grave attacco ransomware paralizza il più grande gasdotto degli Stati Uniti



 Buongiorno cari lettori, oggi parleremo di un attacco hacker che ah colpito un gasdotto.


Un massiccio attacco ransomware a uno dei più grandi gasdotti negli Stati Uniti, Colonial Pipeline, ne ha portato alla chiusura venerdì. L'FBI, il Dipartimento dell'Energia e la Casa Bianca stanno affrontando attivamente la questione e valutando i danni  dopo che il Colonial Pipeline ha annunciato venerdì di aver chiuso 5.500 miglia di gasdotti lungo la costa orientale.


La società, che è responsabile del trasporto del 45% del carburante utilizzato sulla costa orientale, ha affermato che le sue reti informatiche aziendali sono state violate, con aggressori ransomware che tengono in ostaggio i dati.


Secondo quanto riferito, Colonial ha assunto una società di sicurezza informatica, FireEye, la cui divisione di risposta agli incidenti si dice stia assistendo con le indagini. 


VEDERE: La vulnerabilità delle infrastrutture petrolifere e del gas spinge gli investimenti nella sicurezza


L'analisi del ransomware ha portato alla conclusione che si tratta di un nuovo ceppo noto come DarkSide e anche gli operatori dietro l'attacco ransomware sono passati di recente a un programma di affiliazione nel marzo 2021. 


Il programma mira a reclutare autori di minacce per diffondere malware violando le vittime della rete aziendale, mentre gli sviluppatori principali si occupano della manutenzione del malware e dell'infrastruttura di pagamento. 


DarkSide, che ha iniziato le operazioni nell'agosto 2020, ha pubblicato i dati rubati da oltre 40 vittime fino ad oggi. Non è immediatamente chiaro quanti soldi abbiano chiesto gli aggressori o se Colonial Pipeline abbia pagato. Un rapporto separato di Bloomberg ha affermato che i criminali informatici dietro l'attacco hanno rubato 100 GB di dati dalla sua rete.


Un grave attacco ransomware paralizza il più grande gasdotto degli Stati Uniti

Nota di riscatto da DarkSide


Le aziende private che indagano sulle intrusioni informatiche affermano di gestire casi che coinvolgono DarkSide utilizzando ransomware per prendere di mira le aziende industriali americane. Ma molti altri gruppi di ransomware sembrano prendere di mira tali aziende in un numero maggiore che mai, hanno affermato gli analisti.



Inoltre, i ricercatori sulla sicurezza informatica ritengono che DarkSide operi principalmente al di fuori della Russia, che funzionari statunitensi ed esperti di sicurezza informatica hanno accusato di ospitare i criminali informatici. Questi criminali evitano di prendere di mira le vittime in Russia, dicono gli esperti.


VEDERE: GreyEnergy: nuovo malware che prende di mira il settore energetico con lo spionaggio


È comunque degno di nota che non c'è nulla sul sito ufficiale di fuga di DarkSide sull'attacco a Colonial Pipeline. L'ultimo post sul sito è stato pubblicato il 23 aprile 2021 circa 700 GB di presunti dati di Smile Brands Inc.


Un grave attacco ransomware paralizza il più grande gasdotto degli Stati Uniti


L'anno scorso, CISA ha avvertito gli operatori di pipeline della minaccia del ransomware. Il CISA ha risposto a un attacco ransomware a un impianto di compressione del gas naturale in cui l'aggressore ha ottenuto l'accesso alla rete aziendale e quindi è passato alla rete operativa, dove ha crittografato su vari dispositivi. Di conseguenza, l'azienda ha chiuso le operazioni per circa due giorni, ha detto CISA.


Commento di un esperto di sicurezza informatica

In una conversazione con Hackread.com, John Cusimano, Vice Presidente di aeCyberSolutions ha affermato che "Nella vasta esperienza della nostra azienda nella valutazione di oleodotti e gasdotti per molti dei maggiori operatori di oleodotti del paese, abbiamo scoperto che la sicurezza informatica degli settori energetici (O&G upstream e downstream e servizi elettrici). "



"Una lacuna comune nel settore dei gasdotti è la mancanza di segmentazione delle reti di controllo della supervisione e acquisizione dati (SCADA) del gasdotto che sono le reti che collegano il centro di controllo del gasdotto a ogni terminale, stazione di pompaggio, valvola di isolamento remoto e serbatoio di serbatoi lungo il gasdotto. Si tratta di reti molto grandi che coprono distanze estese ma sono tipicamente "piatte", dal punto di vista della segmentazione della rete ", ha affermato Cusimano.


“Ciò significa che una volta che qualcuno ottiene l'accesso alla rete SCADA, ha accesso a tutti i dispositivi sulla rete. Sebbene le reti SCADA a pipeline siano generalmente separate dalle reti aziendali (IT) con firewall, per progettazione questi firewall passano alcuni dati tra le reti ".


“Ad esempio, il software di monitoraggio della rete, come Solarwinds , può essere autorizzato attraverso il firewall per monitorare la rete SCADA. Questi percorsi consentiti attraverso il firewall sono software dannoso unidirezionale o gli hacker possono spostarsi dalla rete IT alla rete SCADA. Questa è stata una delle mie maggiori preoccupazioni quando ho saputo dell'attacco Solarwinds ", ha spiegato il signor Cusimano.


L'altra grande sfida con la protezione delle reti SCADA di pipeline è che si diramano in ogni struttura lungo centinaia di miglia di pipeline. Alcune di queste strutture si trovano in luoghi molto remoti con poca o nessuna sicurezza fisica, il che significa che se un utente malintenzionato violasse la sicurezza di una di queste strutture potrebbe ottenere l'accesso alla rete ".


“Infine, le reti SCADA si basano su un ampio uso di comunicazioni wireless (ad esempio microonde, satellite e cellulare). Infrangere i segnali wireless o rubare un modem cellulare da un sito remoto potrebbe consentire a un utente malintenzionato di accedere all'intera rete SCADA ", ha avvertito il signor Cusimano.

Post più popolari