L’attacco ransomware che lo scorso 31 maggio ha mandato fuori uso i server di supporto ai sistemi IT nordamericani e australiani del colosso della lavorazione della carne JBS è stato condotto dal gruppo hacker russo REvil.
A confermarlo è stata l’FBI (Federal Bureau of Investigations), incaricata dalla Casa Bianca di indagare su quanto accaduto per chiarire i contorni di questo ennesimo incidente di sicurezza ai danni di una importante infrastruttura critica.
L’attacco ha infatti causato lo stop della produzione negli impianti che garantiscono circa un terzo delle forniture americane di carne e segue di poco quello che, condotto dal gruppo criminale DarkSide, ha causato la chiusura temporanea dell’oleodotto di Colonial Pipeline che fornisce carburante a tutta la costa est degli Stati Uniti.
Questi incidenti, insieme all’attacco del ransomware Conti al che ha mandato in tilt il sistema sanitario irlandese, dimostrano l’inaspettata vulnerabilità degli Stati Uniti agli attacchi cyber e quanto siano ancora vulnerabili in generale le infrastrutture critiche nazionali: un problema, questo, che interessa tutti quanto noi.
Indice degli argomenti
Attacco ransomware a JBS: ennesimo campanello d’allarme
“L’attacco a JBS, così come quello contro Colonial Pipeline, dimostrano come un attacco opportunistico ed apparentemente finanziariamente motivato possano avere un impatto devastante non solo sulle vittime, ma sull’intero settore in cui operano”, ci dice Pierluigi Paganini, membro del gruppo Cyber Threat Landscapes di ENISA (European Union Agency for Network and Information Security) e CEO di CYBHORUS.
“Altro spunto di riflessione”, prosegue l’analista, “è l’estrema vulnerabilità di aziende primarie ad attacchi ransomware nonostante gli innumerevoli allarmi condivisi da forze dell’ordine ed aziende di sicurezza. La paralisi dell’intero sistema produttivo di un’azienda indica l’incapacità della stessa ad individuare tempestivamente la minaccia e i lunghi tempi di risposta per le attività di remediation suggeriscono l’inadeguatezza delle procedure di risposta agli incidenti. Talvolta, addirittura, le vittime preferiscono cedere al ricatto dei criminali per velocizzare il ripristino delle operazioni, e questo è inaudito”.
“Non vi è dubbio” conclude Paganini, “che occorre un nuovo approccio alla cyber security che si fondi sulla consapevolezza dei rischi e sulla condivisione tempestiva delle informazioni inerenti le minacce”.
È interessante notare, anche, che tutti i gruppi ransomware implicati in questi recenti attacchi hanno in comune legami con la Russia. Una “coincidenza” di cui si discuterà al prossimo summit di Ginevra del 16 giugno in un incontro faccia a faccia tra il presidente Biden e il presidente Putin, così come anticipato dall’addetta stampa della Casa Bianca Jen Psaki.
Cosa sappiamo del ransomware REvil
Gli investigatori hanno confermato che l’operazione ransomware REvil, come si sospettava, è stata gestita da un gruppo centrale di attori russi che reclutano affiliati, o partner, che violano le reti aziendali, rubano i loro dati e criptano i loro dispositivi.
Tutta l’operazione, inoltre, è stata gestita come un Ransomware-as-a-Service (Raas) in cui il gruppo centrale guadagna il 20-30% di tutti i pagamenti dei riscatti, mentre il resto va agli affiliati.
REvil, noto anche come Sodinokibi, ha iniziato la sua operazione nell’aprile 2019 e si ritiene che sia una propaggine o un rebranding della famigerata banda ransomware GandCrab, che ha terminato le sue attività malevoli nel giugno 2019.
Recentemente, inoltre, REvil è salito agli onori della cronaca per un attacco ransomware alla supply chain di Apple che ha consentito il furto di progetti relativi a nuovi dispositivi: vittima, in quel caso, è stata la Quanta Inc., uno dei principali fornitori della casa di Cupertino. Da ricordare anche l’attacco ai danni di Acer, seguito dalla richiesta di riscatto record di 50 milioni di dollari.
Come ha reagito JBS all’attacco ransomware
Subito dopo aver identificato l’attacco ransomware, JBS ha intrapreso un’azione immediata sospendendo tutti i sistemi colpiti e notificando quanto accaduto alle autorità. Contemporaneamente ha attivato la sua rete globale di professionisti IT ed esperti terzi per risolvere la situazione.
Ciononostante, l’azienda ha dovuto sospendere la produzione in alcuni stabilimenti in quanto l’attacco ha di fatto bloccato l’accesso ad alcune porzioni della rete interna. Tuttavia, sembrerebbe che i server di backup non siano stati colpiti dal ransomware e questo sta consentendo all’azienda di ripristinare abbastanza velocemente i propri sistemi e tutto il ciclo produttivo.
L’attacco ransomware a JBS ha rappresentato comunque un’interruzione significativa della catena di approvvigionamento alimentare di cui non è ancora possibile valutare esattamente le possibili conseguenze.
Ricordiamo infatti che, con le operazioni nordamericane con sede a Greeley, in Colorado, JBS controlla circa il 20% della capacità di macellazione di bovini e suini negli Stati Uniti.
Già lo scorso martedì la società aveva comunicato di aver fatto “progressi significativi nella risoluzione del cyber attacco”. La “stragrande maggioranza” degli impianti di manzo, maiale, pollame e cibi preparati della società torneranno presto operativi, continua il comunicato, alleviando le preoccupazioni per l’aumento dei prezzi degli alimenti che coinciderebbe con l’inizio della stagione delle grigliate estive e rischierebbe di interrompere le esportazioni di carne in un momento di forte domanda dalla Cina.
