L’attacco alla Colonial Pipeline di inizio maggio è il momento che ha innescato una politica statunitense coerente e una reazione contro il ransomware, essendosi trattato di uno degli attacchi più violenti mai subiti da un sistema energetico americano.

In sintesi: la Colonial Pipeline è il più grande oleodotto per prodotti raffinati negli USA, contribuendo al 45% circa del consumo di carburante della costa orientale. L’attacco ransomware in questione ha colpito i sistemi informatici della Colonial ma, per precauzione, l’azienda ha disattivato i suoi sistemi di tecnologia operativa conseguentemente all’incertezza sorta nelle prime ore dell’attacco

Nel mondo ransomware l’anonimato è uno dei vantaggi più preziosi: per Darkside, un gruppo di criminali informatici che è ampiamente sospettato di essere il produttore del malware specifico con cui è stata attaccata la Pipeline, il ransomware è un business. Secondo Cybereason, piattaforma per la difesa dalle minacce informatiche, quel malware è stato utilizzato in più di 40 casi, costando cifre comprese tra i 200.000 e i 2 milioni di dollari per ciascuno di essi. Tuttavia, Darkside è consapevole della propria reputazione, avendo dichiarato pubblicamente che non avrebbe attaccato sistemi di assistenza sanitaria, scuole o imprese che, a suo parere, non sono in grado di pagare il riscatto.

Durante la pandemia di Covid-19, il cloud computing e il concetto di “Software-as-a-Service” (SaaS) hanno fatto furore; Darkside sta tentando di inserirsi tra i protagonisti del “Ransomware-as-a-Service” e sta offrendo in prestito il suo software a organizzazioni criminali.

La strategia a lungo termine più redditizia per Darkside sarebbe quella di rimanere nell’ombra: di conseguenza, l’attacco a Colonial Pipeline ha destato e riunito le forze al completo del dipartimento della giustizia degli Stati Uniti e dell’Amministrazione Biden, al punto da rendere “Darkside” quasi un nome familiare.

L’FBI consiglia chiaramente di “non pagare mai”. Il CEO della Colonial Pipeline ha scelto di pagare il riscatto, pari a circa 75 bitcoin (valutati all’epoca in 4,4 milioni di dollari approssimativamente); in base alle circostanze, è possibile che il mancato pagamento causi mesi di interruzioni di servizio e l’impossibilità di recuperare alcuni dati.

Quando è uscito il whitepaper di Satoshi Nakamoto, che ha presentato al mondo il Bitcoin, una delle virtù ampiamente pubblicizzate della nuova criptovaluta era l’anonimato; è possibile che questo fosse vero più all’epoca che non oggi: attualmente i partecipanti al mercato si rendono conto che, se l’anonimato è il desiderio principale, esistono altre criptovalute che possono fare anche di meglio rispetto al Bitcoin. Secondo gli esperti, le transazioni sulla blockchain creano delle “briciole digitali” che possono essere seguite dalle autorità. In occasione dell’attacco alla Colonial Pipeline, le autorità hanno sequestrato gran parte del riscatto (circa 64 bitcoin su 75): ciò significa che sono riuscite a tracciare le attività specifiche on-chain collegate all’attacco, a trovare il portafoglio digitale associato a Darkside e poi ad ottenere le chiavi pubbliche e private per effettuare il sequestro.

I megatrend vengono “creati” continuamente: alcuni perdureranno e sopravviveranno, altri no. Consideriamo però uno scenario in cui un’azienda preferisca non occuparsi dell’intelligenza artificiale (IA): possiamo avere le nostre opinioni su questa scelta ma, in fin dei conti, è possibile che l’IA abbia solo un’importanza limitata a seconda dei dettagli. Tuttavia, immaginiamoci ora un’impresa che, a suo dire, preferisca non occuparsi di sicurezza informatica. Quella impresa ha dei computer? Un’e-mail? Una rete? Il fatto di non interessarsi alla sicurezza informatica è un grave rischio per un’impresa. Possiamo non sapere quali servizi utilizzerà, ma sappiamo bene che una disattenzione del genere è irresponsabile, se non addirittura sconsiderata.

Mandiant, un’azienda esperta in sicurezza informatica, ha segnalato che la frequenza di reazione agli attacchi ransomware è aumentata di 10 volte dal 2018 al 2020. Sempre secondo la società, i costi medi variano da 250.000 fino a 50 milioni di dollari e un’azienda su dieci è costretta a chiudere dopo essere rimasta vittima di un attacco ransomware.

Non dimenticate la sicurezza del cloud: questa è la frase che fanno venire in mente queste statistiche. Adeguare una tesi di investimento all’ascesa della sicurezza informatica potrebbe essere una proposta molto interessante nel 2021.