I ransomware, come sappiamo, continuano da anni a colpire indisturbati e sembra che le cose non siano destinate a migliorare, anzi.
Se è vero che si sente raramente parlare di attacchi contro strutture militari (forse anche perché difficilmente tali attacchi vengono denunciati) è anche vero che le catene logistiche e i fornitori delle organizzazioni militari sono sempre più colpite forse perché considerate più deboli o semplicemente perché è più facile far cassa senza troppo rumore.
La settimana scorsa è accaduto proprio questo, la società Westech International, sub-contractor di Northrup Grumman, ha confermato a Sky News di aver subito un attacco ransomware.
La società Westech International ha ammesso di aver subito un attacco per mezzo del ransomware Maze a seguito del quale molti dati sono stati cifrati, con richiesta dunque di riscatto.
La cosa più preoccupante è però un aspetto secondario di quanto accaduto, infatti i dati (o parte di essi) sono stati esfiltrati per provare la veridicità dell'attacco e resi pubblici: si tratta di dati in qualche modo collegati al sistema di dissuasione nucleare LGM-30 Minuteman III (ICBM), in servizio negli USA.
La pubblicazione on-line di parte dei dati cifrati può infatti avere il duplice scopo di provare la veridicità di quanto fatto ad un più ampio pubblico e di affacciarsi verso potenziali clienti interessati ai dati sottratti.
Secondo l'articolo si tratterebbe in particolare di elementi hacker russi che potrebbero aver collaborato con agenzie di spionaggio.
Indipendentemente da chi sia dietro l'atto in se e da quale fosse il vero obiettivo, resta il fatto che un attacco può essere perpetrato ai danni di una grande organizzazione colpendo uno degli anelli deboli della catena e la catena logistica civile è normalmente la più debole in quanto presenta una superficie d'attacco maggiore.
Mentre le procedure di lavoro, i sistemi informatici e il personale militare sono soggetti a controlli molto stringenti, non si può dire lo stesso per le società esterne, che necessitano, per la loro natura, di scambi informativi molto più frequenti con il mondo civile, dei fornitori e subfornitori, consulenti o con il mondo della ricerca, tutte cose che si traducono in debolezze.
Un altro aspetto importante del caso è da ricercarsi nella minaccia di pubblicare i dati sottratti, indubbiamente allo scopo di sollecitare il pagamento di un riscatto, probabilmente più alto del valore stesso dei dati sottratti, in considerazione della conseguente perdita di immagine, cosa ancor più importante per una società che lavora nel settore militare.
Non dimentichiamo inoltre che il sistema Minuteman III è un sistema di missili balistici nucleari distribuito sulla superficie terrestre e capace di trasportare diverse testate termonucleari ad una distanza di circa 10.000 km per mezzo di missili balistici capaci di raggiungere velocità prossime a Mach 23 (ovvero oltre 27.000 km/ora).
La perdita di informazioni sul sistema Minuteman III è dunque considerabile come una grave compromissione del sistema di deterrenza nucleare americano, basato come noto, su tre pilastri:
- terrestre - Minuteman III
- aereo - armi nucleari trasportate da bombardieri strategici
- navale - missile balistico Trident lanciato dai sommergibili nucleari
L'impiego dei sistemi digitali informatici presenta infatti sempre più spesso il conto sotto forma del cosiddetto capability-vulnerability paradox, ovvero l'aspetto negativo legato all'eccessivo sviluppo digitale che fa si che più i sistemi siano interconnessi e digitalizzati e maggiori siano i rischi cyber da affrontare.
La digitalizzazione e informatizzazione da una parte porta i benefici legati alla maggiore capacità di raccolta e trattamento di dati ma allo stesso modo porta tutti i rischi legati all'impiego delle tecnologie suddette.
Sophos, in uno studio spiega in dettaglio il funzionamento del ransomware Maze, mentre in un altro studio, "The State of Ransomware 2020" indica chiaramente che una buona poitica di backup è in linea di massima la scelta migliore per poter ripristinare i dati cifrati senza pagare alcun riscatto.
Naturalmente la cosa funziona se i dati non vengono esfiltrati, caratteristica di Maze, che unisce alla cifratura il fattore reputazionale legato alla minaccia di diffusione dei dati esfiltrati.
Come al solito: fatta la legge, trovato l'inganno!
Per approfondire:
- https://news.sky.com/story/hackers-steal-secrets-from-us-nuclear-missile...
- https://nakedsecurity.sophos.com/2020/06/04/nuclear-missile-contractor-h...
- https://news.sophos.com/en-us/2020/05/12/maze-ransomware-1-year-counting/
- https://cybersecurityreviews.net/2020/06/08/nuclear-missile-contractor-h...
Foto: U.S. Air Force