Ransomware a New Cooperative, infrastrutture critiche di nuovo sotto attacco: perché è allarme rosso - Cyber Security 360

L'ANALISI TECNICA

Ransomware a New Cooperative, infrastrutture critiche di nuovo sotto attacco: perché è allarme rosso

C’è la firma del gruppo ransomware BlackMatter sull’attacco che ha bloccato i sistemi informatici della cooperativa di agricoltori statunitensi New Cooperative, che ora dovrà pagare 5,9 milioni di dollari per non perdere i dati. Un attacco che dimostra, ancora una volta, la scarsa sicurezza delle infrastrutture critiche

21 Set 2021
Paolo Tarsitano

Editor Cybersecurity360.it

La cooperativa di agricoltori New Cooperative, produttori di cereali e mangimi, con oltre 60 sedi in tutto l’Iowa, negli Stati Uniti, è stata colpita da un attacco ransomware condotto dal gruppo criminale BlackMatter che ora chiede un riscatto di 5,9 milioni di dollari per restituire i dati esfiltrati. Cifra che verrà raddoppiata a 11,8 milioni di dollari se il riscatto non verrà pagato entro cinque giorni.

La NEW Cooperative ha confermato l’accaduto e ha dichiarato di aver messo offline i propri sistemi per contenere la diffusione dell’attacco. La società ha comunicato anche di aver già notificato l’accaduto alle autorità di controllo e di lavorare a stretto contatto con gli esperti di sicurezza dei dati per indagare sull’incidente di sicurezza e porre rimedio alla situazione.

Intanto, però, la prima conseguenza dell’attacco potrebbe essere l’interruzione dell’approvvigionamento alimentare di grano, carne di maiale e pollo, con conseguenze facilmente immaginabili.

Data Leak Olympus: il colpo grosso di BlackMatter e la nuova strategia d’azione dei ransomware

Cosa sappiamo del ransomware a New Cooperative

Dalle prime notizie trapelate finora si sa che l’attacco ransomware ha colpito solo alcuni sistemi informatici di New Cooperative prima che l’organizzazione decidesse di metterli tutti offline.

Questo dovrebbe avere in parte contenuto la portata dell’attacco, anche se il gruppo ransomware avrebbe pubblicato sul suo sito dedicato ai data leak 1 Terabyte di dati tra cui il codice sorgente del progetto software Soilmap, informazioni finanziarie, informazioni di rete, proprietà intellettuali, informazioni sensibili sui dipendenti, informazioni legali ed esecutive.

Nel pacchetto di dati trafugati nell’attacco ci sarebbe anche un database contenente credenziali di accesso gestite tramite il noto password manager KeePass.

BlackMatter e gli attacchi alle infrastrutture critiche

In alcuni screenshot condivisi su Twitter per confermare l’avvio della fase di negoziazione, si legge che New Cooperative ha segnalato al gruppo ransomware BlackMatter di essere un’infrastruttura critica per via del suo ruolo nella catena di approvvigionamento alimentare.

La stessa società ha infatti comunicato che circa il 40% della produzione di grano viene gestita attraverso il suo software e quindi avrebbero dovuto contattare la CISA e le autorità americane dell’attacco, così come previsto dalle nuove misure di sicurezza emanate dal presidente Biden.

In una nota ufficiale, infatti, un rappresentante della NEW Cooperative ha avvertito che “l’impatto sarà probabilmente molto peggiore dell’attacco all’oleodotto per il contesto in cui è avvenuto, e non abbiamo modo di controllarlo, alla luce dei danni che ha già causato”.

Ma la risposta del gruppo ransomware è stata tutt’altro che rassicurante: secondo i criminal hacker, infatti, la New Cooperative “non rientra nelle regole” stabilite dalle autorità americane.

USA e cyber guerra: ecco le misure di sicurezza per proteggere il sistema Paese

Ancor meno rassicurante se si considera che il gruppo BlackMatter, che ha iniziato le sue attività malevoli alla fine dello scorso mese di luglio (e che, secondo i ricercatori di Recorded Future sta creando una rete di affiliati utilizzando annunci pubblicati su due forum di criminalità informatica), sostiene di essere il successore dei gruppi DarkSide e REvil, autori, rispettivamente, degli attacchi all’oleodotto di Colonial Pipeline che fornisce carburante a tutta la costa est degli Stati Uniti e al colosso della lavorazione della carne JBS.

Senza dire che lo stesso gruppo ransomware è implicato anche nel recente attacco al colosso giapponese della tecnologia Olympus.

Secondo Pierluigi Paganini, Cyber Security Analyst e CEO CYBHORUS, “l’attacco alla statunitense New Cooperative preoccupa in quanto trattasi di una nuova offensiva ai danni di una filiera strategica per il paese”.

“Le ripercussioni dell’attacco”, continua l’analista, “potrebbero essere drammatiche, non meno dell’attacco che prese di mira Colonial Pipeline. Sebbene il gruppo BlackMatter, responsabile dell’attacco, abbia dichiarato che non attaccherà infrastrutture critiche nazionali, appare evidente che la gang criminale non consideri tale l’azienda presa di mira”.

“In realtà, le conseguenze per il settore potrebbero essere serie e l’impatto sulla popolazione preoccupante. Infrastrutture critiche e filiere strategiche di qualunque stato sono oggetto di continui attacchi da parte delle organizzazioni criminali, purtroppo osserveremo attacchi simili in futuro: occorre prepararsi al meglio per scongiurare ingenti danni”, è il consiglio di Paganini.

Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime

Al momento, non si conosce ancora il vettore di attacco utilizzato da BlackMatter per accedere ai sistemi informatici di New Cooperative, ma l’accaduto conferma l’estrema vulnerabilità delle aziende ad attacchi ransomware nonostante gli innumerevoli allarmi condivisi dagli esperti di sicurezza.

L’attacco, inoltre, è ancora una volta l’occasione per ribadire l’importanza di adottare un nuovo approccio alla cyber security che si fondi sulla consapevolezza dei rischi e sulla condivisione tempestiva delle informazioni inerenti le minacce.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4