Gli hacker di DarkSide tornano in azione: il gruppo dietro il maxi-attacco informatico all’oleodotto Colonial Pipeline ha preso di mira il colosso giapponese dell’alta tecnologia Toshiba. Lo ha annunciato sul dark web la stessa organizzazione di cyber-criminali con sede in Russia (ma che si definisce “apolitica”), secondo quanto riferito all’emittente giapponese Nhk dalla società di sicurezza informatica Mitsui Bussan Secure Directions. DarkSide afferma di aver sottratto 740 gigabyte di informazioni riservate e dati personali dalla filiale francese di Toshiba.
Ancora un attacco ransomware, colpite le filiali in Europa
DarkSide è un’organizzazione di cyber-criminali che basa i suoi attacchi sul ransomware: cripta e sottrae tramite malware dati sensibili dalle aziende prese di mira e chiede il pagamento di un riscatto per decriptare e restituire i dati. Senza riscatto i dati verrebbero resi di dominio pubblico su web.
Toshiba ha affermato di aver ricevuto da cinque delle sue sussidiarie europee la segnalazione di attacchi informatici da parte del gruppo di hacker. In attesa che vengano confermate le stime su eventuali informazioni sottratte e danni ai sistemi informatici, la controllata Toshiba Tec, che produce dispositivi elettronici aziendali, ha confermato la perdita di un numero ancora da stimare di dati sensibili.
L’oleodotto Colonial Pipeline torna operativo
Intanto negli Stati Uniti Colonial Pipeline ha comunicato di essere tornata alla “normale e piena operatività”. La società ha spiegato su Twitter di aver cominciato le operazioni di ripristino che hanno consentito la consegna di “milioni di galloni ogni ora ai mercati che serviamo”.
“Dall’inizio di questo incidente”, ha spiegato Colonial Pipeline sul social media, “il nostro obiettivo era il ripristino sicuro ed efficiente del servizio al nostro sistema di distribuzione. Questo è ciò che abbiamo ottenuto grazie all’impegno e alla dedizione dei numerosi membri del team Colonial”.
Gli hacker (l’Fbi ha confermato DarkSide come autori dell’attacco) tenevano in “ostaggio” 100 Gb di dati e hanno costretto Colonial a interrompere le forniture, causando lo stato di emergenza in tre degli Stati serviti e uno stress sui prezzi del petrolio. L’azienda (secondo quanto riferito dai media Usa) ha pagato un riscatto di 5 milioni di dollari in Bitcoin e altre criptovalute per sbloccare e riprendere possesso dei dati sottratti e tornare online.
Trenta affiliati nel gruppo DarkSide
“Ci sono circa 30 gruppi attivi all’interno di DarkSide che cercando di hackerare le aziende e questa volta hanno sferrato l’attacco con successo contro Toshiba”, ha affermato Takashi Yoshikawa, a senior malware analyst di Mitsui Bussan Secure Directions.
L’organizzazione di cyber-criminali ha sede in Russia. Si dice non legata al Cremlino, ma evita di prendere di mira aziende russe, sottolineano gli esperti di sicurezza. Le sue “affiliate” cercano di violare target negli altri Paesi e l’organizzazione centrale conduce poi le trattative per il riscatto.
Secondo fonti del Wall Street Journal DarkSide avrebbe detto in questi giorni ai propri affiliati che il gruppo sarebbe in procinto di sciogliersi. Reuters riporta che al momento il sito web “ufficiale” di DarkSide è inaccessibile.
