Come saprete, visto che ne hanno parlato giornali e telegiornali, nei primi giorni di agosto (in particolare nella notte tra Sabato 31 luglio e Domenica 1° agosto) la Regione Lazio ha subito un attacco hacker che ha disabilitato i suoi sistemi informatici , compreso il portale di registrazione per le vaccinazioni COVID-19.
L’attacco ha criptato ogni file nel data center regionale e interrotto la rete informatica istituzionale; in realtà non è stato un attacco vero e proprio, ma l’effetto di un Ransomware.
I Ransomware sono virus informatici che rendono inaccessibili i file dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli.
In particolare, con questo termine, si identifica una classe di malware che rende inaccessibili i dati dei computer infettati e chiede il pagamento di un riscatto (in inglese ransom) per ripristinarli.
Tecnicamente sono trojan horse crittografici e hanno come unico scopo l’estorsione di denaro, attraverso un “sequestro di file”, ottenuto con l’utilizzo della cifratura che, in pratica, li rende inutilizzabili.
Come si prende questo tipo di virus? Ci sono diverse modalità (da Cybersecurity360 – Guida al Ransomware di Giorgio Sbaraglia):
- Il modo più diffuso, è attraverso le e-mail di phishing: a tutti noi sarà capitato di ricevere e-mail da spedizionieri, o con false bollette allegate. Sono evidentemente e-mail di phishing, ma le statistiche ci dicono che nel 10% dei casi questi messaggi vengono aperti dagli utenti ed addirittura, secondo il Verizon Data Breach Investigation Report, in circa il 2-5% dei casi vengono cliccati anche gli allegati o i link presenti nelle e-mail permettendo così l’infiltrazione del malware.
- Altro modo per prendere questi virus, in maniera inconsapevole, avviene durante la navigazione su siti compromessi: il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa). In questo caso muta lo scenario poiché è la vittima ad andare nel sito infetto e non l’attaccante a sollecitarne la visita attraverso una e-mail. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. Una volta cliccato il sito su cui saremo reindirizzati sarà un sito fake, diverso dall’originale, dove avverrà il download del malware.
- Usando un supporto rimovibile, per esempio una chiavetta USB contenente il software malevolo. Questa tecnica si chiama “baiting” (esca) e – così come le e-mail di phishing – fa leva sul fattore umano e sulla curiosità delle persone: in pratica viene lasciato incustodito in un luogo comune un supporto di memorizzazione come una chiavetta USB o un hard disk contenenti malware (che si attiveranno appena l’oggetto sarà collegato al computer). E la curiosità umana fa sì che in molti casi questa esca (bait) funzioni e la persona inserisca la chiavetta sconosciuta nel proprio computer.
- All’interno (in bundle) di altri software che vengono scaricati: per esempio programmi gratuiti che ci promettono di “crackare” software costosi (spesso anche videogiochi) per utilizzarli senza pagare. Il crack che andremo a scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe essere anche una brutta sorpresa.
- Attacchi attraverso il desktop remoto: sono attacchi con furto di credenziali (per accedere ai server attraverso RDP e prenderne il controllo). Una volta ottenuto l’accesso al sistema, il cybercriminale potrà eseguire varie operazioni, quali: furto di credenziali e dati e – appunto – iniezione del ransomware.
- Attraverso lo sfruttamento di vulnerabilità (di sistemi operativi, vpn, applicazioni..)
Secondo le prime ricostruzioni diffuse dai giornali italiani, gli hacker sarebbero riusciti a ottenere le credenziali di accesso di un dipendente. A questo punto entrando nel sistema regionale, hanno potuto inserire il ransomware che ha cifrato i dati del CED.
L’attacco è avvenuto in un momento in cui le persone sono più stanche e quindi anche più disattente: alla fine dell’orario di lavoro del venerdì.
Come ci si può difendere da questa tipologia di attacchi? Ecco quali parole d’ordine ricordare
- PREVENZIONE: Aggiornare sempre il sistema antivirus ed il sistema operativo. Sarebbe quindi preferibile usare sistemi con licenza (a pagamento) rispetto ai sistemi gratuiti, perché in questo caso gli aggiornamenti sono inclusi.
- BACKUP DEI DATI: È bene prevedere sempre la creazione pianificata di copie funzionanti e recenti dei file. Sarebbe meglio prevedere sempre la “ridondanza”: non una sola copia di backup, ma almeno tre copie secondo la basilare regola 3-2-1. In pratica: tre copie di ogni dato che si vuole conservare, di cui due copie “onsite” ma su storage differenti (HD, NAS, Cloud ecc.) e una copia “off-site” (in sito remoto) su Cloud, nastri e via dicendo.
- FORMAZIONE DEGLI UTENTI: E’ noto che in ambito di sicurezza informatica il primo pericolo per una organizzazione è la mancanza di formazione dei dipendenti: un dipendente formato è il primo elemento di prevenzione.
E tu, sei sicuro che la tua azienda sia al riparo?
Se hai dubbi, contattami.