L’incursione ransomware ai danni del Pentagono solleva preoccupazioni sulla cybersecurity nazionale.
Il Dipartimento della Difesa americano sta attualmente affrontando un’emergenza cybersecurity di vasta portata, segnata dall’audace affermazione del gruppo ransomware ALPHV, noto anche come BlackCat. Essi sostengono di aver sottratto e minacciato di diffondere circa 300 gigabyte di dati sensibili appartenenti alla compagnia di servizi IT con base in Virginia, Technica, conosciuta per aver lavorato a stretto contatto con il governo federale e compromettendo informazioni legate all’Agenzia per la Sicurezza e la Controspionaggio Difensivo, che si occupa di indagini di sfondo e analisi delle minacce interne.
Questo presunto furto digitale ha messo in luce una serie di documenti particolarmente delicati, tra cui nomi, numeri di previdenza sociale, livelli di autorizzazione e informazioni relative alle posizioni lavorative e ai luoghi di lavoro di decine di individui. I documenti esposti comprendono fatture, contratti che coinvolgono entità che vanno dall’FBI all’U.S. Air Force, nonché informazioni relative a entità private e strutture che contrattano con il governo degli Stati Uniti.
La minaccia degli aggressori è chiara: se Technica non avvia un dialogo, i dati verranno o venduti o resi pubblici. Di fronte a ciò, Sue Gough, portavoce del Dipartimento della Difesa, ha confermato che l’agenzia è al corrente delle accuse relative a questi eventi e sta coordinando con gli enti legali e di sicurezza appropriati per confrontare le preoccupazioni, ma ha declinato di commentare la posizione di sicurezza di qualsiasi struttura autorizzata o incidenti specifici di sicurezza.
Secondo Allan Liska, un ricercatore esperto di ransomware di Recorded Future, anche se le affermazioni dei gruppi ransomware vanno prese con cautela, il probabile attacco di ALPHV sembra essere “molto grave”. Sebbene non si parli di documenti classificati, il volume e la delicatezza delle informazioni compromesse potrebbero risultare significativi, soprattutto se utilizzati da attori statali per attività di targeting.
ALPHV gestisce un’operazione “ransomware-as-a-service”, in cui affiliati terzi utilizzano il malware e la piattaforma del gruppo per effettuare attacchi e dividere i profitti dal riscatto dei dati sequestrati. Il gruppo ha messo a segno più di mille compromissioni alla data di settembre 2023 e secondo il Dipartimento di Giustizia, si tratta della seconda operazione ransomware più prolifica al mondo, responsabile di estorsioni che ammontano a centinaia di milioni di dollari.
Fatti recenti dimostrano la portata dell’operatività del gruppo, tra cui l’attacco estorsivo a MGM Resorts e Caesars Entertainment di settembre 2023, che rimane uno dei loro blitz più noti. Sebbene l’FBI e altri partner internazionali abbiano affermato di aver sequestrato le infrastrutture di ALPHV, la banda ha prontamente dichiarato di aver “rimesso in gioco” il sito sequestrato e di aver revocato le restrizioni sull’attacco a infrastrutture critiche, benché già da tempo fossero immersi in aggressioni verso tali obiettivi.
Nonostante le azioni di contrasto, il sito di ALPHV rimane attivo, segnale della continua e inquietante presenza di minacce ransomware nelle cibernetica globale.