Ecco come Colonial Pipeline ha gestito un importante attacco ransomware

Il recente attacco ransomware che ha colpito Colonial Pipeline, la compagnia che controlla la rete di oleodotti e che fornisce carburante a gran parte della costa orientale degli Stati Uniti, è sulla bocca di tutti. È comprensibile che i dettagli dell’attacco non siano stati resi pubblici, tuttavia alcuni frammenti di informazioni hanno trovato la loro strada nei media, e da tutto ciò possiamo almeno ricavare una lezione: informare tempestivamente le forze dell’ordine può ridurre i danni. Naturalmente, non tutti hanno possibilità di scegliere, in alcuni stati le vittime sono obbligate a informare le autorità regolatrici. Tuttavia, anche quando non è obbligatorio per legge, può essere utile prendere una decisione di questo tipo.

L’attacco

Il 7 maggio scorso, un ransomware ha colpito la compagnia Colonial Pipeline, che gestisce il più grande oleodotto che trasporta il carburante lungo la costa orientale degli Stati Uniti. I dipendenti hanno dovuto disconnettere alcuni sistemi informatici, in parte perché alcuni computer erano cifrati, in parte per evitare che l’infezione si diffondesse. Ciò ha causato ritardi nella fornitura di carburante lungo la costa orientale, il che ha portato anche a un aumento del 4% del prezzo della benzina. Per mitigare il danno, l’azienda prevede di aumentare la fornitura di carburante.

L’azienda continua a ripristinare i suoi sistemi; secondo le fonti del blog Zero Day, il problema colpisce meno la rete di fornitura del servizio e maggiormente il sistema di fatturazione.

Isolamento federale

I creatori dei ransomware moderni non solo cifrano i dati e chiedono un riscatto per decifrarli, ma rubano anche informazioni per fare leva sulle vittime. Nel caso di Colonial Pipeline, i criminali informatici si sono appropriati di circa 100GB di dati presenti nella rete aziendale.

Tuttavia, secondo il Washington Post, gli investigatori esterni dell’incidente hanno rapidamente capito cosa fosse successo e dove fossero i dati rubati, e poi hanno contattato l’FBI. I federali, a loro volta, hanno contattato l’Internet Service Provider che possiede il server dove si trovano le informazioni rubate, e lo hanno fatto isolare. Come risultato, i criminali informatici potrebbero aver perso l’accesso alle informazioni che rubate da Colonial Pipeline; questa rapida contromisura ha almeno parzialmente mitigato il danno.

Sapere che è successo non ripristina il servizio online dei principali oleodotti della compagnia; tuttavia, il danno potrebbe essere stato molto più grave, anche se di per sé piuttosto considerevole.

I responsabili

Sembra che la compagnia sia stata attaccata dal ransomware DarkSide, che può agire sia su Windows che su Linux. I prodotti Kaspersky rilevano il malware come Trojan-Ransom.Win32.Darkside e Trojan-Ransom.Linux.Darkside. DarkSide utilizza potenti algoritmi di cifratura, rendendo impossibile il ripristino dei dati senza la chiave giusta.

All’apparenza il gruppo DarkSide sembra un fornitore di servizi online, completo di helpdesk, reparto PR e centro stampa. Una nota sul sito web degli autori dice che la loro motivazione per l’attacco è stata di tipo economico, e non politica.

Il gruppo DarkSide utilizza un modello ransomware-as-a-service, fornendo software e infrastrutture correlate ai partner che organizzano gli attacchi. Uno di questi partner ha preso di mira Colonial Pipeline. Secondo DarkSide, il gruppo non intendeva provocare inconvenienti così gravi per la popolazione, e d’ora in poi terrà d’occhio le vittime scelte dai suoi “intermediari”; tuttavia, è difficile prendere molto sul serio una dichiarazione del genere e non considerarla come un altro trucco di marketing.

Come difendersi

Per proteggere la vostra azienda dai ransomware, i nostri esperti raccomandano di seguire questi consigli:

• Proibite le connessioni non necessarie ai servizi di desktop remoto (RDP) attraverso reti pubbliche e usate sempre password robuste per tali servizi;
• Installate tutte le patch disponibili per le soluzioni VPN impiegante per la connessione da remoto dei dipendenti alla rete aziendale;
• Aggiornate i software su tutti i dispositivi collegati per prevenire lo sfruttamento della vulnerabilità;
• Fate in modo che la strategia di difesa si concentri sul rilevamento del movimento laterale e dell’esfiltrazione dei dati, con particolare attenzione a tutto il traffico in uscita;
• Eseguite regolarmente il backup dei dati e assicuratevi che, in caso di emergenza, ne abbiate accesso immediato;
• Servitevi dei dati di threat intelligence per rimanere aggiornati su tattiche, tecniche e procedure di attacco;
• Utilizzate soluzioni di sicurezza come Kaspersky Endpoint Detection and Response e Kaspersky Managed Detection and Response che aiutano a bloccare gli attacchi ed evitare che si verifichino;
• Formate i dipendenti circa la sicurezza dell'ambiente aziendale;
• Utilizzate una soluzione affidabile per la protezione degli endpoint che contrasti gli exploit, rilevi i comportamenti anomali e possa annullare le modifiche dannose e ripristinare i sistemi.

L’esempio del Colonial Pipeline evidenzia il vantaggio di rivolgersi prontamente alle autorità preposte. Non c’è alcuna garanzia che saranno in grado di aiutare, naturalmente, ma è un’opzione che può aiutare a minimizzare i danni.