di Pierguido Iezzi

Qualcuno ha simulato di essere DarkSide per cercare di estorcere denaro alle aziende energetiche e alimentari

A pochi giorni dall’annuncio della chiusura di DarkSide, la cyber gang responsabile dell’attacco alla Colonial Pipeline che ha colpito duramente l’economia dell’America del Nord, giunge una notizia allarmante che fa riecheggiare il nome di un’organizzazione da molti considerata morta. Un gruppo del cybercrime avrebbe simulato di essere la formazione per porre in essere una truffa con l’obiettivo di estorcere quasi 4 milioni di dollari (100 Bitcoin) ai vari obiettivi coinvolti. Fra questi ci sono importanti aziende nel settore energetico e alimentare, che si sono viste recapitare finte email in cui si chiedeva il pagamento di un importante riscatto. Al momento attuale, nessuna delle aziende colpite avrebbe ravvisato alcuna compromissione dei propri sistemi informatici.

Come si è sviluppata la campagna del gruppo del cybercrime

La campagna via email è iniziata lo scorso 4 giugno e ha messo nel mirino esclusivamente operatori del settore alimentare ed energetico. Questo è forse l’aspetto più interessante del “furto d’identità” di DarkSide, dato che i principali attacchi ransomware hanno coinvolto un importante pezzo dell’infrastruttura energetica americana e una delle aziende leader nel settore della macellazione e della lavorazione della carne, JBS; proprio quest’ultima aveva preferito pagare 11 milioni di dollari pur di porre fine all’attacco che ne aveva bloccato la produzione. Il contenuto delle email è piuttosto semplice: si avvisa il destinatario che la rete informatica aziendale è stata violata, avviso accompagnato da una richiesta di riscatto di 100 bitcoin (al cambio attuale cifra superiore a 3 milioni di euro). La minaccia, sul solco della doppia estorsione, è di rendere pubblici i dati sottratti in caso di mancato pagamento. Il wallet di criptovaluta verso il quale dovrebbero essere inviati i soldi, al momento della scrittura di questo articolo non avrebbe ricevuto alcuna transazione.

A priori da chi sia dietro i nuovi attacchi, ci sono due lezioni da apprendere

Al di là dei risultati economici fallimentari che fanno supporre si tratti di un’organizzazione del cybercrime di basso livello, è bene non sottovalutare l’accaduto, cercando anzi di trarre insegnamenti. Il primo sottolinea l’importanza dell’informazione: infatti, a seguito dell’imponente attacco alla Colonial Pipeline, probabilmente spinta dall’eccessiva attenzione mediatica e degli organi di giustizia, l’organizzazione criminale nota come DarkSide ha dichiarato ufficialmente il proprio scioglimento, a far data da metà maggio 2021. Questa era attiva dall’agosto del 2020 e ha sviluppato il proprio arsenale, potenziandolo continuamente fino ad arrivare a una struttura imponente. L’architettura della cyber gang si è ampliata, abbracciando il concetto di ransomware-as-a-service con affiliati attivi in diverse parti del mondo che hanno permesso un sostanziale ampliamento del raggio operativo e un aumento dei ricavi. Le vittime, probabilmente al corrente dello scioglimento di DarkSide, hanno letto il bluff.

I gruppi di criminal hacker oggi sanno di non poter più diffondere liberamente malware

Il secondo è che le gang dei ransomware sanno di non potere più agire liberamente senza patire alcuna conseguenza. L’impegno congiunto della CISA (Cybersecurity and Infrastructure Security Agency) e dell’FBI ha ricostruito lo schema offensivo, basato su ingresso iniziale tramite phishing e accesso da remoto tramite vulnerabilità. Solo nello step successivo veniva rilasciato il ransomware vero e proprio, che dà il nome all’organizzazione stessa, al fine di cifrare e sottrarre dati sensibili. Solo dopo di ciò viene lasciata la nota di riscatto, contenente la minaccia di pubblicare i dati in caso di mancato adempimento. Nel solo caso Colonial Pipeline, sono stati pagati 4,4 milioni di dollari a titolo di riscatto. Nel corso dell’indagine e dell’attività investigativa, l’FBI è riuscita a porre sotto sequestro e recuperare più di 2 milioni di dollari. In totale, l’attività criminale legata all’uso di ransomware ha generato ricavi totali nel 2020 pari a 370 milioni di dollari.

Come difendersi dai rischi dei ransomware?

L’evoluzione del panorama dei ransomware, con l’arrivo della doppia e della tripla estorsione, ci ha insegnato l’importanza di un approccio strutturale. Non ci sono soluzioni pret a porter o bacchette magiche: meglio evitare le scorciatoie e partire dalla base. L’approccio alla cybersecurity deve passare per 3 concetti fondamentali:

• Sicurezza Predittiva. Spazio utile a verificare e misurare il cyber rischio, definire i piani di remediation, indicare i rischi dei layer relativi alla sicurezza proattiva e dare elementi utili all’attività d’indagine.
• Sicurezza preventiva. Ha lo scopo di tenere le antenne ben dritte al fine di monitorare l’ambiente esterno in cerca di possibili rischi e minacce per la cyber security interna. Inoltre effettua attività di ricerca per possibili minacce emergenti.
• Sicurezza Proattiva. Oltre a gestire eventuali cyber incident, contrasta e blocca gli attacchi e identifica le minacce già presenti all’interno del perimetro di sicurezza societario.

Non abbassiamo la guardia!