Se usate un computer, state attenti al ransomware...
Vedremo il 2021 in retrospettiva e considereremo l’attacco alla Colonial Pipeline come il momento che ha innescato una politica statunitense coerente e una reazione contro il ransomware, essendosi trattato di uno degli attacchi più violenti mai subiti da un sistema energetico americano1.
In sintesi: la Colonial Pipeline percorre all’incirca 5.500 miglia (ca. 8.850 km) ed è il più grande oleodotto per prodotti raffinati negli USA, contribuendo al 45% circa del consumo di carburante della costa orientale2. Parte da Houston (Texas) sulla costa del golfo e arriva fino all’area metropolitana di New York (NY). L’attacco ransomware in questione ha colpito i sistemi informatici della Colonial ma, per precauzione, l’azienda ha disattivato i suoi sistemi di tecnologia operativa conseguentemente all’incertezza sorta nelle prime ore dell’attacco3.
Attualmente la maggior parte degli attacchi di questo tipo incide sui sistemi informatici anziché su quelli di tecnologia operativa. Gli esperti di ransomware stanno assistendo a un’impennata degli attacchi contro i sistemi di controllo industriale, ma un punto cruciale da tenere presente è l’assenza, in molti sistemi, di un’alta connettività tra le tecnologie dell’informazione e il controllo operativo.
Darkside: vittima del paradosso pubblicitario
Nel mondo ransomware l’anonimato è uno dei vantaggi più preziosi: per Darkside, un gruppo di criminali informatici che è ampiamente sospettato di essere il produttore del malware specifico con cui è stata attaccata la Pipeline, il ransomware è un business. Secondo Cybereason, piattaforma per la difesa dalle minacce informatiche, quel malware è stato utilizzato per compromettere più di 40 vittime, costando cifre comprese tra i 200.000 e i 2 milioni di dollari per ciascuna di esse4. Tuttavia Darkside è consapevole della propria reputazione, avendo dichiarato pubblicamente che non avrebbe attaccato sistemi di assistenza sanitaria, scuole o imprese che, a suo parere, non sono in grado di pagare il riscatto5.
Durante la pandemia di Covid-19, il cloud computing e il concetto di “Software-as-a-Service” (SaaS) hanno fatto furore; Darkside sta tentando di inserirsi tra i protagonisti del “Ransomware-as-a-Service” e sta offrendo in prestito il suo software a organizzazioni criminali6.
La strategia a lungo termine più redditizia per Darkside sarebbe quella di rimanere nell’ombra: di conseguenza, l’attacco a Colonial Pipeline ha destato e riunito le forze al completo del dipartimento della giustizia degli Stati Uniti e dell’Amministrazione Biden, al punto da rendere “Darkside” quasi un nome familiare.
Pagare o non pagare: questo è il problema cruciale con il ransomware
Il Federal Bureau of Investigation (FBI) consiglia chiaramente di “non pagare mai”: se tutte le vittime seguissero alla lettera questo consiglio, per gli autori di attacchi ransomware sarebbe impossibile arricchirsi. L’atteggiamento di questi hacker è curiosamente razionale, nel senso che, sebbene molte vittime possano sentirsi “sfortunate”, è molto probabile che i bersagli vengano scelti in base a criteri ben precisi. Per quale motivo? Se le organizzazioni criminali hanno intenzione di tentare un attacco, c’è da presumere che vogliano garantirsi la possibilità di farlo fruttare.
Il CEO della Colonial Pipeline ha scelto di pagare il riscatto, pari a circa 75 bitcoin (valutati all’epoca in 4,4 milioni di dollari approssimativamente)7; in base alle circostanze, è possibile che il mancato pagamento causi mesi di interruzioni di servizio e l’impossibilità di recuperare alcuni dati. Il pagamento del riscatto non garantisce sempre un esito favorevole, ma ogni azienda deve affrontare questa decisione per conto proprio.
In tutti i casi si consiglia alle vittime di ransomware di collaborare con un’azienda specializzata, come FireEye, e di informare l’FBI della loro situazione.
Il Bitcoin o i contanti: che cosa garantisce meglio l’anonimato a fini criminali?
Quando è uscito il whitepaper di Satoshi Nakamoto, che ha presentato al mondo il Bitcoin, una delle virtù ampiamente pubblicizzate della nuova criptovaluta era l’anonimato; è possibile che questo fosse vero più all’epoca che non oggi: attualmente i partecipanti al mercato si rendono conto che, se l’anonimato è il desiderio principale, esistono altre criptovalute che possono fare anche di meglio rispetto al Bitcoin. Secondo gli esperti, le transazioni sulla blockchain creano delle “briciole digitali” che possono essere seguite dalle autorità8.
In occasione dell’attacco alla Colonial Pipeline, le autorità hanno sequestrato gran parte del riscatto (circa 64 bitcoin su 75): ciò significa che sono riuscite a tracciare le attività specifiche on-chain collegate all’attacco, a trovare il portafoglio digitale associato a Darkside e poi ad ottenere le chiavi pubbliche e private per effettuare il sequestro. Benché i dettagli di ciascuna fase di questo processo non siano stati resi pubblici, è importante notare che tutto questo è accaduto nel giro di circa un mese dall’attacco iniziale e dal pagamento del riscatto9.
Sicurezza informatica: il megatrend che tutti devono prendere in considerazione
I megatrend vengono “creati” continuamente: alcuni perdureranno e sopravviveranno, altri no. Consideriamo però uno scenario in cui un’azienda preferisca non occuparsi dell’intelligenza artificiale (IA): possiamo avere le nostre opinioni su questa scelta ma, in fin dei conti, è possibile che l’IA abbia solo un’importanza limitata a seconda dei dettagli. Tuttavia, immaginiamoci ora una ditta che, a suo dire, preferisca non occuparsi di sicurezza informatica. Quella ditta ha dei computer? Un’e-mail? Una rete? Sulla scelta di non interessarsi all’IA si potrebbe avviare un dibattito interessante, ma il fatto di non interessarsi alla sicurezza informatica è un grave rischio per un’impresa. Possiamo non sapere quali servizi utilizzerà, ma sappiamo bene che una disattenzione del genere è irresponsabile, se non addirittura sconsiderata.
È importante tenere presente il panorama attuale:
- Mandiant, un’azienda esperta in sicurezza informatica, ha segnalato che la frequenza di reazione agli attacchi ransomware è aumentata di 10 volte dal 2018 al 202010;
- sempre secondo Mandiant, i costi medi variano da 250.000 fino a 50 milioni di dollari11;
- i dati di Mandiant indicano inoltre che un’azienda su dieci è costretta a chiudere dopo essere rimasta vittima di un attacco ransomware12;
- secondo le stime, l’Infrastructure-as-a-Service (IaaS) e la Platform-as-a-Service (Paas) genereranno un fatturato globale di circa 217,7 miliardi di dollari entro il 2023, grazie alla proliferazione massiccia del cloud computing. Tuttavia, si stima che la spesa sostenuta a livello mondiale per la sicurezza del cloud ibrido raggiungerà i 2 miliardi di dollari entro il 2023. Non dimenticate la sicurezza del cloud: questa è la frase che fanno venire in mente queste statistiche13.
Adeguare una tesi di investimento all’ascesa della sicurezza informatica potrebbe essere una proposta molto interessante nel 2021.
Fonti
1 Fonte: Greenberg, Andy. “The Colonial Pipeline Hack is a New Extreme for Ransomware.” [L’attacco alla Colonial Pipeline è un nuovo primato per il ransomware] WIRED, 8 maggio 2021.
2 CNBC, dati riferiti all’8 maggio 2021.
3 Fonte: Eaton, Collin & Dustin Volz. “U.S. Pipeline Cyberattack Forces Closure.” Wall Street Journal, 8 maggio 2021
4 Nasdaq, dati riferiti al 20 giugno 2021
5 Hay Newman, Lily. “DarkSide Ransomware Hit Colonial Pipeline—and Created an Unholy Mess.” [L'attacco ransomware di DarkSide che ha colpito la Colonial Pipeline ha causato un guaio tremendo] WIRED, 10 maggio 2021.
6 WIRED, 10 maggio 2021.
7 Fonte: Eaton, Collin. “Colonial Pipeline CEO Tells Why He Paid Hackers a $4.4 Million Ransom.” Wall Street Journal, 19 maggio 2021
8 Fonte: Peroth et al. “Pipeline Investigation Upends Idea that Bitcoin is Untraceable.” [Le indagini sull’attacco alla pipeline smentiscono l’idea che il Bitcoin non sia tracciabile] New York Times, 9 giugno 2021.
9 New York Times, 9 giugno 2021.
10 Fonte: FireEye 2021 Corporate Presentation.
11 Fonte: FireEye 2021 Corporate Presentation.
12 Fonte: FireEye 2021 Corporate Presentation.
13 Fonte: Crowdstrike Corporate Overview, marzo 2021.
Blog correlati
+ Uno sguardo razionale sulla sicurezza informatica fra tanti attacchi e minacce
+ Energy prices rise in the wake of Colonial cyberattack