Ci risiamo. Dopo Colonial Pipeline, i cyber criminali dell'ex gruppo ransomware DarkSide che si sono riciclati nel nuovo gruppo BlackMatter hanno colpito un'altra azienda nevralgica per l'economia statunitense. A questo giro si tratta di NEW Cooperative, una cooperativa di mangimi e cereali per agricoltori con oltre sessanta sedi in Iowa.

Come da copione l'attacco si è verificato nel fine settimana. Un ingente quantitativo di dati sensibili è stato rubato, i sistemi sono stati crittografati, per il decryptor e la non divulgazione della refurtiva è stata fatta una richiesta di riscatto pari a 5,9 milioni di dollari. NEW Cooperative ha confermato l'attacco e ha dichiarato di aver messo offline i propri sistemi per contenere la diffusione dell'attacco. Oltre agli esperti di sicurezza informatica, sono state coinvolte le forze dell'ordine.

Gli errori si ripetono

A seguito dell'attacco a Colonial Pipeline, il collettivo ransomware Dark Side aveva dovuto uscire di scena: l'attacco aveva scatenato l'ira di politici e forze dell'ordine, continuare a operare sarebbe stato troppo rischioso. Peraltro chi era a capo del gruppo si era scusato pubblicamente e aveva promesso di introdurre per il futuro una qualche forma di moderazione per sincerarsi che gli affiliati non attaccassero nuovamente infrastrutture critiche.

Quando BlackMatter è apparso per la prima volta, i gestori hanno dichiarato che non avrebbero preso di mira strutture infrastrutturali critiche. Anzi, nella dichiarazione d'intenti c'era la promessa che "se o quando dovessero essere colpite aziende in questi settori, le vittime potranno chiedere la decrittazione gratuita". NEW Cooperative è riconosciuta negli USA come infrastruttura critica, e l'attacco comporterà l'interruzione delle forniture alimentari di grano, maiale e pollo.

Nonostante questo, alcuni screenshot della pagina di negoziazione condivisi su Twitter rivelano che gli addetti di NEW Cooperative hanno spiegato agli affiliati di BlackMatter che l'azienda è inquadrata come infrastruttura critica. E che come tale non ha la facoltà di negoziare in maniera indipendente, ma deve obbligatoriamente coinvolgere nella trattativa le autorità di regolamentazione e la CISA.

Peraltro, gli addetti hanno informato gli attaccanti del fatto che l'impatto di questo attacco sarà probabilmente peggiore di quello a Colonial Pipeline, visto il ruolo che gioca l'azienda nella supply chain alimentare del Paese.

Se le dichiarazioni d'intenti dei criminali informatici fossero state veritiere, a questo punto sarebbero scattate le scuse e sarebbe stato fornito il decryptor. Invece la risposta è stata: "Nessuno ti darà il decryptor gratuitamente, procurati i soldi".

https://twitter.com/ddd1ms/status/1439926317571624965?s=20

Data leak e riscatto

Come accennato, la negoziazione parte da una base di 5,9 milioni di dollari. Gli attaccanti minacciano di alzare il tiro a 11,8 milioni di dollari se il riscatto non dovesse essere pagato entro cinque giorni. Probabilmente si tratta di un bluff, dato che le richieste iniziali di riscatto sono un punto di partenza per le trattative. In genere negoziando si risparmia.

La posta in gioco a questo giro è alta. Oltre al potenziale riscatto, ci sono in ballo il funzionamento di un'intera filiera alimentare e circa 1.000 GB di dati sensibili. Almeno questa è la cifra pubblicizzata dagli attaccanti, che dovrebbe includere il codice sorgente del progetto soilmap.com, documenti di R&D, documenti legali, informazioni sensibili sui dipendenti, documenti finanziari e il database del gestore di password KeePass. I criminali hanno pubblicato delle schermate che ne provano il possesso di tali contenuti.

Gli attacchi si moltiplicano

Quello di NEW Cooperative peraltro è stato il secondo attacco condotto da BlackMatter nello scorso fine settimana. È andato in scena anche l'attacco alla società di servizi di marketing Marketron, un fornitore di soluzioni software aziendali che serve oltre 6.000 clienti nel settore dei media.Tutte le attività aziendali, che hanno anche un impatto sui clienti, sono attualmente bloccate. Alcuni servizi erano sopravvissuti all'attacco, ma in via precauzionale l'azienda ha spento i server per circoscrivere i danni e procedere alla bonifica dei server.

Nell'ultimo mese l'attività di BlackMatter è stata particolarmente intensa, con almeno una dozzina di vittime già all'attivo.