A seguito di mesi in cui Mandiant ha rilevato e analizzato terabyte di dati, trafugati e pubblicati sul dark web nel corso di attacchi ransomware, gli esperti dell’azienda hanno scoperto che 1 leak su 7 subito dalle organizzazioni con impianti industriali ha comportato la pubblicazione di documentazione critica sui sistemi di Operational Technology (OT).
Tra le informazioni critiche identificate durante l’analisi di circa 70 leak, Mandiant ha identificato:
- Credenziali amministrative di un sistema OEM; backup di file relativi a progetti per Siemens TIA Portal PLC, etc.. provenienti da un’azienda produttrice di treni merci e passeggeri;
- elenco di nomi, e-mail, privilegi degli utenti e alcune password sia di dipendenti del settore IT sia di alcuni operatori addetti alla manutenzione degli impianti, che lavorano presso un produttore di energia idroelettrica;
- Documentazione approfondita della rete e dei processi, inclusi diagrammi, Hazardous Materials Identification System (HMIS), fogli di calcolo etc.. di due organizzazioni operanti nel settore Oil&Gas.
Dato che i diversi gruppi ransomware tipicamente pubblicizzano i loro nuovi leak e li divulgano nei forum o sui social media, chiunque abbia accesso a un Tor Browser può visitare questi siti e scaricare le informazioni, rendendo l’impatto di queste fughe di dati potenzialmente dannose per le organizzazioni anche per gli anni a venire.
Gli esperti di Mandiant affermano che: “Anche se i dati OT esposti possono risultare relativamente vecchi, la durata media dei sistemi OT varia dai venti ai trent’anni, con il risultato che i data leak subiti restano pericolosi per decenni, molto più a lungo delle informazioni pubblicate a seguito di attacchi a infrastrutture IT”.