Azienda leader nei missili nucleari è stata violata con ransomware Maze

4 Giugno 2020 - Tempo di lettura: 36 minuti

Gli Stati Uniti sono protetti da quella che è conosciuta come una triade nucleare: una forza di attacco su tre fronti composta da missili nucleari lanciati a terra, missili nucleari su sottomarini e aerei dotati di bombe e missili nucleari.

Una delle gambe della triade - il missile balistico intercontinentale LGM-30 Minuteman terrestre (ICBM) - è stata presa a calci dagli hacker che hanno inflitto il ransomware Maze sulla rete informatica di un appaltatore di Northrup Grumman.

Mercoledì Sky News ha riferito che l'appaltatore, Westech International, ha confermato che è stato violato e che i suoi computer sono stati crittografati. Non è ancora chiaro se gli estorsori siano riusciti a rubare informazioni militari classificate. Sono ancora in corso indagini per identificare esattamente ciò con cui sono riusciti a estrapolare.

Tuttavia, gli aggressori hanno già fatto trapelare file che suggeriscono di avere accesso a dati sensibili - inclusi buste paga ed e-mail - che hanno copiato prima di crittografarli, riferisce Sky News. Stanno minacciando di pubblicare tutti i file.

L'accesso non autorizzato ai dati sui missili nucleari balistici intercontinentali sarebbe abbastanza grave, ma a seconda di ciò a cui gli attaccanti hanno avuto accesso, l'attacco potrebbe avere ripercussioni ancora più serie, dato l'elenco dei clienti di Westech.

Tale elenco comprende le filiali militari statunitensi, le agenzie di infrastrutture governative e i principali appaltatori militari, tra cui l'esercito, l'aeronautica militare, la marina, le agenzie di servizi congiunti, il dipartimento del commercio, il dipartimento dell'energia, l'amministrazione dei servizi generali, Booz Allen Hamilton, General Dynamics Informatica, Lockheed Martin Information Technology e altro.

Missili Minuteman III

I missili Minuteman III sono immagazzinati in centinaia di strutture di lancio sotterranee protette gestite dall'Air Force Global Strike Command. Secondo quanto riferito, Westech fornisce a Northrup Grumman supporto tecnico e di manutenzione per i missili.

Ogni ICBM contiene più testate termonucleari che possono essere consegnate oltre 6.000 miglia: approssimativamente, circa un quarto della circonferenza del pianeta o, come osserva Sky News, la distanza tra Londra e Buenos Aires. Possono raggiungere velocità fino a Mach 23: 28.576 miglia / 28.176 chilometri all'ora.

Non sono stati resi noti i tempi dell'attacco, le richieste di estorsione e la pubblicazione dei dati sensibili di Westech. L'azienda ha riferito a Sky News di aver avviato immediatamente un'indagine e di aver contenuto i suoi sistemi dopo aver appreso dell'hacking. Sta inoltre lavorando con una società forense indipendente di computer per "analizzare i suoi sistemi per qualsiasi compromesso e per determinare se qualsiasi informazione personale è a rischio".

Secondo quanto riferito, Northrup Grumman e il Dipartimento della Difesa (DoD) hanno rifiutato di commentare.

Informazioni su Maze

Ransomware Maze è una nuova varietà di ransomware che è stata anche recentemente utilizzata contro Cognizant, una grande società americana di servizi IT che ha rivelato di essere caduta vittima ad aprile.

Westech International è solo l'ultimo di una serie di attacchi Maze. Come descritto da SophosLabs il mese scorso in un rapporto intitolato Maze ransomware: estorsione delle vittime per 1 anno e più, Maze è stato di recente abbastanza spesso nelle notizie, in particolare perché la banda che l'ha creato è stata all'avanguardia di una nuova ondata di "doppio -whammy "attacchi ransomware.

Ecco come funziona, secondo Paul Ducklin di Naked Security: I truffatori ti affrontano non con uno ma due motivi per pagare i soldi dell'estorsione:

• Paga per ottenere la chiave di decrittazione per recuperare i tuoi preziosi file, che abbiamo combinato con il malware.
• Paga per impedirci di rilasciare i tuoi preziosi file, di cui abbiamo preso delle copie prima di rimescolarli.

La saga di Westech è in linea con il modo in cui funzionano gli hacker di Maze: seguono le minacce dell'esposizione pubblica dei dati rubati pubblicandoli in dump di dati pubblici. Se non è previsto alcun pagamento, lo offriranno sui forum sulla criminalità informatica. Dal rapporto SophosLabs:

La banda di Maze ha reso l'esposizione pubblica al centro della propria identità di "marchio" e attivamente attira l'attenzione della stampa e dei ricercatori per promuovere il proprio marchio e rendere più facile per le vittime che potrebbero esitare a pagare per scoprire la loro reputazione.

"Identità aziendale?" Oh sì, in tutta la sua gloria animata. Il ransomware esiste da più di un anno, sebbene originariamente fosse conosciuto semplicemente come ChaCha, dopo l'algoritmo di crittografia utilizzato. Nel maggio 2019, i suoi operatori criminali hanno adottato il suo nome attuale, Maze, e hanno creato il loro marchio visivo:

Mercoledì ho fatto il check-in con Westech International per vedere come sta andando con il suo recupero, se ci sono aggiornamenti sulle sue indagini e cosa potrebbe pensare il contraente di fronte al pagamento del riscatto - una somma che non è stata divulgata. Aggiornerò questo articolo se risentirò.

Pagare o pregare?

La risposta, in breve, è Please Don't Pay. Ci sono ottime ragioni per non farlo.

Secondo lo studio globale sullo stato del Ransomware 2020 condotto all'inizio di quest'anno per conto di Sophos, il pagamento dei riscatti costa più che il ripristino dei dati mediante i backup.

Potresti chiedere come potrebbe essere, dato che i tempi di inattività sono spesso citati come la parte più costosa di un attacco di ransomware. La logica è semplicemente che il costo del recupero è sempre elevato, con una media di $ 732.000. Pagare il riscatto in più semplicemente raddoppia il conto.

Come notato da John E. Dunn di Naked Security, questo spiega perché gli estorsori inviano quasi sempre le chiavi di crittografia quando vengono pagati: se non lo facessero, i dubbi delle vittime “distruggerebbero rapidamente l'intera racchetta di estorsione mentre le aziende si tiravano giù per fare il duro lavoro loro stessi."

Ciò potrebbe spiegare perché gli aggressori di ransomware minacciano sempre più di sottrarre dati sensibili rubati durante l'attacco, come è stato fatto nell'incidente di Westech: la minaccia è un ulteriore incentivo a pagare.

Cosa fare?

Le organizzazioni non dovrebbero disperare. Esistono modi per limitare l'effetto degli attacchi ransomware. Il primo passo: supponi che un attacco sia inevitabile e preparati per questo.

Il nostro consiglio:

• Crea e testa un piano di backup, inclusa la memorizzazione di dati fuori sede in cui gli aggressori non riescono a individuarli.
• Se stai acquistando la cyber-assicurazione, assicurati che copra il ransomware.
• Non dimenticare di proteggere i dati nel cloud e i dati centrali.
• Usa una protezione anti-ransomware dedicata. Il 24% degli intervistati colpiti da ransomware è stato in grado di fermare l'attacco prima che i dati potessero essere crittografati.
• Bloccare Remote Desktop Protocol (RDP). Le bande criminali sfruttano le deboli credenziali dei PSR per lanciare attacchi ransomware mirati. Disattiva RDP se non ne hai bisogno e usa la limitazione della velocità, l'autenticazione a due fattori (2FA) o una rete privata virtuale (VPN) se lo usi.
• Scegli password complesse e utilizza l'autenticazione a più fattori (MFA) il più spesso possibile. E non riutilizzare mai le stesse password, mai.
• Aggiorna subito e spesso. Ransomware come WannaCry e NotPetya si sono affidati a vulnerabilità senza patch per diffondersi in tutto il mondo.