Il 10 dicembre 2024, il Dipartimento del Tesoro degli Stati Uniti ha annunciato sanzioni contro la società cinese Sichuan Silence e uno dei suoi dipendenti, Guan Tianfeng, per il loro ruolo in un attacco ransomware avvenuto nel 2020. L’attacco ha coinvolto la sfruttazione di una vulnerabilità zero-day nei firewall Sophos XG, compromettendo oltre 81.000 dispositivi in tutto il mondo, tra cui oltre 23.000 in territorio statunitense.
Il Ruolo di Sichuan Silence
Sichuan Silence è una società di cybersecurity con sede a Chengdu, che fornisce servizi di computer network exploitation, cracking di password tramite forza bruta, monitoraggio di posta elettronica e soppressione di sentimenti pubblici. La società è stata recentemente profilata dalla squadra Natto Thoughts e fornisce prodotti e servizi a clienti di rilievo, inclusi i servizi di intelligence cinesi.
L’Attacco Ransomware
Nel corso dell’attacco, Guan Tianfeng, un dipendente di Sichuan Silence e noto security researcher, ha sfruttato una vulnerabilità zero-day nei firewall Sophos XG. Questa vulnerabilità, denominata CVE-2020-12271, è stata scoperta da Guan Tianfeng e successivamente utilizzata per deploare malware su circa 81.000 firewall in uso da migliaia di aziende in tutto il mondo.
Impatto Sull’Infrastruttura Critica
Tra i dispositivi compromessi, oltre 23.000 erano situati negli Stati Uniti, con 36 di essi protettendo le reti di aziende di infrastruttura critica. Uno dei bersagli dell’attacco era una società energetica impegnata nelle operazioni di perforazione. Se l’attacco ransomware non fosse stato fermato, potrebbe essere stato causato un significativo rischio per la vita umana, poiché i rig di perforazione potrebbero essere stati interrotti.
Sanzioni e Indagini
In risposta all’attacco, il Dipartimento del Tesoro ha sanzionato Sichuan Silence e Guan Tianfeng, bloccando tutte le transazioni che coinvolgono proprietà statunitensi e interessi legati a Guan e Sichuan Silence. Il Dipartimento di Giustizia ha anche indagato Guan Tianfeng per il suo ruolo nell’attacco, mentre il Dipartimento di Stato ha offerto un premio di fino a 10 milioni di dollari per informazioni riguardanti Sichuan Silence o Guan Tianfeng attraverso il programma Rewards for Justice.
Suggerimenti e Consigli per la Sicurezza
- Monitoraggio Continuo delle Vulnerabilità:
- Assicurarsi di monitorare costantemente le vulnerabilità dei sistemi per evitare di essere colpiti da attacchi zero-day.
- Patch dei Dispositivi:
- Applicare tempestivamente le patch dei software per proteggere i dispositivi dai vulnerabilità note.
- Backup dei Dati:
- Eseguire regolarmente backup dei dati importanti per poter ripristinare i sistemi in caso di un attacco ransomware.
- Formazione e Consapevolezza:
- Offrire formazione e consapevolezza ai dipendenti riguardo alle minacce di cybersecurity e alle strategie di protezione.
- Implementazione di Sicurezza Avanzata:
- Utilizzare tecnologie di sicurezza avanzate come i sistemi di rilevamento delle minacce e i firewall configurati correttamente.
- Collaborazione con le Autorità:
- Collaborare con le autorità di sicurezza per condividere informazioni e migliorare la risposta alle minacce.
- Test di Sicurezza Periodici:
- Eseguire test di sicurezza periodici per identificare e correggere vulnerabilità prima che vengano sfruttate dagli attaccanti.
- Utilizzo di Software di Sicurezza:
- Utilizzare software di sicurezza affidabili, come antivirus e firewall, per proteggere i sistemi da malware e attacchi ransomware.
- Formazione Continua:
- Assicurarsi che i dipendenti ricevano formazione continua sulla sicurezza informatica per mantenere le conoscenze aggiornate.
- Pianificazione di Emergenza:
- Creare un piano di emergenza per gestire situazioni di crisi, inclusa la risposta a un attacco ransomware.
L’attacco di Sichuan Silence rappresenta un esempio chiaro delle minacce che le aziende di infrastruttura critica possono affrontare. È essenziale che le organizzazioni implementino strategie di sicurezza robuste e continuino a monitorare le vulnerabilità per proteggere i propri sistemi e dati. La collaborazione con le autorità e la formazione continua sono fondamentali per affrontare efficacemente le minacce di cybersecurity.
