Il Colonial Pipeline Hack è un nuovo estremo per il ransomware

Per anni, il L’industria della sicurezza informatica ha avvertito che gli hacker sponsorizzati dallo stato potrebbero chiudere ampie fasce di infrastrutture energetiche statunitensi in un atto di guerra informatica motivato geopoliticamente. Ma ora gli hacker criminali informatici apparentemente incentrati sul profitto hanno inflitto un’interruzione che gli hacker delle agenzie militari e di intelligence non hanno mai osato, chiudendo un gasdotto che trasporta quasi la metà del carburante consumato sulla costa orientale degli Stati Uniti.

Sabato, la società Colonial Pipeline, che gestisce un gasdotto che trasporta benzina, gasolio e gas naturale lungo un percorso di 5.500 miglia dal Texas al New Jersey, ha rilasciato un dichiarazione confermando rapporti che gli hacker ransomware avevano colpito la sua rete. In risposta, Colonial Pipeline afferma di aver interrotto parti del funzionamento del gasdotto nel tentativo di contenere la minaccia. L’incidente rappresenta una delle più grandi interruzioni dell’infrastruttura critica americana da parte degli hacker nella storia. Fornisce anche un’altra dimostrazione di quanto sia diventata grave l’epidemia globale di ransomware.

“Questo è il più grande impatto sul sistema energetico negli Stati Uniti che abbiamo visto da un attacco informatico, punto e basta”, afferma Rob Lee, CEO della società di sicurezza Dragos incentrata sulle infrastrutture critiche. A parte l’impatto finanziario su Colonial Pipeline o sui numerosi fornitori e clienti del carburante che trasporta, Lee sottolinea che circa il 40% dell’elettricità statunitense nel 2020 è stata prodotta bruciando gas naturale, più di qualsiasi altra fonte. Ciò significa, sostiene, che la minaccia di attacchi informatici a un gasdotto rappresenta una minaccia significativa per la rete elettrica civile. “Hai una reale capacità di influenzare il sistema elettrico in modo ampio tagliando la fornitura di gas naturale. Questo è un grosso problema”, aggiunge. “Penso che il Congresso avrà delle domande. Un provider è stato colpito da un ransomware a causa di un atto criminale, questo non era nemmeno un attacco sponsorizzato dallo stato e ha avuto un impatto sul sistema in questo modo?”

La breve dichiarazione pubblica di Colonial Pipeline afferma di aver “avviato un’indagine sulla natura e la portata di questo incidente, che è in corso”. Reuters rapporti che i soccorritori della società di sicurezza FireEye stanno assistendo l’azienda e che gli investigatori sospettano che un gruppo di ransomware noto come Darkside possa essere responsabile. Secondo un report dalla società di sicurezza Cybereason, Darkside ha compromesso più di 40 organizzazioni di vittime e ha chiesto loro un riscatto tra $ 200.000 e $ 2 milioni.

La chiusura del Colonial Pipeline arriva nel bel mezzo di un’escalation di epidemia di ransomware: gli hacker hanno paralizzato ed estorto digitalmente ospedali, hackerato database delle forze dell’ordine e minacciato di divulgare pubblicamente informatori della poliziae sistemi municipali paralizzati a Baltimora e Atlanta.

La maggior parte delle vittime di ransomware non pubblicizza mai i propri attacchi. Ma Lee afferma che la sua azienda ha assistito a un aumento significativo delle operazioni di ransomware mirate a sistemi di controllo industriale e infrastrutture critiche, poiché gli hacker focalizzati sul profitto cercano gli obiettivi più sensibili e di alto valore da tenere a rischio. “I criminali stanno iniziando a pensare di prendere di mira l’industria e negli ultimi sette o otto mesi abbiamo assistito a un picco di casi”, afferma Lee. “Penso che vedremo molto di più”.

In effetti, negli ultimi anni gli operatori di ransomware hanno avuto sempre più vittime industriali nel mirino. Hydro Norsk, Hexion e Momentive sono stati tutti colpiti da ransomware nel 2019 e lo scorso anno i ricercatori di sicurezza hanno scoperto Ekans, il primo ransomware apparentemente progettato su misura per paralizzare i sistemi di controllo industriale. Anche prendere di mira un operatore di gasdotti non è del tutto senza precedenti: alla fine del 2019, gli hacker hanno piantato ransomware sulle reti di una società statunitense di gasdotti senza nome, la Cybersecurity and Infrastructure Security Agency avvertito all’inizio del 2020… anche se non delle dimensioni di Colonial Pipeline.

In quel precedente attacco ransomware pipeline, CISA ha avvertito che gli hacker avevano ottenuto l’accesso sia ai sistemi IT che ai sistemi di “tecnologia operativa” dell’azienda di pipeline mirata, la rete di computer responsabile del controllo delle apparecchiature fisiche. Nel caso Colonial Pipeline, non è ancora chiaro se gli hacker abbiano colmato quel divario con sistemi che avrebbero potuto effettivamente consentire loro di interferire con lo stato fisico del gasdotto o creare condizioni fisiche potenzialmente pericolose. Il semplice fatto di ottenere un ampio accesso alla rete IT potrebbe essere una ragione sufficiente per l’azienda per interrompere le operazioni del gasdotto come precauzione di sicurezza, afferma Joe Slowik, un ricercatore di sicurezza per Domaintools che in precedenza ha guidato il team di sicurezza informatica e risposta agli incidenti presso il Dipartimento di Stati Uniti Energia. “L’operatore ha fatto la cosa giusta in questo caso in risposta agli eventi”, dice Slowik. “Una volta che non è più possibile garantire un controllo positivo sull’ambiente e una chiara visibilità delle operazioni, è necessario spegnerlo”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *