{"id":24646,"date":"2021-05-13T13:20:34","date_gmt":"2021-05-13T11:20:34","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24646"},"modified":"2021-05-19T10:17:47","modified_gmt":"2021-05-19T08:17:47","slug":"pipeline-ransomware-mitigation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/pipeline-ransomware-mitigation\/24646\/","title":{"rendered":"Ecco come Colonial Pipeline ha gestito un importante attacco ransomware"},"content":{"rendered":"

Il recente attacco ransomware che ha colpito Colonial Pipeline, la compagnia che controlla la rete di oleodotti e che fornisce carburante a gran parte della costa orientale degli Stati Uniti, \u00e8 sulla bocca di tutti. \u00c8 comprensibile che i dettagli dell\u2019attacco non siano stati resi pubblici, tuttavia alcuni frammenti di informazioni hanno trovato la loro strada nei media, e da tutto ci\u00f2 possiamo almeno ricavare una lezione: informare tempestivamente le forze dell\u2019ordine pu\u00f2 ridurre i danni. Naturalmente, non tutti hanno possibilit\u00e0 di scegliere, in alcuni stati le vittime sono obbligate a informare le autorit\u00e0 regolatrici. Tuttavia, anche quando non \u00e8 obbligatorio per legge, pu\u00f2 essere utile prendere una decisione di questo tipo.<\/p>\n

L\u2019attacco<\/h2>\n

Il 7 maggio scorso, un ransomware ha colpito la compagnia Colonial Pipeline, che gestisce il pi\u00f9 grande oleodotto che trasporta il carburante lungo la costa orientale degli Stati Uniti. I dipendenti hanno dovuto disconnettere alcuni sistemi informatici, in parte perch\u00e9 alcuni computer erano cifrati, in parte per evitare che l\u2019infezione si diffondesse. Ci\u00f2 ha causato ritardi nella fornitura di carburante lungo la costa orientale, il che ha portato anche a un aumento del 4% del prezzo della benzina. Per mitigare il danno, l\u2019azienda prevede di aumentare la fornitura di carburante<\/a>.<\/p>\n

L\u2019azienda continua a ripristinare i suoi sistemi; secondo le fonti del blog Zero Day<\/a>, il problema colpisce meno la rete di fornitura del servizio e maggiormente il sistema di fatturazione.<\/p>\n

Isolamento federale<\/h2>\n

I creatori dei ransomware moderni non solo cifrano i dati e chiedono un riscatto per decifrarli, ma rubano anche informazioni per fare leva sulle vittime. Nel caso di Colonial Pipeline, i criminali informatici si sono appropriati di circa 100GB<\/a> di dati presenti nella rete aziendale.<\/p>\n

Tuttavia, secondo il Washington Post<\/em><\/a>, gli investigatori esterni dell\u2019incidente hanno rapidamente capito cosa fosse successo e dove fossero i dati rubati, e poi hanno contattato l\u2019FBI. I federali, a loro volta, hanno contattato l\u2019Internet Service Provider che possiede il server dove si trovano le informazioni rubate, e lo hanno fatto isolare. Come risultato, i criminali informatici potrebbero aver perso l\u2019accesso alle informazioni che rubate da Colonial Pipeline; questa rapida contromisura ha almeno parzialmente mitigato il danno.<\/p>\n

Sapere che \u00e8 successo non ripristina il servizio online dei principali oleodotti della compagnia; tuttavia, il danno potrebbe essere stato molto pi\u00f9 grave, anche se di per s\u00e9 piuttosto considerevole.<\/p>\n

I responsabili<\/h2>\n

Sembra che la compagnia sia stata attaccata dal ransomware DarkSide, che pu\u00f2 agire sia su Windows che su Linux. I prodotti Kaspersky rilevano il malware come Trojan-Ransom.Win32.Darkside e Trojan-Ransom.Linux.Darkside. DarkSide utilizza potenti algoritmi di cifratura, rendendo impossibile il ripristino dei dati senza la chiave giusta.<\/p>\n

All\u2019apparenza il gruppo DarkSide sembra<\/a> un fornitore di servizi online, completo di helpdesk, reparto PR e centro stampa. Una nota sul sito web degli autori dice che la loro motivazione per l\u2019attacco \u00e8 stata di tipo economico, e non politica.<\/p>\n

\"\"Il gruppo DarkSide utilizza un modello ransomware-as-a-service<\/a>, fornendo software e infrastrutture correlate ai partner che organizzano gli attacchi. Uno di questi partner ha preso di mira Colonial Pipeline. Secondo DarkSide, il gruppo non intendeva provocare inconvenienti cos\u00ec gravi per la popolazione, e d\u2019ora in poi terr\u00e0 d\u2019occhio le vittime scelte dai suoi \u201cintermediari\u201d; tuttavia, \u00e8 difficile prendere molto sul serio una dichiarazione del genere e non considerarla come un altro trucco di marketing.<\/p>\n

Come difendersi<\/h2>\n

Per proteggere la vostra azienda dai ransomware, i nostri esperti raccomandano di seguire questi consigli:<\/p>\n