Alla RSA Conference del 2021, il segretario alla sicurezza interna degli Stati Uniti Alejandro Mayorkas ha rilasciato una dichiarazione che definisce perfettamente quale sia l’attuale panorama della sicurezza informatica: “Voglio essere chiaro: il ransomware rappresenta oggi una minaccia alla sicurezza nazionale”.
Lo scorso fine settimana le parole di Mayorkas sono diventate realtà; l’attacco ransomware a Colonial Pipeline – responsabile della fornitura di quasi la metà del diesel, della benzina e del jet fuel dell’intera costa orientale degli Stati Uniti – ha causato l’arresto di una rete di carburante fondamentale per tutta l’area degli Stati Uniti orientali.
Indice degli argomenti
L’attacco ransomware a Colonial Pipeline
La ricaduta dell’attacco ha dimostrato quanto diffuse e dannose possano essere le conseguenze di un ransomware sferrato contro infrastrutture critiche e servizi pubblici, con cyber attacchi che hanno il potenziale di interrompere le forniture, danneggiare l’ambiente e persino mettere a repentaglio l’incolumità stessa delle persone.
Anche se i dettagli completi della vicenda devono ancora essere chiariti, sembra che l’attacco sia stato condotto da un gruppo di cybercriminali chiamato DarkSide, che ha probabilmente sfruttato i comuni strumenti di desktop remoto.
Quel che è certo è che in un comunicato ufficiale diramato ieri pomeriggio (ora della costa est americana), la stessa Colonial Pipeline ha fatto sapere che la sua infrastruttura era tornata pienamente operativa e che il suo intero sistema di condutture ha ripreso a consegnare prodotti petroliferi raffinati a tutti i suoi mercati.
L’azienda, dunque, è riuscita a ripristinare in tempi record la sua piena operatività probabilmente perché, come riportato da Bloomberg, avrebbe pagato ai criminal hacker quasi 5 milioni di dollari in criptovaluta per ottenere una chiave di decrittazione e ripristinare i suoi sistemi.
In attesa di ulteriori dettagli su tutta la faccenda, quanto accaduto a Colonial Pipeline è una conferma che il passaggio al lavoro a distanza di una buona parte dei lavoratori lo scorso anno ha reso l’accesso da remoto una vulnerabilità potenziale sfruttabile anche all’interno delle organizzazioni che gestiscono le infrastrutture critiche nazionali, compresi i sistemi di controllo industriale (ICS) e di tecnologia operativa (OT).
L’ascesa del ransomware industriale
L’ascesa dei ransomware contro gli ambienti industriali è continua: secondo alcune stime, dal 2018 siamo di fronte a un incremento del 500%. Spesso queste minacce sfruttano la convergenza dei sistemi IT e OT, prendendo di mira prima l’IT per poi passare all’OT. Comportamenti simili sono stati, infatti, già osservati nel caso del ransomware EKANS che ha incluso i protocolli ICS nella sua “kill list”, e del ransomware Cring, che ha invece compromesso i sistemi di controllo industriale dopo aver prima sfruttato una vulnerabilità di una VPN.
Nel caso Colonial Pipeline resta ancora da verificare se il vettore di attacco iniziale abbia coinvolto i sistemi IT o OT, se abbia sfruttato una vulnerabilità tecnica, compromesso le credenziali o sia stato il risultato di una minaccia interna con supporti rimovibili, ma la società ha confermato che il ransomware “ha temporaneamente fermato tutte le operazioni della pipeline e colpito alcuni dei nostri sistemi IT”, dimostrando di fatto che sia i sistemi OT sia quelli IT siano stati colpiti.
Oltre a bloccare i sistemi, gli attori della minaccia si sono anche impossessati indebitamente di 100 GB di dati sensibili dell’organizzazione. Questo tipo di attacco a doppia estorsione in cui i dati sono esfiltrati prima che i file vengano criptati è purtroppo diventato una norma piuttosto che un’eccezione, e oggi oltre il 70% degli attacchi ransomware coinvolgono anche l’esfiltrazione.
Alcune bande di cybercriminali hanno persino annunciato di stare abbandonando del tutto la crittografia a favore del furto di dati e dei metodi di estorsione.
Ransomware sventato grazie all’intelligenza artificiale: un caso reale
All’inizio di quest’anno, Darktrace ha sventato un attacco ransomware a doppia estorsione condotto contro un’organizzazione di infrastruttura critica simile a Colonial Pipeline, che sfruttava anche strumenti comuni di accesso remoto.
L’attacco ransomware scagliato contro un fornitore nordamericano di apparecchiature per le utility elettriche ha inizialmente preso di mira i sistemi IT ma, grazie alla capacità di autoapprendimento della Cyber AI, è stato fermato prima che potesse estendersi agli OT e interrompere le operazioni.
L’aggressore ha dapprima compromesso un server interno per esfiltrare i dati e diffondere il ransomware nel corso di 12 ore. Il breve lasso di tempo tra la compromissione iniziale e la distribuzione del ransomware è piuttosto insolito, in quanto nella maggior parte dei casi gli attori delle minacce ransomware aspettano diversi giorni per diffondersi furtivamente attraverso l’ecosistema informatico prima di colpire.
Come il ransomware ha superato le difese dello stack di sicurezza
L’aggressore ha sfruttato le cosiddette tecniche “Living Off the Land” per mimetizzarsi nei normali schemi comportamentali dell’azienda, utilizzando una credenziale di amministratore compromessa e uno strumento di gestione remota approvato dall’organizzazione allo scopo di rimanere inosservato.
Capita sempre più spesso che Darktrace rilevi un utilizzo illecito di software di gestione remota all’interno dell’arsenale di tecniche, tattiche e procedure (TTP) sfruttate dagli aggressori. L’accesso da remoto, infatti, sta anche diventando un vettore sempre più comune negli attacchi ICS. Ad esempio, anche nell’attacco all’impianto di trattamento delle acque della Florida avvenuto lo scorso febbraio gli hacker hanno tentato di sfruttare uno strumento di gestione remota per manipolare le operazioni dell’impianto.
In questo specifico caso, il ransomware ha anche eluso con successo l’attività dell’antivirus, utilizzando un’estensione di file unica quando i file venivano crittografati. Queste particolari forme di ransomware senza firma sfuggono facilmente agli approcci tradizionali alla sicurezza che si basano su regole, firme, feed di minacce ed elenchi di vulnerabilità ed esposizioni comuni documentate (CVE), e che sono in grado quindi di rilevare unicamente le minacce precedentemente documentate.
L’unico modo per intercettare minacce mai viste prima è l’utilizzo di una tecnologia in grado di analizzare ogni comportamento anomalo, piuttosto che basarsi su liste di attacchi già noti. Questo può essere realizzato con una tecnologia di autoapprendimento, in grado di individuare anche le deviazioni più sottili dai normali “modelli comportamentali” di tutti i dispositivi, utenti e interconnessioni tra di essi.
Compromissione iniziale e creazione di un punto d’appoggio
Nonostante l’utilizzo di uno strumento legittimo e l’assenza di firme, l’Industrial Immune System di Darktrace è stato in grado di comprendere in maniera olistica quale fosse la normale attività dei sistemi per rilevare i movimenti sospetti in più punti del ciclo di vita dell’attacco.
Il primo chiaro indicatore di compromissione segnalato da Darktrace è stato l’utilizzo insolito di una credenziale privilegiata. Il dispositivo ha mostrato anche una rara connessione RDP (Remote Desktop Protocol) da un server Veeam poco prima dell’incidente, indicando che l’aggressore avrebbe potuto spostarsi lateralmente da un’altra parte della rete.
Tre minuti più tardi, il dispositivo ha avviato una sessione di gestione da remoto della durata di 21 ore.
Questo ha permesso all’aggressore di muoversi attraverso tutto l’ecosistema informatico, senza essere rilevato dalle difese tradizionali. Darktrace, tuttavia, è stato in grado di osservare l’uso insolito della gestione remota come un segnale di attacco.
Una doppia minaccia: esfiltrazione di dati e crittografia dei file
Un’ora dopo la compromissione iniziale, Darktrace ha rilevato insoliti volumi di dati inviati a una soluzione di cloud storage 100%. I dati in uscita erano crittografati utilizzando SSL, ma Darktrace ha creato più avvisi relativi a download interni e upload esterni consistenti, che rappresentavano una deviazione significativa dal normale “modello comportamentale” del dispositivo.
Il dispositivo ha continuato a esfiltrare dati per nove ore. L’analisi dei file scaricati, che sono stati trasferiti utilizzando il protocollo SMB non criptato, suggerisce che si trattasse di informazioni di natura sensibile.
Fortunatamente, Darktrace è stata in grado di individuare i file specifici esfiltrati in modo che il cliente potesse immediatamente valutare le potenziali implicazioni della compromissione.
Poco tempo dopo, il dispositivo compromesso ha iniziato a crittografare i file in un’unità condivisa di back-up di SharePoint. Nelle tre ore e mezza successive, il dispositivo ha crittografato oltre tredicimila file su almeno venti condivisioni SMB.
Il Cyber AI Analyst di Darktrace ha quindi avviato automaticamente un’indagine, identificando i trasferimenti di dati interni e la crittografia dei file su SMB. Da questo, è stato in grado di presentare il report sugli incidenti che hanno collegato tutte queste anomalie, unendole in una narrazione coerente dello stato di sicurezza dell’organizzazione, mettendo il team di sicurezza nella condizione di intraprendere immediatamente i provvedimenti del caso.
Se il cliente avesse utilizzato Antigena Network, la tecnologia di risposta autonoma di Darktrace, non c’è dubbio che l’attività sarebbe stata fermata prima che volumi significativi di dati potessero essere esfiltrati o i file criptati.
Fortunatamente, dopo aver visto sia gli alert che i rapporti del Cyber AI Analyst, il cliente è stato in grado di utilizzare il servizio ‘Ask the Expert’ (ATE) di Darktrace per la risposta agli incidenti per mitigare l’impatto dell’attacco e assistere al disaster recovery.
Rilevare la minaccia prima che possa interrompere l’infrastruttura critica
Il fornitore attaccato stava supervisionando l’OT e aveva stretti legami con le infrastrutture critiche. Rispondendo all’attacco nella sua fase iniziale, è stato impedito che il ransomware si diffondesse ulteriormente, riducendo al minimo le interruzioni operative e aiutando a evitare l’effetto domino dell’attacco che avrebbe colpito non solo il fornitore stesso, ma anche le utility elettriche da esso supportate.
Come dimostrano sia il recente attacco a Colonial Pipeline che la minaccia appena analizzata, il ransomware rappresenta oggi a tutti gli effetti una grandissima preoccupazione per quelle organizzazioni che supervisionano le operazioni industriali delle infrastrutture critiche, dagli oleodotti alla rete elettrica e ai suoi fornitori.
AI ad auto-apprendimento per proteggere le infrastrutture critiche
Alla fine di aprile, l’amministrazione Biden ha annunciato un impegno forte e ambizioso per “salvaguardare le infrastrutture critiche degli Stati Uniti dalle minacce persistenti e sofisticate”. Con il Piano dei 100 giorni, il Dipartimento dell’Energia degli Stati Uniti (DOE) ha scelto di guardare specificamente a tecnologie “che forniscano visibilità cyber, rilevamento e capacità di risposta per i sistemi di controllo industriale dei servizi elettrici”.
Questo grande “cyber sprint” dell’amministrazione Biden rappresenta un tassello fondamentale per un cambio di passo nel mondo della sicurezza, in quando richiede chiaramente l’adozione di nuove tecnologie che proteggano le infrastrutture energetiche critiche, piuttosto che continuare semplicemente a seguire delle best practice, basate solo su misure e regolamenti.
