minuscola, potrebbe di fatto impattare su una quantità enorme di persone e, in questo caso, su un’intera filiera.