Mandiant Threat Intelligence ha recentemente trovato una serie di documenti OT sensibili pubblicati su siti di estorsione. L’indagine, frutto di un’attenta osservazione proseguita per il tutto il 2021, rileva che il trend in atto ha avuto un impatto su oltre 1.300 organizzazioni dei settori delle infrastrutture critiche e della produzione industriale.
A seguito di mesi in cui Mandiant ha rilevato e analizzato terabyte di dati, trafugati e pubblicati sul dark web nel corso di attacchi ransomware, gli esperti della società hanno scoperto che 1 leak su 7 subito dalle organizzazioni con impianti industriali ha comportato la pubblicazione di documentazione critica sui sistemi di Operational Technology (OT).
Tra le informazioni critiche emerse durante l’analisi di circa 70 leak, Mandiant ha identificato:
- credenziali amministrative di un sistema OEM; backup di file relativi a progetti per Siemens TIA Portal PLC, etc. provenienti da un’azienda produttrice di treni merci e passeggeri;
- un elenco di nomi, e-mail, privilegi degli utenti e alcune password sia di dipendenti del settore IT sia di alcuni operatori addetti alla manutenzione degli impianti, che lavorano presso un produttore di energia idroelettrica;
- documentazione approfondita della rete e dei processi, inclusi diagrammi, Hazardous Materials Identification System (HMIS), fogli di calcolo etc. di due organizzazioni operanti nel settore Oil&Gas.
Dato che i diversi gruppi ransomware tipicamente pubblicizzano i loro nuovi leak e li divulgano nei forum o sui social media, chiunque abbia accesso a un Tor Browser può visitare questi siti e scaricare le informazioni, rendendo l’impatto di queste fughe di dati potenzialmente dannose per le organizzazioni anche per gli anni a venire.
Gli esperti di Mandiant affermano che: “Anche se i dati OT esposti possono risultare relativamente vecchi, la durata media dei sistemi OT varia dai venti ai trent’anni, con il risultato che i data leak subiti restano pericolosi per decenni, molto più a lungo delle informazioni pubblicate a seguito di attacchi a infrastrutture IT”.
