Il gruppo russo Clop attacca le agenzie governative USA

Ieri, ufficiali della Cybersecurity degli Stati Uniti hanno dichiarato che una "piccola quantità" di agenzie governative sono state colpite da violazioni di dati come parte di una vasta campagna di hacking. Il colpevole probabilmente è il gruppo di ransomware Clop, con base in Russia. Questo gruppo di cybercriminali ha approfittato di una vulnerabilità nel servizio di trasferimento di file MOVEit per ottenere dati preziosi dalle sue vittime, tra cui Shell, British Airways e la BBC. Tuttavia, il mirare alle agenzie governative degli Stati Uniti potrebbe solo intensificare la vigilanza delle forze dell'ordine globali su questi cybercriminali, già sotto i riflettori per la loro recente ondata di attacchi hacker.

Risposta degli organi di sicurezza alla minaccia cyber

Progress Software, proprietaria di MOVEit, ha corretto la vulnerabilità alla fine di maggio. L'Agenzia per la Sicurezza della Cybersecurity e delle Infrastrutture degli Stati Uniti (CISA), in collaborazione con l'FBI, ha rilasciato un avviso il 7 giugno sulla sfruttamento di Clop e sulla necessità urgente per tutte le organizzazioni, pubbliche e private, di correggere il difetto. Un alto funzionario della CISA ha informato i giornalisti ieri che tutte le istanze di MOVEit del governo degli Stati Uniti sono state ora aggiornate.

Vittime della campagna di hacking e azione CISA

I funzionari della CISA si sono rifiutati di rivelare quali agenzie degli Stati Uniti siano vittime della campagna, ma hanno confermato che il Dipartimento dell'Energia ha notificato alla CISA che è tra queste. CNN ha ulteriormente riportato che l'ondata di attacchi ha colpito i dati delle patenti di guida e identificazione di milioni di residenti in Louisiana e Oregon. In passato, Clop ha rivendicato attacchi contro i governi statali del Minnesota e dell'Illinois.

Analisi dell’attacco e implicazioni per le relazioni Stati Uniti-Russia

"Ci stiamo attualmente occupando di fornire supporto a diverse agenzie federali che hanno subito intrusioni nelle loro applicazioni MOVEit", ha detto la direttrice della CISA, Jen Easterly, ai giornalisti giovedì. “In base alle discussioni che abbiamo avuto con i partner del settore nel Joint Cyber Defense Collaborative, queste intrusioni non stanno venendo utilizzate per ottenere un accesso più ampio, per ottenere la persistenza nei sistemi bersaglio, o per rubare informazioni specifiche ad alto valore - in sintesi, come lo capiamo, questo attacco è in gran parte opportunistico.”

Nonostante il passato da attore ransomware standard del Clop, noto per trovare ed esplorare vulnerabilità in software ed attrezzature diffusamente utilizzate per rubare informazioni da vari business ed istituzioni e poi lanciare campagne di estorsione dati contro di essi, la CISA non ha visto minacce da parte di Clop di rilasciare dati rubati dal governo degli Stati Uniti. Inoltre, un alto ufficiale della CISA, che ha parlato ai giornalisti a condizione di rimanere anonimo, ha affermato che al momento non ci sono prove che Clop stia coordinandosi con il governo russo. Clop, per la sua parte, ha dichiarato di concentrarsi sulle imprese e di cancellare qualsiasi dato proveniente da governi o forze dell'ordine.

Nonostante l’assenza di una coordinazione diretta tra il Cremlino e Clop, le ricerche hanno continuamente evidenziato legami tra il governo russo e i gruppi di ransomware. In base a queste disposizioni, questi sindacati possono operare dalla Russia impunemente, a patto di non colpire vittime nel paese e di rispettare l'influenza del Cremlino. Clop cancella davvero i dati che raccoglie dalle vittime governative? Allan Liska, analista per la società di sicurezza Recorded Future specializzata in ransomware, sostiene che sia "altamente probabile" che qualsiasi informazione che Clop raccoglie dal governo degli Stati Uniti o da altri obiettivi di interesse sia condivisa con il Cremlino.