Il grande attacco ransomware che venerdì scorso fa negli Stati Uniti ha colpito la rete di oleodotti di Colonial Pipeline potrebbe essere opera di hacker russi. Ne è convinta l’Fbi, che ha additato pubblicamente come responsabili i membri della gang criminale nota come DarkSide. Un’accusa che certo non facilita la distensione dei rapporti diplomatici, già tesi, tra la Casa Bianca e il Cremlino.

L’incidente è uno dei più eclatanti casi di attacco informatico andato a bersaglio su una infrastruttura critica, con pesanti conseguenze sull’operatività e sull’erogazione del servizio. Colonial Pipeline è stata costretta a sospendere l’erogazione sugli 8.550 chilometri della sua rete, che veicola quasi la metà del fabbisogno di benzina, gasolio e altri petroliferi della Costa Est statunitense. La rete parte dal Golfo del Messico per portare carburanti su tutta la East Coast.

Sulle dinamiche dell’accaduto poco si sa, se non che il ransomware ha “temporaneamente fermato tutte le operazioni degli oleodotti e colpito parte del nostro sistema IT”, come ammesso dall’azienda. “Colonial Pipeline si sta muovendo per comprendere e risolvere il problema. Al momento, il nostro focus primario è la ripresa sicura ed efficiente del nostro servizio”. La società ha poi fatto ha fatto sapere di aver attivato “alcuni sistemi per contenere la minaccia”. In seguito all’attacco, il prezzo della benzina è schizzato alle stelle, per poi riscendere dopo le rassicurazioni di Colonial Pipe (il cui sito Web tuttora risulta irraggiungibile) e dopo che il Dipartimento dei Trasporti statunitense ha autorizzato gli autotrasportatori a fare gli straordinari per consegnare carburanti sopperendo all’interruzione di attività degli oleodotti.

“È ormai evidente come gli approcci tradizionali alla sicurezza dei sistemi di controllo industriale non siano più sufficienti”, ha commentato Max Heinemeyer, director of threat hunting di Darktrace, “e l'attacco ransomware a Colonial Pipeline dovrebbe essere un segnale chiaro per tutti i fornitori di infrastrutture critiche nazionali nel mondo. Se è vero che l’incidenza delle minacce ransomware sta aumentando in tutti i settori, l’aggravante nell’industria Oil & Gas è che un attacco di questo tipo non solo causa interruzioni diffuse e blocchi forzati, ma rischia di mettere in pericolo anche l'ambiente, per non parlare delle vite umane”.

Ma chi è stato? Citando due anonime “fonti informate sui fatti”, Nbcnews riferisce che un gruppo di criminali russi “potrebbe essere responsabile dell’attacco ransomware”. Si tratterebbe appunto di DarkSide, un collettivo cybercriminale formatosi in tempi relativamente recenti, che agisce con un “approccio sofisticato” e con finalità di estorsione. Secondo quanto riportato da Reuters, il gruppo ha un proprio sito sul dark Web in cui elenca i propri successi, sostiene di aver guadagnato milioni di dollari tramite ransomware e cita nomi di vittime di ransomware che si sono rifiutate di pagare il riscatto.

Non si può comunque affermare che l’attacco a Colonial Pipeline sia stato “sponsorizzato” (come si suol dire) dal governo di Putin. Ma in fondo questo conta relativamente. “Che lavorino o no per lo Stato è sempre più irrilevante, considerando l’ovvia politica della Russia nel proteggere e tollerare il cybercrimine”, ha commentato Dmitri Alperovitch, cofondatore di CrowdStrike. Intanto da Washington il presidente Joe Biden ha dichiarato che “al momento non ci sono le prove che il governo russo sia implicato nella vicenda”.