Un attacco di tipo “ransomware” ha lasciato senza carburante diverse aree degli Stati Uniti d’America. il 7 maggio la compagnia Colonial Pipeline ha dovuto bloccare i propri sistemi informatici a causa di un attacco informatico che ha avuto come conseguenza il furto di dati (circa 100GB, secondo il Washington Post) e la propagazione di un ransomware che ha cifrato i sistemi informatici. In questo modo i criminali mettono in atto una doppia estorsione e se la vittima riesce a ripristinare i sistemi da backup adeguati, rimane comunque sotto la minaccia di una divulgazione dei dati rubati se il riscatto non viene pagato. La compagnia fornisce il 45% del carburante della costa est statunitense e molte aree sono rimaste prive di carburante per alcuni giorni. Non sono stati divulgati dettagli tecnici e non ci sono certezze su quale sia stato il primo vettore dell’attacco, sembra comunque che la compagnia abbia potuto attivare il piano di ripristino dei sistemi rapidamente. A questo possono avere contribuito sia il distacco dei sistemi dalla rete che le indagini che hanno identificato e isolato i server nei quali sono stati archiviati i dati rubati, indebolendo l’azione dei criminali. Responsabile dell’attacco sembra essere il gruppo “Darkside”, un’organizzazione recente che fornisce un “ransomware as a service”, ovvero un’infrastruttura completa da vendere a “partner” che organizzano gli attacchi potendo contare sul supporto del gruppo Darkside (completo di assistenza “clienti”) per utilizzare al meglio il sistema di attacco.
La protezione contro questi attacchi passa dalla formazione e sensibilizzazione del personale, dal costante aggiornamento di tutti i sistemi informatici e dall’adozione di sistemi di backup e piani di continuità testati nonché di sistemi di sicurezza moderni basati su protezione degli endpoint e dati di threat intelligence.