Il porto di Seattle colpito dal ransomware Rhysida nell'attacco informatico dell'agosto 2024
In un attacco ransomware mirato, il porto di Seattle, che gestisce il porto marittimo della città e l'aeroporto internazionale di Seattle-Tacoma, è caduto vittima della famigerata gang ransomware Rhysida ad agosto. L'incidente, che ha interrotto i sistemi critici, è stato confermato dall'agenzia tre settimane dopo la violazione iniziale, colpendo varie operazioni all'aeroporto, tra cui i sistemi di prenotazione e i check-in dei voli.
Sommario
Impatto sulle operazioni e sulla risposta
Il porto di Seattle ha reso noto il 24 agosto di aver isolato alcuni sistemi essenziali per ridurre al minimo i danni causati dall'attacco. Questa misura precauzionale ha portato a interruzioni del servizio, che hanno avuto un impatto notevole sui servizi passeggeri presso l'aeroporto internazionale di Seattle-Tacoma. I ritardi sono andati dall'interruzione dei processi di check-in alle interruzioni del sistema che hanno interessato gli orari dei voli.
Tre settimane dopo la violazione, il porto ha confermato ufficialmente che Rhysida, un'organizzazione criminale coinvolta in attacchi ransomware , era responsabile dell'attacco. In un comunicato stampa, hanno assicurato al pubblico che non si era verificato alcun accesso non autorizzato dall'attacco iniziale, sottolineando che era ancora sicuro viaggiare attraverso le loro strutture. La risposta dell'agenzia ha incluso la disconnessione dei sistemi, che ha contribuito a prevenire un'ulteriore diffusione del ransomware ma ha causato interruzioni temporanee in una serie di servizi, tra cui la movimentazione dei bagagli, i chioschi per il check-in e i tabelloni per i passeggeri. L'attacco ha anche paralizzato il sito web del porto, il Wi-Fi e i servizi dell'app mobile come l'app flySEA e i sistemi di parcheggio riservati.
Sforzi di recupero e inosservanza delle richieste di riscatto
La maggior parte dei sistemi interessati è stata ripristinata entro una settimana dall'attacco, sebbene alcuni servizi critici, come il sito web del porto di Seattle e le funzionalità dell'app mobile, siano ancora in fase di elaborazione. Nonostante l'ampia interruzione, il porto di Seattle ha preso una posizione ferma contro il pagamento del riscatto richiesto dalla gang di Rhysida. Il direttore esecutivo Steve Metruck ha chiarito che il porto non ha intenzione di cedere alle richieste dei criminali informatici, affermando che pagare il riscatto andrebbe contro i valori del porto e la sua responsabilità nei confronti dei contribuenti.
La decisione di non pagare il riscatto lascia aperta la possibilità che i dati rubati vengano pubblicati sul sito di fuga di notizie del dark web degli aggressori. Tuttavia, la dirigenza del Port ha dato priorità ai principi di sicurezza informatica e alla gestione etica dei fondi pubblici, piuttosto che soccombere alle richieste dei criminali di una chiave di decrittazione.
La crescente minaccia di Rhysida e un'ondata globale di criminalità informatica
Rhysida è un player relativamente nuovo nell'ecosistema ransomware-as-a-service (RaaS), emerso per la prima volta a maggio 2023. Nonostante il suo recente arrivo, il gruppo ha rapidamente fatto notizia violando obiettivi di alto profilo come la British Library e l'esercito cileno, posizionandosi come una significativa minaccia per la criminalità informatica. Negli Stati Uniti, la gang è stata collegata ad attacchi a organizzazioni sanitarie, come notato dal Department of Health and Human Services (HHS). Inoltre, agenzie federali come CISA e l'FBI hanno emesso avvertimenti sulle tattiche aggressive di Rhysida, che prendono di mira un'ampia gamma di settori.
Tra i recenti attacchi di alto profilo c'è una violazione presso la sussidiaria di Sony, Insomniac Games, dove sono trapelati oltre 1,6 TB di dati sensibili dopo che la società si è rifiutata di pagare un riscatto di 2 milioni di dollari. Altre vittime includono la città di Columbus, Ohio, e il Singing River Health System, che è stato costretto a notificare a quasi 900.000 persone che i loro dati erano stati compromessi durante un attacco dell'agosto 2023.
L'incidente del porto di Seattle serve come ulteriore promemoria della crescente influenza di Rhysida e della crescente minaccia del ransomware in vari settori. Poiché la sicurezza informatica rimane una delle principali preoccupazioni per le istituzioni pubbliche e private, incidenti come questo evidenziano l'importanza di misure di sicurezza robuste e le sfide poste da gang di ransomware come Rhysida.