Ransomware: Italia sotto attacco

I ransomware sono uno dei principali problemi per la sicurezza informatica, come molti di noi probabilmente ben sanno, si tratta di malware che crittografano i dati delle vittime che poi subiscono una richiesta di riscatto per ripristinare l’accesso ai file. 

Le gang di cybercriminali usano vettori di attacco piuttosto comuni per infiltrarsi nei sistemi delle vittime. La principale minaccia è costituita dalle email di phishing, messaggi ben contraffatti che sembrano provenire da fonti affidabili che contengono link che, una volta cliccati, consentono al ransomware di infettare il sistema. 

Altra tecnica è quella di sfruttare le vulnerabilità dei dispositivi di rete non aggiornati od obsoleti che presentano vulnerabilità che i cybercriminali possono usare per accedere all’infrastruttura. Anche il download di software da fonti non affidabili o l’uso di applicazioni per smartphone di dubbia provenienza possono costituire un serio pericolo. In quest’ultimo caso ci sono app create ad hoc per rubare dati di accesso. Questa è una situazione pericolosa per tutte le aziende che non hanno una “corretta regolamentazione” degli accessi alla rete per i dispositivi privati del personale che spesso vengono connessi senza alcun controllo ai computer o alla rete Wi-Fi dell’infrastruttura. 

Difendersi è possibile? 

Sì, aziende esperte in cybersicurezza come HyperGrid sono in grado di fornire tutti gli strumenti per prevenire e risolvere gli attacchi. Citiamo per esempio le procedure di Vulnerability Assessment per la verifica della sicurezza dell’infrastruttura, i sistemi di rilevazione delle minacce sempre attivi come HyperSafe.  C’è poi un sistema come HyperCut che usa Firewall di nuova generazione e software IDPS (intrusion detection and prevention systems) progettati per rilevare e prevenire le eventuali intrusioni e tecnologie SIEM che provvedono al monitoraggio e alla gestione del sistema in tempo reale. Inoltre, grazie a questo servizio è possibile definire quali software e applicazioni gli utenti possono usare. HyperGrid fornisce anche sistemi di backup sicuri sul cloud e progetta soluzioni di Disaster Recovery che includono tutte le operazioni necessarie per il ripristino dei dati nel minor tempo possibile.

Resta comunque evidente che, oltre all’infrastruttura efficacemente protetta, una parte fondamentale nella prevenzione degli attacchi è la formazione del personale che deve essere in grado di riconoscere i principali pericoli insiti nella rete.

Attacchi critici alla sanità

La pratica del ransomware costituisce un enorme problema sia per le aziende private, sia per le pubbliche amministrazioni. In Italia è ormai evidente come i gruppi di cybercriminali sono attivi nel lanciare massicci attacchi contro le strutture sanitarie. Il mese di maggio è stato testimone di eventi critici in questo settore, prima con gli attacchi in Lombardia a Multimedica che hanno paralizzato ambulatori e l’ospedale San Giuseppe di Milano.  Infine, nella notte del 3 maggio, l’attacco devastante per la sua portata all’ASL 1 Abruzzo (Avezzano, Sulmona e L’Aquila) colpita (con successo) dai cybercriminali del gruppo Monti, che sono entrati nei sistemi con un ransomware bloccando il funzionamento dell’infrastruttura generando ritardi in diagnosi, cure e terapie. Nel momento in cui scriviamo si conoscono pochi dati sulle modalità di attacco, ma alcuni esperti ipotizzano che tutto abbia avuto inizio da un server di backup in loco. 

Se stabilire le modalità di attacco e le eventuali responsabilità sarà compito delle autorità preposte, quello che preme sottolineare è la gravità della situazione che per la sua portata appare come il più grave caso di ransomware mai avvenuto nel nostro Paese. 

Questo perché oltre al blocco dell’infrastruttura i cybercriminali sono riusciti a esfiltrare circa 500 GB di dati (a quando sembra non criptati) che contengono ogni genere di informazioni sulle infrastrutture mediche e sui pazienti. Per spingere al pagamento del riscatto i cybercriminali hanno iniziato a pubblicare nel darkweb parte dei dati che fanno letteralmente rabbrividire per la portata del danno. 

Ulteriore problema è che qualsiasi malintenzionato dotato di una buona conoscenza informatica può ora accedere a queste informazioni. Il 15 maggio si è arrivati all’apice della vicenda quando il gruppo Monti ha dichiarato di avere pubblicato tutti i dati rubati. Indubbiamente un forte deterrente per le prossime vittime che decideranno di non pagare il riscatto. 

Mentre lentamente l’operatività della struttura sta tornando alla normalità, i danni per quanto riguarda la privacy delle persone coinvolte è potenzialmente devastante. Gli esperti che hanno visionato i dati esposti indicano che si passa senza soluzione di continuità da documenti d’identità, tesi di laurea, password delle infrastrutture, interventi effettuati, referti e cartelle cliniche dei pazienti, che sono le vere vittime di questo attacco per la natura sensibile dai dati rubati. Questi comprendono, nomi, cognomi, indirizzi, oltre a segnalazioni di malattie psichiatriche, deficit, valutazioni psicologiche di minori, dati di persone sieropositive, informazioni su screening oncologici. Informazioni, che purtroppo, potrebbero essere usati per ricattare i pazienti.

Una situazione che ancora una volta, sia per quanto riguarda le aziende, sia per le pubbliche amministrazioni, mette in evidenza quanto in Italia gli investimenti in cybersicurezza siano ancora tenuti in scarsa considerazione. 

Shares

Iscriviti alla nostra newsletter

Inserisci la tua E-mail ed iscriviti per ricevere aggiornamenti periodici sul mondo della sicurezza informatica