Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco a Colonial Pipeline: le “lesson learned”.

Redazione RHC : 20 Agosto 2021 15:58

Lo scorso maggio, l’oleodotto Colonial, che trasporta petrolio per 5.500 km dal sud all’est degli Stati Uniti, è stato colpito da un attacco informatico su larga scala contro le infrastrutture di approvvigionamento petrolifero in Nord America. I criminali informatici del gruppo DarkSide sono riusciti ad accedere ai sistemi aziendali utilizzando ransomware con cui hanno rubato e bloccato 100 GB di dati.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Questo incidente ha avuto diverse conseguenze: la prima, e anche la più diretta, è stata che l’azienda è stata costretta a interrompere temporaneamente l’approvvigionamento del gasdotto fino al ripristino dei suoi sistemi informatici. Questa interruzione ha provocato carenze di carburante che hanno colpito le compagnie di trasporto e persino l’aeroporto internazionale di Charlotte-Douglas nella Carolina del Nord.

    Poi ha avuto un impatto più profondo in quanto ha generato una risposta diretta da parte della Casa Bianca: il Presidente degli Stati Uniti ha dovuto fare i conti con l’incidente dichiarando lo stato di emergenza nella zona colpita. E oltre a ciò, ha anche fornito un argomento per il suo recente “Ordine esecutivo sul miglioramento della sicurezza informatica della nazione”.

    Quando l’ordine esecutivo è stato pubblicato a maggio, abbiamo evidenziato in un post sul blog che, sebbene affronti più aree della sicurezza informatica, l’adozione di un approccio “Zero-Trust” e l’autenticazione a più fattori sono due aspetti di notevole importanza. E quest’ultimo ha svolto un ruolo particolarmente importante nell’attacco informatico a Colonial Pipeline.

    Le VPN

    Infatti, Indagini approfondite hanno suggerito che il vettore di ingresso utilizzato dal gruppo DarkSide per introdurre il proprio malware, è stata la rete VPN di Colonial. Va notato che, a causa dell’aumento dell’utilizzo da parte degli utenti che lavorano da casa durante la pandemia, le VPN sono diventate un obiettivo più frequente per gli hacker .

    Gli analisti ritengono che i malintenzionati hanno ottenuto l’accesso tramite password precedentemente trapelate e pubblicate sul Dark Web. Ritengono che solo una delle password trapelate avrebbe potuto essere sufficiente per ottenere l’accesso, poiché nessuna di esse era protetta da un dispositivo di autenticazione a più fattori. Questa doppia verifica (tramite dispositivo mobile o altri metodi) avrebbe ridotto notevolmente le possibilità che una password ancora attiva, come quelle oggetto della fuga di notizie, venisse utilizzata da qualcuno esterno all’azienda.

    D’altra parte, nonostante l’accesso ai sistemi IT per introdurre il ransomware, gli analisti non hanno trovato prove che l’attacco abbia raggiunto i sistemi OT che controllano direttamente le strutture industriali. Ciò non toglie nulla alla gravità dell’incidente, perché, sebbene questo non fosse l’obiettivo originario degli hacker, le operazioni sono state in pratica compromesse.

    L’Autenticazione a più fattori

    Colonial non è l’unica organizzazione la cui infrastruttura critica è stata colpita da un massiccio attacco informatico quest’anno, ma è stato l’incidente che ha avuto l’impatto maggiore. Ha inoltre evidenziato le carenze della sicurezza informatica del settore in aree come il controllo dell’autorizzazione all’accesso.

    Gli MSP e i team IT devono quindi implementare una rigorosa policy in materia di password per l’accesso alle infrastrutture critiche, che deve coprire tutti i sistemi e includere l’autenticazione a più fattori per ogni snodo di accesso, non è facile per i team gestire tutti i permessi, le password e l’autenticazione per un gran numero di dipendenti utilizzando metodi o soluzioni software tradizionali.

    Esistono infatti moltissime soluzioni che consentono di aiutare gli Addetti IT nella gestione delle credenziali, ma è importante conoscere questo problema in modo da inserire nella progettazione dei nuovi sistemi un modello zerotrust, oltre all’autenticazione a più fattori.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    James Cameron: l’IA può causare devastazione come Skynet e Terminator
    Di Redazione RHC - 10/08/2025

    “Il sistema di difesa militare Skynet entrerà in funzione il 4 agosto 1997. Comincerà ad autoistruirsi imparando a ritmo esponenziale e diverrà autocosciente alle 2:14 del giorno...

    Gli EDR vanno ancora offline! Crescono le minacce con i figli di EDRKillShifter
    Di Redazione RHC - 10/08/2025

    Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility ED...

    Hai fatto doppio click su WinRAR? Congratulazioni! Sei stato compromesso
    Di Redazione RHC - 09/08/2025

    Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Dir...

    Satelliti Sotto il controllo degli Hacker: “è più semplice hackerarli che usare armi satellitari”
    Di Redazione RHC - 09/08/2025

    Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...

    HTTP/1.1 Must Die! Falle critiche mettono milioni di siti web a rischio
    Di Redazione RHC - 08/08/2025

    Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...