Il settore energetico sempre più preso di mira dal ransomware che non risparmia neanche le centrali nucleari

Redazione RHC : 19 Novembre 2023 08:42

Resecurity ha identificato un aumento allarmante degli operatori di ransomware che prendono di mira il settore energetico, compresi gli impianti nucleari e i relativi enti di ricerca. Nell’ultimo anno, gli aggressori di ransomware hanno preso di mira installazioni energetiche in Nord America, Asia e Unione Europea. Nell’UE, Handelsblatt ha riferito che gli attacchi ransomware contro il settore energetico sono più che raddoppiati nel 2022 rispetto all’anno precedente, con i difensori che hanno registrato 21 attacchi nello scorso ottobre.

Dopo un breve “cessate il fuoco” settoriale seguito all’attacco ransomware Colonial Pipeline del 2021, i criminali informatici stanno ancora una volta prendendo di mira obiettivi del settore energetico. Gli autori delle minacce ritengono che il sequestro delle risorse di Infrastruttura Critica (CI) di maggior valore gestite da queste aziende produrrà pagamenti più redditizi nelle trattative di riscatto. I fattori che rendono le aziende energetiche più vulnerabili agli attacchi ransomware includono le complessità nella convergenza delle reti IT e di tecnologia operativa (OT), i rischi di terze parti e la storica frammentazione geopolitica.

Nel contesto dei conflitti in Ucraina e Gaza, Resecurity ha anche osservato casi sospetti di attività di spionaggio sponsorizzate dallo stato mascherate da attacchi ransomware a sfondo finanziario. Sebbene le entità israeliane non abbiano ancora segnalato alcun attacco ransomware significativo, lo scoppio della guerra a Gaza in ottobre ha fomentato un aumento simultaneo dell’attività di autori di minacce contro le installazioni energetiche israeliane. Questa attività include campagne di hacktivisti orientate alla propaganda, insieme ad attori di minacce più gravi come Storm-1133, un gruppo inizialmente segnalato dai ricercatori sulle minacce di Microsoft.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La ricerca di Resecurity approfondisce le tendenze uniche dei ransomware citate dal Dipartimento per la sicurezza nazionale nel loro recente studio Intelligence Enterprise Homeland Threat Assessment. “Tra gennaio 2020 e dicembre 2022, il numero di attacchi ransomware noti negli Stati Uniti è aumentato del 47%”, secondo il rapporto del DHS. L’agenzia ha inoltre osservato che “gli aggressori ransomware hanno estorto almeno 449,1 milioni di dollari a livello globale durante la prima metà del 2023 e si prevede che avranno il loro secondo anno più redditizio”.

Sulla scia della campagna di estorsione nella catena di fornitura MOVEit Transfer, che ha causato finora oltre 2.180 vittime, il 2023 potrebbe effettivamente passare alla storia come l’anno più redditizio di sempre per gli autori di ransomware. Secondo il rapporto del DHS, la tendenza più ampia che guida l’aumento del ROI del settore del ransomware è il ritorno della “caccia alla aziende grosse”, ovvero il prendere di mira le grandi organizzazioni. Le tattiche emergenti implementate dagli autori di ransomware nei loro “safari” di estorsione includono la crittografia intermittente, l’uso di linguaggi di programmazione specializzati più moderni e doppi attacchi ransomware che coinvolgono più di una variante.

Secondo l’FBI, queste campagne a doppia variante in genere sequenziano i loro attacchi nell’arco di 48 ore. Come ha dimostrato Cl0p nella campagna MOVEit, cresce anche la preoccupazione che gli aggressori possano evitare del tutto lo sviluppo interno di toolkit di crittografia, a favore di schemi di furto di dati più efficienti. Sequestrando ed esfiltrando rapidamente i dati, gli autori del ransomware possono entrare più immediatamente nella fase di estorsione del ciclo di attacco. Per quanto riguarda le prime due tattiche ransomware emergenti citate, la crittografia intermittente consente agli autori delle minacce di “crittografare i sistemi più velocemente e ridurre le possibilità di essere rilevati”, secondo il rapporto del DHS.

La maggiore efficienza ed evasività offerte dalla tecnica di cui sopra sono punti di forza che possono aiutare le bande di estorsione informatica a “invogliare gli affiliati a unirsi alle loro operazioni Ransomware-as-a-Service”, osserva il rapporto del DHS. Il rapporto afferma inoltre che i linguaggi di programmazione di prossima generazione come Rust e Golang, ad esempio, possono migliorare le capacità degli autori delle minacce di “adattare e personalizzare i propri attacchi”.

Nel complesso, il settore energetico è stato il quarto settore più preso di mira lo scorso anno, rappresentando il 10,7% di tutti gli attacchi informatici. Il rapporto del DHS avverte che “gli attori informatici statali e non statali continuano a cercare un accesso opportunistico agli obiettivi del settore delle infrastrutture critiche per attacchi dirompenti e distruttivi”. Inoltre, “l’attività informatica dannosa contro gli Stati Uniti è aumentata dall’inizio del conflitto Russia-Ucraina”, osserva il rapporto del DHS.

Senza una chiara conclusione dei conflitti israelo-Hamas e russo-ucraini in vista, gli attacchi ransomware contro le aziende energetiche stanno diventando sempre più diffusi negli Stati Uniti e nel mondo. Il seguente white paper fornirà una cronologia di tutti gli attacchi ransomware significativi nel settore energetico avvenuti nell’ultimo anno, presenterà la ricerca HUNTER (HUMINT) sulle richieste di accesso al settore energetico nel Dark Web e dettaglierà i risultati delle nostre negoziazioni di riscatto sotto copertura con il gruppo di autori di minacce Black Basta.

Punti Chiave

• Resecurity ha identificato diversi broker di accesso iniziale (IAB) che operano sul Dark Web e che cercano attivamente credenziali e altri metodi di intrusione non autorizzati per il settore energetico. Alcuni di questi IAB stanno addirittura promuovendo l’accesso non autorizzato alle aziende produttrici di energia nucleare. Inoltre, Resecurity ha identificato numerosi post sui principali forum di criminali informatici, tra cui RAMP (il mercato anonimo russo), dove gli autori delle minacce hanno tratto e continuano a trarre profitto dall’accesso illegale alla rete.
• Secondo le indagini di Resecurity, gli attacchi ransomware contro il settore energetico sono notevolmente aumentati. Sono state osservate campagne dannose in Nord America, Asia e Unione Europea (UE). I criminali informatici prendono di mira questo settore, partendo dal presupposto di poter ottenere pagamenti di riscatto più redditizi a causa delle risorse di dati di valore più elevato coinvolte. Questi attacchi dimostrano che i dati delle infrastrutture critiche (CI) sono più preziosi per i gruppi di ransomware rispetto a quelli archiviati da altri settori economici.
• Resecurity prevede che le entità criminali che operano nel Dark Web e le bande di ransomware professionali intensificheranno gli attacchi contro il settore energetico. Questi aggressori coopteranno attori indipendenti e IAB per aiutarli a trarre profitto dalle intrusioni illecite nella rete.
• Gli operatori di ransomware che prendono di mira le aziende energetiche continueranno ad aumentare le loro richieste di estorsione oltre i 7 milioni di dollari, utilizzando come arma la loro essenzialità per le operazioni di CI. Un fattore aggravante che può giustificare risarcimenti di questa entità alle organizzazioni vittime è il potenziale di devastante interruzione dei processi industriali nell’ambiente circostante.
• Le organizzazioni dell’energia nucleare sono obiettivi ad alta priorità per gli operatori di ransomware e i gruppi di minacce avanzate che cercano di partecipare allo spionaggio informatico. I dati trapelati da queste entità possono fungere da cortina di fumo per attacchi più complessi, pianificati prima di qualsiasi annuncio pubblico di questi incidenti. Questa astuzia può rendere più difficile per gli investigatori delle violazioni determinare le vere motivazioni dietro un attacco informatico.
• I governi e le parti interessate del settore privato sono sempre più preoccupati per l’aumento degli attacchi ransomware contro il settore energetico. Questa tendenza preoccupante ha implicazioni destabilizzanti per le relazioni geopolitiche, i mercati dei capitali, la sicurezza pubblica e la sicurezza nazionale.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli