Gli hacker del ransomware della “Colonial pipeline” avevano un’arma segreta: le aziende di sicurezza informatica che si fanno pubblicità.
Secondo un interessante articolo di “MIT Technology Review”, ben cinque mesi prima che DarkSide attaccasse “Colonial Pipeline”, due ricercatori avevano scoperto un modo per salvare le vittime del ransomware. Successivamente però un annuncio di una società di antivirus ha allertato gli hacker.
La storia ha del paradossale: gli hacker vengono “hackerati” a causa di una falla del loro ransomware, ma vengono allertati da una società di antivirus e quindi eseguono la patch-fix del software che poi useranno per l’attacco a “Colonial Pipeline”.
Questi i fatti, ma, cercando di sintetizzare, identifichiamo gli attori:
- Darkside: è (o meglio era, visto che apparentemente si sono sciolti) il gruppo criminale di hacker, operante dall’agosto 2020, che attraverso degli attacchi ransomware ha colpito numerose e grosse aziende a livello mondiale (non ultima Colonial Pipeline). Noto anche per aver adottato quello che è conosciuto come modello “ransomware-as-a-service” e creando una base di “affiliati”.
- Ransomware Hunting Team: è un gruppo di volontari mondiale che dedicandosi alla ricerca, hanno violato più di 300 principali ceppi e varianti di ransomware creati da hacker, facendo fallire molti attacchi ransomware ( a questo gruppo appartengono Wosar e Gillespie protagonisti della vicenda).
- Una nota società anti-virus: (pare non unica) che essendo desiderosa di fare marketing su un tema così caldo, ha inavvertitamente allertato i “cattivi”.
La vicenda, quindi, racconta che un team di ricercatori volontari identifica una falla nel software di cifratura del gruppo Darkside con la conseguenza di poter annullare gli attacchi in corso alle aziende colpite.
In modo silente, questi volontari contattano le vittime e le aiutano a ripristinare i loro dati, evitando loro di pagare i riscatti richiesti. Fin qui Darkside continua a colpire le aziende con il software “fallato”.
A seguire, però, anche la nota società anti-virus identifica la falla, ma, creando un tool apposito e annunciandolo sui media di tutto il mondo, mette Darkside in allerta.
Questi non si perdono d’animo e fanno rapidamente quello che ogni azienda, a fronte di segnalazione di vulnerabilità, dovrebbe fare: fix-patching sul software debole.
“Un ringraziamento speciale per averci aiutato a risolvere i nostri problemi”, ha comunicato DarkSide con una sottile ironia.
Con il software messo a punto, DarkSide presto dimostra che non si sarebbe fermato, scatenando una serie di attacchi.
Ha paralizzato la Colonial Pipeline Co., provocando la chiusura del gasdotto di 5.500 miglia che trasporta il 45% del carburante utilizzato sulla costa orientale USA, seguito rapidamente da un aumento dei prezzi della benzina, dal panico acquisto di gas in tutto il sud-est, e la chiusura di migliaia di distributori di benzina.
Per la cronaca, Colonial Pipeline Co ha pagato DarkSide con $ 4,4 milioni in Bitcoin per sbloccare i suoi file.
Dopo questo attacco rilevante, il presidente Joe Biden ha emesso un ordine esecutivo per migliorare la sicurezza informatica e creare un modello per una risposta federale agli attacchi informatici.
DarkSide ha comunicato che si sarebbe sciolto sotto la pressione degli Stati Uniti, sebbene i gruppi hacker di ransomware si siano spesso disfatti per evitare il controllo e poi riformati con nuovi nomi.
L’analisi dell’accaduto ci suggerisce come, a volte, le società di cybersecurity, desiderose di farsi un nome, violano una delle regole cardinali del gioco del “gatto” e del “topo” della guerra informatica: non lasciare che i tuoi avversari sappiano cosa hai capito!
Andrea Guglielmi – Consigliere ASSI
Link all’articolo (in inglese):
1 Comment
Join the discussion and tell us your opinion.
👍