Il 7 maggio, 9mila chilometri di oleodotto dal Texas a New York sono rimasti a secco, lasciando molte infrastrutture prive di carburante. La causa? Un attacco ransomware a una delle più importanti compagnie di oleodotti degli Stati Uniti, Colonial Pipeline, che gestisce circa il 45% degli approvvigionamenti lungo la costa orientale. Il colosso americano si è trovato in ginocchio, non a causa di un guasto tecnico o di un incidente legato al petrolio, ma di una situazione più comune di ciò che si pensa: un cyber attacco criminale.

Un ransomware è un tipo di estorsione digitale. L’hacker non viola i sistemi al fine di ottenere dati o informazioni sensibili, ma per chiedere il pagamento di un riscatto. Secondo il Rapporto Clusit 2021, questo tipo di virus che nell’anno 2018 rappresentava solo il 23% del totale, nel 2020, invece, ha sfiorato il 67%, colpendo solo negli Stati Uniti circa 2400 organizzazioni, tra cui 1700 scuole e università e 560 strutture sanitarie. Due malware (ossia software intrusivi malevoli) su tre sono ransomware. Un numero in costante crescita che rischia di mettere a dura prova non solo le aziende colpite, ma l’intero sistema socioeconomico.

Data, infatti, l’interconnessione e l’interdipendenza dei settori chiave della società moderna, il blocco, seppur momentaneo, di una di queste infrastrutture, può provocare ripercussioni e danni sistemici, andandosi a ripercuotere su tutte le altre. Ciò è dovuto alla crescente integrazione delle tecnologie dell’informazione con gli enti strategici. Diventando più dipendente da sistemi informatici complessi per le operazioni, l’infrastruttura allo stesso modo si dimostra più vulnerabile a determinate minacce informatiche.

Effetto cascata
Nonostante la compromissione di Colonial Pipeline riguardasse solo la rete corporate dell’azienda, per evitare una diffusione del virus nel resto della filiera di distribuzione e fornitura, i dirigenti hanno deciso di chiudere l’intero oleodotto. Questa scelta ha, però, causato la riduzione della disponibilità di carburante incrementando il prezzo del petrolio e l’incertezza dei clienti che hanno gareggiato per impadronirsi delle scorte. In poco tempo, il presidente Joe Biden ha dovuto dichiarare lo stato di emergenza per poter scongiurare una crisi provocata dalla carenza di petrolio e diramare un ordine esecutivo al fine di rafforzare la cyber difesa del Paese.

L’effetto cascata provocato dalla sospensione temporanea della fornitura di gas evidenzia la necessità di prendere in considerazione le nuove frontiere per la sicurezza delle infrastrutture strategiche. L’incidente non solo mostra, infatti, la fragilità e le vulnerabilità di queste strutture, ma anche il bisogno di potenziarne la difesa attraverso un approccio olistico che comprenda le “minacce invisibili”. Il lato “cyber” della sicurezza nelle infrastrutture critiche dovrebbe diventare una priorità all’interno delle stesse aziende, data la forte interconnessione che esiste fra le diverse componenti del sistema. Se l’attacco a Colonial Pipeline non fosse stato attuato da un gruppo di hacker di matrice criminale per ottenere un riscatto, ma da uno coordinato statalmente, l’impatto sarebbe potuto essere drammatico. Le informazioni sensibili ottenute tramite il ransomware insieme alle conseguenze economiche relative al blocco dei rifornimenti, avrebbero causato in breve tempo danni in tutto il Paese.

Pagamento del riscatto
Il caso di Colonial Pipeline si è risolto attraverso il pagamento di un riscatto di 75 bitcoin, corrispondenti a circa 4.5 milioni di dollari al gruppo criminale DarkSide. Gli hacker non rispecchiano l’identikit dei tipici criminali, quanto quello di un franchising, che attraverso la propria piattaforma fornisce servizi di follow-up per le vittime dei propri virus (RasS – “Ransomware as a Service”). Il loro modello di business prevede un codice di condotta per gli affiliati, i quali sono invitati a non attaccare gli obiettivi all’interno dei confini della Comunità degli Stati Indipendenti, tra cui la Russia e gran parte dell’ex Unione Sovietica, forse la base degli hacker. Darkside si distingue anche per aver provato a costruirsi una reputazione in quanto professionisti del mestiere, con regole che vietano loro di attaccare enti no-profit e ospedali e a donare parte del riscatto a istituzioni benefiche.

Motivati da fini ideologici o economici, l’operato destabilizzante di questi cyber-criminali va ad aggiungersi alle vulnerabilità delle infrastrutture critiche. Il caso di Colonial Pipeline ha segnato un importante precedente nel panorama delle minacce provenienti dal mondo cibernetico, ma non è l’unico esempio. Neanche un mese dopo l’incidente, un altro ransomware, condotto da un altro gruppo hacker russo, REvil, ha mandato fuori uso i server di supporto ai sistemi IT nordamericani e australiani del colosso della lavorazione della carne JBS, causando lo stop della produzione negli impianti.

L’inaspettata vulnerabilità di queste infrastrutture ha spinto il presidente Biden ad esporsi ulteriormente con la consegna direttamente al presidente Putin di un elenco di 16 infrastrutture critiche da considerare “off-limits” per gli hacker russi. Questo gesto è un chiaro segnale che gli Stati Uniti sono pronti a mettere in atto tutte le misure necessarie per la difesa delle proprie infrastrutture, il cui attacco potrebbe avere un effetto “destabilizzante per la sicurezza, la sicurezza dell’economia nazionale, la sicurezza o salute nazionale pubblica”.

Foto di copertina EPA/JIM LO SCALZO