Un gruppo di cyber criminali ha rubato documenti riservati a un appaltatore militare degli Stati Uniti che fornisce supporto critico per il missile balistico intercontinentale LGM-30 Minuteman (ICBM). Dopo aver ottenuto l'accesso alla rete di Westech International, i cyber criminali hanno criptato i dati con il ransomware Maze e ne hanno pubblicata online una minima parte per mettere pressione affinché la vittima pagasse il riscatto.

Non è chiaro se i documenti rubati includano informazioni classificate come militari. I file che sono già trapelati online suggeriscono che i cyber criminali abbiano avuto accesso a informazioni estremamente sensibili.

Per chi si stesse chiedendo che cosa sia ICBM, la risposta è che è uno dei tre elementi di cui si compone la difesa estrema degli USA, la cosiddetta triade nucleare. Comprende missili nucleari lanciati dal suolo, missili nucleari sganciati da sottomarini e aerei dotati di bombe e missili nucleari. ICBM è nella prima categoria.
I missili Minuteman sono conservati in centinaia di strutture di lancio sotterranee gestite dall'Air Force Global Strike Command. Ogni ICBM contiene più testate termonucleari, che possono essere lanciate fino a 10mila chilometri, a velocità fino a Mach 23 (28.176 chilometri all'ora). È inutile dire che un eventuale accesso non autorizzato ai dati sui missili nucleari balistici intercontinentali sarebbe di una gravità altissima.

Le indagini

L'appaltatore colpito dal ransomware, Westech International, ha confermato che la sua rete è stata violata e che i dati presenti sui suoi computer sono stati crittografati. Westech fornisce a Northrup Grumman il supporto tecnico e di manutenzione per i missili.

L'attacco potrebbe avere ripercussioni gravissime, considerata la lista dei clienti di Westech. Sono compresi l'esercito, l'Aeronautica, la Marina, le Joint Service Agencies, il Dipartimento del Commercio, il Dipartimento dell'Energia, Lockheed Martin Information Technology e altro ancora.

Al momento non si conoscono né le tempistiche dell'attacco né l'ammontare delle due richieste di estorsione che contraddistinguono Maze. I criminali che operano con questo ransomware, infatti, chiedono un riscatto per il decryptor (la chiave che serve per decifrare i file) e un secondo riscatto per la non divulgazione dei dati rubati.

L'azienda ha dichiarato di avere avviato un'indagine forense e di essere al lavoro con una società di sicurezza indipendente per analizzare i suoi sistemi e individuare qualsiasi compromissione. Westech è un obiettivo in linea con il modus operandi di Maze, che prendere di mira grosse aziende e ruba dati molto critici per accertarsi che la vittima paghi.
In caso di mancato pagamento, i dati saranno venduti sul dark web al migliore offerente. Questa è proprio la situazione da scongiurare per Westech International. I dati che potrebbero essere caduti in possesso dei cyber criminali sono molto appetibili sul mercato nero del web. Per uno stato-nazione ostile agli USA potrebbero valere cifre altissime.

Il ricercatore di Emsisoft Brett Callow, interpellato da Sky News, ha dichiarato che "le informazioni esposte in questi attacchi potrebbero essere di interesse per altri Stati nazioni e rappresentare un rischio sia per la sicurezza nazionale che per la sicurezza del personale di servizio".

Per scongiurare i rischi bisogna quindi pagare il riscatto? Gli esperti reputano che sia controproducente, perché "anche se un'azienda paga il riscatto, non vi è alcuna garanzia che i criminali distruggeranno i dati rubati, soprattutto se hanno un alto valore di mercato". Potranno comunque tenerli e rivenderli ad altri governi o scambiarli con altri gruppi criminali.