Uncategorized

Ospedali e Made in Italy – Il rischio di cyber-estorsioni

L’ASCESA DEI RANSOMWARE  Ospedali e Made in Italy sono a rischio di cyberestorsioni.
La pandemia di Covid-19 ha messo le ali alla criminalità informatica. Nel mirino degli estorsori digitali sono finite non solo grandi aziende, da Geox a Luxottica ed Enel, ma anche le strutture sanitarie da cui dipendiamo per la pandemia. E così sono in aumento i cosiddetti “virus del riscatto”, i ransomware. Un pericolo incombente che è necessario conoscere per potersi difendere.

Fonte: Domani del 30.11.2020 di Carola Frediani

La pandemia di Covid-19 ha messo le ali alla criminalità informatica e al suo prodotto di punta, il”ransomware“, quel genere di software malevolo che cifra i file, blocca le attività e l’accesso ai dati e chiede un riscatto per fornire la chiave per recuperarli. Il salto di qualità è avvenuto su due livelli: da un lato, i gruppi cybercriminali si sono dati alla pesca d’altura, prendendo di mira organizzazioni medio-grandi; dall’altro, hanno innovato la modalità estorsiva, aggiungendo alla cifratura la minaccia di diffondere i dati delle vittime. E’ accaduto anche in Italia, dove abbiamo assistito a una progressione verso marchi noti e importanti.

Made in Italy nel mirino

Se infatti il 2019 si era concluso con un ransomware alla Bonfiglioli Riduttori, azienda di componentistica meccanica di precisione, e alla multiutility Iren, il nuovo anno è iniziato con la cooperativa imolese Cefla che a gennaio ha dovuto rimandare a casa i dipendenti in seguito a un incidente simile. E poi è proseguito inanellando attacchi a bersagli di alto profilo del made in Italy. Geox a giugno, Luxottica e Gruppo Carrara (leader nelle macchine agricole) a settembre. E ancora Enel a ottobre, con un attacco rivendicato dal gruppo Netwalker che avrebbe chiesto 14 milioni di dollari (ma la multinazionale dell’energia era già stata colpita a giugno da un altro malware noto come Ekans). E poi Campa a novembre.
In alcuni casi gli incidenti possono portare a una paralisi delle attività, obbligano a mandare a casa temporaneamente una parte dei dipendenti, e a ripristinare i sistemi compromessi. Ma la differenza, in termini di danni, viene fatta anche dal fiuto eventuale di dati sensibili, che avviene poco prima della cifratura. Se dati personali, può far scattare le sanzioni previste dal Regolamento europeo sulla privacy. Se dati aziendali, può significare il furto di asset di valore. «Ora interessano sempre meno le imprese piccole rispetto a qualche anno fa, e vengono invece colpite realtà grosse e strutturate, molto esposte mediaticamente», dice Stefano Fratepietro, della società di cybersicurezza Tesla consulting. «La richiesta di riscatto parte quando i criminali sono convinti che tu non possa più ripristinare nulla, indusi i backup, che hanno prima provato di vanificare. Spesso cercano vulnerabilità in un servizio esposto direttamente sulla rete Internet, entrano, poi scalano i privilegi di accesso, e si muovono lateralmente nella rete aziendale».

Nella prima metà del 2020 i ransomware hanno dominato il 41 per cento degli incidenti riportati da organizzazioni medie e piccole, secondo un report della società di assicurazioni Cyber coalition. E l’attacco spesso sfruttava il fatto che i dipendenti lavorassero da casa, connettendosi da remoto a causa del Covid 19. In riduzione anche l’intervallo di tempo tra l’infezione iniziale e l’attivazione vera e propria del ransomware, secondo un report Europol dello scorso aprile. L’agenzia Ue di contrasto al crimine sottolinea come i gruppi cybercriminali si siano messi a reclutare attivamente collaboratori a partire dall’emergenza coronavirus per orchestrare campagne di infezione attraverso l’invio di mail (phishing) su larga scala.

I ransomware sono stati la minaccia cybercriminale dominante degli ultimi anni, sottolinea ancora Europol. Ma il Covid-19 ha reso le bande che li gestiscono ancora più aggressive e ambiziose. «Sono attacchi molto mirati, fatti da gruppi ben informati, che hanno disponibilità di fondi, in grado di comprarsi attacchi (exploit) o pagare perfino persone sul posto, insider, qualcuno che inserisca una chiavetta, una pista da non sottovalutare», dice Luca Savoldi, fondatore della società di cyber intelligence Abissi «Spesso sanno anche se hai una assicurazione che copre questo genere di attacchi. Abbiamo trovato un portafoglio bitcoin di uno di questi gruppi, probabilmente russo, che conteneva l’equivalente di 10 milioni di euro, usati come fondo spese. La cifratura ormai del tutto secondaria, il loro obiettivo è portarsi via dati strategici, che possono essere utili anche allo spionaggio industriale e governativo».

Ospedali a rischio

Ma nella corsa all’estorsione sono finite anche le strutture sanitarie. Già lo scorso aprile l’Interpol avvisava del rischio gli ospedali. Del resto, per citare solo alcuni episodi, a marzo l‘ospedale universitario di Brno, nella Repubblica ceca, era costretto a cancellare gli interventi programmati a causa di un attacco informatico. Mesi dopo veniva colpito l’ospedale spagnolo Moise s Broggi, a Barcellona, con blocco dei telefoni, della posta e delle immagini di radiologia. Ma l’evento più eclatante è stato a settembre in Germania, quando un software malevolo ha bloccato il pronto soccorso dell’ospedale universitario di Düsseldorf per 13 giorni, obbligandolo a rimandare in un ospedale più lontano una paziente di 78 anni, poi deceduta. Le autorità hanno aperto una indagine per omicidio colposo. Gli inquirenti attribuiscono l’attacco alla gang DopplePaymer, di sospetta origine russa. Si è arrivati così a fine ottobre e a un’allerta dell’Fbi e dell’Agenzia americana per la sicurezza delle infrastrutture e della cybersicurezza (Cisa) che avvisava di «una imminente e aumentata minaccia» contro decine di ospedali statunitensi proveniente da ransomware gestiti da gruppi dell’est Europa.

La svolta del doppio ricatto

E’ stato chi gestisce il ransomware Maze a innovare per primo, a fine 2019. Format in cui si raddoppia la minaccia, aggiungendo al blocco dei sistemi e attività anche la possibilità di leak, di fuga dei dati. Nel loro sito gli autori si vantano di rispettare scrupolosamente l’accordo con quello che chiamano, con sfacciato understatement, il cliente. Ma se entro pochi giorni il “cliente” non paga, i suoi dati sono diffusi online. Da quel momento, li hanno imitati in molti. Oggi sono oltre una dozzina i gruppi che si dedicano al ransomware con leak. Il Covid ci ha messo il carico. «C’è una crescita di attacchi e un aumento della pressione», dice Paolo Dal Chec co, consulente informatico forense. «Tra l’attivazione del ransomware e la data in cui vengono chiesti i soldi passano in media solo 4-5 giorni».

Le gang cybercriminali

Ci sono stati anche dei tentativi di cartello, con Maze che a giugno si è messo a pubblicare i dati ottenuti da criminali rivali. Il sito Corporate leaks del gruppo ransomware Nephilim pubblica una nuova notizia di un attacco ad una azienda in media ogni tre giorni. Le vittime sono americane ed europee, di medie o grandi dimensioni Nella notizia, il gruppo inserisce il nome e la descrizione dell’organizzazione, i link a file con alcuni dei documenti che sostengono di aver sottratto. Le informazioni sono comunque diffuse con il contagocce, in modo da fare pressione sulle vittime affinché cambino idea e paghino. Sul sito del gruppo Clop, emerso a inizio 2019, è scritto che i suoi componenti non vogliono attaccare «ospedali, orfanotrofi e organizzazioni caritatevoli». Tra le loro vittime, il conglomerato tedesco dei software AG a cui è stata fatta una richiesta di riscatto da 23 milioni di dollari. Il malware che utilizzano, come diversi altri, si cancella ne caso in cui si ritrovi in un computer con la lingua principale impostata sul russo. Altrimenti, procede con l’infezione. Il software malevolo viene distribuito attraverso falsi aggiornamenti software, email, ma anche altre vulnerabilità presenti in apparati di rete. Invece il gruppo di un altro noto ransomware, REvil, ha un blog nel Dark web dove mette all’asta i documenti sottratti alle società che non hanno pagato, inclusi studi legali. Ad esempio un pacchetto legale riguardante varie celebrità veniva venduto (almeno sulla carta) a 1,5 milioni di dollari. Maze e DopplePaymer sono stati i gruppi più attivi, il primo con richieste di riscatto di un ammontare pari a sei volte la media, e oltre centovittime.

Nuovi rischi

I fornitori di servizi it e doud rischiano di essere il prossimo succulento target. Ad aprile è stato colpito l’americano Cognizant. E a ottobre Sopra Steria, azienda francese di servizi informatici che ha clienti nel settore bancario anche in Italia. «Ci sono due livelli: la criminalità più organizzata e la microcriminalità», dice ancora Fratepietro. «La prima, formata da gruppi come Maze ed EvilCorp, detta la tendenza, gli altri seguono e copiano, anche in modo sconclusionato». EvilCorp è un gruppo di origine russa che è stato individuato e sanzionato dal ministero del Tesoro americano. Alcuni sospettano che possa essere lo stesso ad aver chiesto ben 10 milioni di dollari di riscatto a Garmin, il produttore di smartwatch, lo scorso luglio.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Show Buttons
Hide Buttons