Un tempo i ransomware cercavano soltanto di guadagnare soldi facili, ricattando vittime indifferenziate attraverso la crittografia dei loro dati o altri metodi di blocco dei loro computer o smartphone. Oggi sono una minaccia complessa e diversificata, che sempre più spesso, oltre alla monetizzazione immediata, ha anche obiettivi di furto dati estesi dallo spionaggio industriale fino al boicottaggio delle aziende colpite. Una nuova analisi di Mandiant svela che circa un ransomware su sette punta a dati critici di Operation Technology (OT), presenti non soltanto nel settore della produzione industriale ma anche nelle infrastrutture critiche, nell’oil&gas, nell’aerospaziale, nei trasporti, nell’ingegneria e in altri ambiti.
Molte le conseguenze: il furto di dati OT critici può interrompere l’operatività dei servizi, può causare danni di reputazione e problemi legali, con tanto di multe da pagare, e inoltre può violare la privacy di dipendenti aziendali e clienti. Mandiant parla di “estorsione multiforme”, a indicare le molte finalità di ricatto portate avanti dai cybercriminali, e nel 2021 sarebbero almeno 1.300 le vittime di questo fenomeno.
Tipicamente, ciascuna violazione frutta agli autori terabyte di dati rubati, che vengono poi pubblicati online su siti di data leak o di “pubblico ludibrio” (shaming site). Analizzando un campione semi-randomizzato di questi database, sia tramite tecnologie automatiche sia manualmente, i ricercatori di Mandiant hanno trovato una quantità significativa di documentazione OT sensibile: diagrammi di rete, schemi ingegneristici, immagini di pannelli di controllo, informazioni su servizi di terze parti, password di amministratori, e poi ancora dati relativi ai processi industriali, ai progetti in corso e anche ai dipendenti.
Tra i casi specifici descritti ci sono un costruttore di treni (a cui sono state rubate credenziali d’accesso, documenti vari e file di backup), due organizzazioni del settore oil & gas (documentazione dettagliata su reti e processi), un integratore di sistemi di controllo (documenti ingegneristici su progetti di loro clienti), un produttore di energia idroelettrica (dati finanziari e contabili, ma anche liste di nomi, email e credenziali d’accesso dei dipendenti), un fornitore di servizi di geolocalizzazione (diagrammi di prodotto, schermate e codice sorgente della piattaforma proprietaria), un produttore di energia rinnovabile (contratti tra l’azienda e i suoi clienti).
La stessa Mandiant ammette che se l’investigazione avesse scavato più a fondo, non limitandosi a un campione rappresentativo, avrebbe probabilmente scoperto ulteriori furti. Già da questa analisi è comunque possibile desumere che, tra le aziende industriali colpite da ransomware, una su sette abbia subìto anche il furto di dati critici di tecnologia operativa. Una volta pubblicati online, questi dati diventano un trampolino di lancio non soltanto per le attività dei ricercatori di cybersicurezza, come in questo caso, ma anche per gli operatori concorrenti dell’azienda vittima o, quel che è peggio, per altri attori cybercriminali.