Il fatto
Un’importante azienda statunitense di trasporto di carburante e idrocarburi ha subito un grave attacco Ransomware, che ha provocato anche il blocco per diversi giorni del principale oleodotto della costa orientale degli Stati Uniti.
L’azienda gestisce il 45% dei rifornimenti di diesel, petrolio e cherosene utilizzati nella costa orientale ed il blocco ha causato svariati problemi di approvvigionamento di carburante in molti Stati dell’area.
L’attacco si è risolto nei giorni successivi a seguito del pagamento da parte di Colonial Pipeline, l’azienda colpita, di un riscatto di 4,4 milioni $ (circa 3,6 milioni €) per ottenere le chiavi di decriptazione necessarie al ripristino del proprio sistema informatico.
Cos’è un Ransomware?
Si tratta di un attacco informatico che rende inaccessibili i dati dei computer infettati e richiede il pagamento di un riscatto (in inglese ransom) per lo sblocco e la possibilità di ripristinarli.
L’attacco ha lo scopo di estorcere denaro, attraverso il blocco, la cifratura dei dati e dei file contenuti nel sistema informatico rendendoli di fatto inutilizzabili e bloccando l’operatività del sistema colpito.
Il sistema, solitamente, viene infettato a seguito dell’apertura di allegati non sicuri spesso contenuti all’interno di mail malevole (phishing) o scaricando contenuti da fonti illegali o incerte.
Il Ransomware è una tipologia di attacco che si sta diffondendo a macchia d’olio poiché facile ed economico da organizzare, inoltre molto spesso le organizzazioni colpite si trovano costrette al pagamento del riscatto richiesto non avendo implementato per tempo misure di sicurezza adeguate alla difesa ed al rispristino dei sistemi violati.
E' importante sottolineare come, in ogni caso, sia fondamentale non pagare il riscatto: non vi è nessuna sicurezza che dopo il pagamento l’attaccante sblocchi effettivamente il sistema colpito ed il riscatto aiuta ad alimentare questo business, permettendo enormi ricavi ed investimenti per affinare le tecniche di attacco.
Molto più sicuro ed economico prevenire ogni rischio formando il proprio personale ed adeguando per tempo i propri sistemi informatici per garantire la sicurezza ed il ripristino dei sistemi colpiti.
Quali erano le debolezze di Colonial Pipeline?
I fattori che hanno portato al successo dell’attacco sono con tutta probabilità riconducibili alla mancanza di strumenti di sicurezza del perimetro informatico, come un adeguato sistema di autenticazione degli utenti e di verifica di sicurezza sulle e-mail in entrata; un’ulteriore criticità può essere riscontrata nell’ambito della formazione ed addestramento del personale dato che, nel 60% dei casi, questi tipi di attacco sono causati da un errore umano, infine gravi mancanze si sono riscontrate anche nei sistemi di backup non adeguati al ripristino tempestivo del sistema, tanto che l’azienda è stata costretta al pagamento del riscatto.
Chi ha effettuato l’attacco?
L’attacco è stato sferrato da DarkSide, gruppo di hacker che ha dichiarato - in un comunicato pubblico presente nel loro sito web - di operare esclusivamente per arricchirsi, di non essere legato ad alcun governo e di non operare per questioni geopolitiche.
Negli ultimi anni gli hacker si sono organizzati sempre più come vere e proprie “aziende del crimine informatico”, il cui fine è quello di garantirsi un profitto a danno dei malcapitati colpiti dai loro attacchi. Questo ha portato il settore a diventare estremamente competitivo e rapido nell’innovare le tecniche di attacco, ritmi che il comparto della sicurezza informatica fatica a seguire.
Quali i rischi per le aziende?
L’attacco ha colpito una grande azienda, provocando danni e disservizi a milioni di persone per parecchi giorni, conferendogli una grande risonanza mediatica.
Purtroppo esistono moltissimi casi che vedono colpite aziende anche di dimensione medio-piccola, che non ricevono il risalto mediatico riservato agli attacchi di maggiore entità, ma che creano ugualmente danni rilevanti ai soggetti colpiti.
In questo contesto le PMI non sono assolutamente immuni da rischi: in Italia nel 2020 gli attacchi informatici sono aumentati del 353%rispetto all'anno precedente (fonte: Centro Nazionale Anticrimine Informatico – Polizia Postale).
Spesso le piccole e medie imprese sono le più vulnerabili agli attacchi informatici per almeno due ragioni: scarsa capacità tecnico-organizzativa in materia di sicurezza informatica e mancanza di cultura e formazione in tema di cyber security; i danni sono spesso rilevanti: perdita di reputazione, interruzione dell’attività economica, richieste di risarcimento a causa della perdita dei dati (fonte: Allianz Risk Barometer 2020).
Per questo è fondamentale, anche per le realtà di ridotte dimensioni, adottare tutte le precauzioni per mitigare questi rischi, a partire dall’adozione di misure atte a proteggere e ripristinare il sistema in caso di attacco e dalla predisposizione di una corretta formazione del personale che opera all’interno dell’azienda.