Colonial Pipeline ha dovuto interrompere la distribuzione del carburante lungo le quattro linee principali dell’oleodotto che attraversa gli Stati Uniti dal Texas al New Jersey. Ciò ha già causato diversi problemi, tra cui un aumento dei prezzi del petrolio. Gli autori dell’attacco ransomware, ovvero il gruppo DarkSide, hanno chiarito che non era loro intenzione creare problemi per la società.
DarkSide: sceglieremo meglio gli obiettivi
I cybercriminali sono riusciti ad accedere ai sistemi IT di Colonial Pipeline e a “prendere in ostaggio” circa 100 GB di dati, minacciando la divulgazione online se l’azienda della Georgia non pagherà il riscatto (di importo ignoto). Il servizio è stato sospeso per contenere la diffusione del ransomware, quindi la fornitura di carburante per la East Coast è stato interrotto. Il governo ha dichiarato lo stato di emergenza in 18 stati per consentire il trasporto su strada.
Il gruppo DarkSide ha rilasciato un comunicato per “scusarsi” dell’accaduto:
Siamo apolitici, non partecipiamo alla geopolitica, non abbiamo bisogno di legarci ad un governo definito e cercare altre motivazioni. Il nostro obiettivo è fare soldi e non creare problemi alla società. Da oggi introduciamo la moderazione e controlliamo ogni azienda che i nostri partner vogliono crittografare per evitare conseguenze sociali in futuro.
In pratica sembra che sia stato fatto un errore nella scelta del bersaglio dell’attacco. DarkSide offre un ransomware-as-a-service. Un gruppo di persone sviluppa il ransomware, mentre gli affiliati eseguono l’attacco vero e proprio. Gli sviluppatori ricevono poi il 20-30% del riscatto pagato dalle vittime. Gli affiliati possono colpire qualsiasi bersaglio, ma stavolta hanno fatto una scelta sbagliata.
In futuro DarkSide deciderà quali target colpire e probabilmente escluderà le infrastrutture critiche, le agenzie governative e gli ospedali. Si spera quindi che Colonial Pipeline possa ricevere le chiavi per decifrare i file senza pagare il riscatto.