Un attacco informatico ai danni di Colonial Pipeline Company, il più grande oleodotto di carburante negli Stati Uniti, ha costretto il gestore a bloccare tutte le attività nel tentativo di circoscrivere l'attacco. La nota ufficiale con la descrizione dell'accaduto risale a sabato e si riferisce a un'azione criminale perpetrata probabilmente nella giornata di venerdì 7 maggio. A tutt'oggi l'oleodotto risulta bloccato.

Le conseguenze sono gravi perché Colonial Pipeline trasporta prodotti petroliferi raffinati tra le raffinerie situate nella costa del Golfo e la costa orientale degli Stati Uniti. L'azienda trasporta 2,5 milioni di barili al giorno e fornisce il 45% di tutto il carburante consumato sulla East Coast. Gli osservatori sottolineano che anche un blocco temporaneo delle attività di Colonial Pipeline potrebbe far aumentare i prezzi nazionali del carburante.

L'oleodotto trasporta benzina, diesel, olio per riscaldamento domestico e carburante per jet. Fornisce anche l'esercito. Se le attività non saranno ripristinate al più presto si rischiano quindi conseguenze molto gravi. L'FBI sta affiancando un'azienda informatica di terze parti incaricata delle indagini (Mandiant), e la Casa Bianca sta seguendo la vicenda. Per ovvii motivi la vicenda è seguita anche dalla Federal Energy Regulatory Commission, che supervisiona i gasdotti interstatali.  Per ora le informazioni sono frammentarie.

La CNBC ha parlato per prima di un attacco ransomware. Un funzionario federale ha portato i sospetti su DarkSide, un gruppo ransomware relativamente nuovo, mosso da motivazioni economiche. Al momento è presto per dare per scontata questa opzione. DarkSide è un gruppo attivo da metà del 2020, che opera come qualsiasi altro gruppo del suo genere: ottenuto l'accesso alla rete target, resta silente per il tempo necessario per fare movimenti laterali e diffondersi sui dispositivi critici, quindi opera un furto di dati prima di avviarne la crittografia.

Se effettivamente è stato questo gruppo a sferrare l'attacco, molto presto circoleranno online estratti dei dati rubati accompagnati da una corposa richiesta di riscatto. Il doppio ricatto prevede la pubblicazione di tutti i dati rubati qualora non fossero soddisfatte le richieste economiche. Le attività di DarkSide sono in crescita: ha colpito l'MSP statunitense CopuCom e una società canadese di noleggio auto. A febbraio di quest'anno sono stati registrati attacchi ai danni della Companhia Paranaense de Energia (Copel) e della Centrais Eletricas Brasileiras (Eletrobras).

Sono rispettivamente la più grande azienda elettrica dello stato di Paraná (Brasile), e la più grande azienda di servizi di energia elettrica in America Latina. Entrambi gli attacchi ransomware hanno causato l'interruzione temporanea delle attività. Le analogie al momento finiscono qui. Secondo dati non ufficiali l'attacco a Colonial Pipeline avrebbe comportato un data leak di 100 GB di dati e il coinvolgimento di risorse IT.

Alla luce di quanto accaduto, al momento le considerazioni che si possono fare sono due. La prima è l'estrema vulnerabilità di alcune infrastrutture critiche. Sempre negli USA ricordiamo a titolo di esempio l'attacco al sistema informatico di un impianto di trattamento delle acque in Florida, che non aveva richiesto alcun livello di sofisticazione e che molti esperti avevano bollato come un caso di irresponsabilità informatica.

La seconda considerazione è la convergenza sempre più stretta fra IT e OT, che in molti casi mette a rischio l'operatività delle aziende. L'amministrazione Biden aveva annunciato, ad aprile, un piano per proteggere la supply chain del sistema elettrico del Paese dagli attacchi informatici. Quanto accaduto nell'ultimo fine settimana indica che non è solo il settore elettrico ad avere bisogno di maggiore attenzione.

Il parere degli esperti

Max Heinemeyer, Director of Threat Hunting di Darktrace: “È ormai evidente come gli approcci tradizionali alla sicurezza dei sistemi di controllo industriale non siano più sufficienti e l'attacco ransomware a Colonial Pipeline dovrebbe essere un segnale chiaro per tutti i fornitori di infrastrutture critiche nazionali nel mondo. 

Se è vero che l’incidenza delle minacce ransomware sta aumentando in tutti i settori, l’aggravante nell’industria Oil & Gas è che un attacco di questo tipo non solo causa interruzioni diffuse e blocchi forzati, ma rischia di mettere in pericolo anche l'ambiente, per non parlare delle vite umane! Di per sé il ransomware è un metodo di attacco molto comune, caratterizzato dalla presenza di malware che si spostano rapidamente all’interno delle organizzazioni colpite per disabilitarne i sistemi e criptare i file a una velocità che supera di gran lunga quella umana. E qui è il punto dolente, non si tratta più di un problema affrontabile su scala umana; per combattere con successo questo tipo di attacchi è necessario che le organizzazioni utilizzino le tecnologie autonome e l'IA in grado di rilevare e bloccare tempestivamente la minaccia prima ancora che si queste evolva in un vero e proprio attacco.”

Vladimir Kuskov, Head of Threat Exploration di Kaspersky, ha commentato che "DarkSide è il tipico caso in cui i gruppi criminali hanno come obiettivo dichiarato il guadagno economico e la cui attività viene definita "Big Game Hunting", ovvero la “caccia grossa”. Si muovono utilizzando schemi di partner affiliati: offrono il loro "prodotto" ransomware, e questi ultimi possono acquistare da altri hacker l'accesso alle organizzazioni e diffondere così il ransomware. A differenza di altri gruppi, DarkSide sostiene di avere un codice di condotta che prevede l’esclusione dai loro obiettivi di organizzazioni quali ospedali, scuole, istituzioni governative e organizzazioni non commerciali. A giudicare dalla dichiarazione pubblicata sul loro leak site, sembra che DarkSide non avesse previsto le conseguenze e l’attenzione mediatica avuta con l’attacco a Colonial Pipeline e che ora abbia deciso di adottare una linea più moderata per evitare situazioni simili in futuro. 

Esistono versioni del ransomware di DarkSide per Windows e Linux, entrambe hanno uno schema crittografico sicuro che rende impossibile decriptare i file senza la chiave del gruppo criminale. In passato, DarkSide aveva commesso l’errore di utilizzare le stesse chiavi per più vittime, permettendo così alle aziende di sicurezza di sviluppare uno tool di decrittazione per aiutare le vittime a recuperare i loro file senza pagare il riscatto. Il gruppo ha risposto a questa situazione sul forum darknet e le vittime non hanno più potuto utilizzare questa opzione.