L’attacco ransomware subito da Colonial Pipeline all’inizio di maggio è stato eseguito dal gruppo DarkSide dopo aver ottenuto l’accesso alla rete interna tramite una VPN. I cybercriminali hanno utilizzato la password di un account trovata nel dark web.
Accesso alla rete tramite VPN
La conferma è arrivata da Charles Carmakal, Vice Presidente Senior di Mandiant, la software house contattata da Colonial Pipeline. La password trovata nel dark web è stata probabilmente utilizzata per altri servizi, quindi è bastata una semplice associazione con un username di un dipendente per scoprire le credenziali di login della VPN. Per l’account, successivamente disattivato, non era stata impostata l’autenticazione in due fattori.
L’accesso alla rete interna è avvenuto il 29 aprile. Circa una settimana dopo (7 maggio) un dipendente ha notato il messaggio del ransomware con il quale è stato chiesto il riscatto (Colonial Pipeline ha pagato 4,4 milioni di dollari in Bitcoin). Immediatamente è stata avviata la procedura di interruzione della distribuzione di carburante lungo le quattro linee dell’oleodotto che attraversa gli Stati Uniti dal Texas al New Jersey. Il servizio è stato ripristinato il 12 maggio.
Recentemente il Dipartimento della Giustizia ha deciso di trattare un attacco ransomware come un attacco terroristico, assegnando quindi la massima priorità alle indagini.
Il Direttore dell’FBI Christopher Wray ha svelato che l’agenzia indaga su oltre 100 tipi di ransomware, molti dei quali attribuiti a cybercriminali russi. Wray ha addirittura equiparato i recenti attacchi informatici agli attacchi terroristici dell’11 settembre 2001. È tuttavia evidente che le misure di sicurezze adottate dalle aziende sono piuttosto scarse.