In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio
cybercrimine

Con 3 attacchi scoperti in un mese, è il momento di prendere seriamente i ransomware

di Raffaele Angius
Con 3 attacchi scoperti in un mese, è il momento di prendere seriamente i ransomware
(afp)
Nel 2016, una rete di ospedali fu colpita grazie a una vulnerabilità vecchia di 9 anni e scoperta in Italia: ecco come lavorano gli hacker e come dovremmo difenderci
Aggiornato 5 minuti di lettura

Un’azienda per il trasporto del petrolio, una per la produzione di apparecchi audio e un’altra che gestisce il sistema sanitario di un intero Paese: soltanto a maggio, tre realtà produttive, diverse per interessi e posizione nel mondo, sono state accomunate da un unico problema, quello di dover fare fronte a una richiesta di riscatto.

Oggi molte minacce arrivano dalla Rete, dove criminali estremamente evoluti sono capaci di prendere possesso di un sistema informatico e di oscurarne il contenuto, liberandolo solo a patto che si sia disposti a pagare una cifra decisa da loro. L’arma del delitto si chiama ransomware, termine inglese che nasce dalla contrazione delle parole ransom, riscatto, e malware, cioè software maligno. E il problema principale è che troppe realtà non sono ancora pronte ad affrontare l’ennesima sfida digitale. 

Il brutto esempio della Colonial Pipeline
Tra queste la Colonial Pipeline, azienda che gestisce uno dei più grandi oleodotti degli Stati Uniti, che l’8 maggio ha dovuto interrompere il lavoro proprio a causa di un ransomware, causando una grave carenza di carburante lungo tutta la East Coast. L’episodio ha provocato una vera e propria corsa ai distributori, perché che l’azienda movimenta circa il 45% dei carburanti della costa, lungo 8900 chilometri di condotte. L’intero impianto è finito nelle mani dei criminali, che l’hanno restituito ai legittimi proprietari solo in seguito al pagamento di quasi 5 milioni di dollari in Bitcoin. 

“La fortuna, se così si può dire, è che l’intento degli attaccanti era esclusivamente quello di trarre profitto dalla vittima, anziché causare danni più gravi e con potenziali ripercussioni politiche - ha spiegato a Italian Tech, Stefano Zanero, esperto di sicurezza informatica e professore associato in Computer Security del Politecnico di Milano - Ma l’episodio solleva a mio avviso un problema ben più grande, perché se simili infrastrutture possono essere attaccate dai criminali, allora potrebbero esserlo anche entità statali. Con esiti ben diversi e, potenzialmente, più devastanti”.

Dietro l’attacco alla Colonial Pipeline ci sarebbe un gruppo di criminali russi (probabilmente una gang nota con il nome di Darkside), come suggeriscono le analisi di numerosi esperti e delle autorità federali americane, le quali hanno riscontrato che il ransomware utilizzato era programmato per non agire su computer che usano il cirillico. Ed è proprio dall’Est Europa che sembra arrivare la gran parte delle minacce, stando alle perizie svolte dalle principali aziende nel settore della sicurezza informatica.

Ma come funziona un ransomware? 
Con radici lontane quanto la stessa informatica, i ransomware sono strumenti in grado di cifrare un dato (o un gruppo di dati), seguendo schemi noti generalmente solo all’attaccante. Elaborata tramite uno di questi software, l’informazione diventa illeggibile a chiunque non abbia accesso a una decryption key (una chiave decifrante), una sorta di antidoto che viene rilasciato proprio in cambio del pagamento del riscatto. Quasi sempre. 

Fa eccezione l’episodio che ha coinvolto le infrastrutture del Sistema sanitario Irlandese, che ha subìto un attacco di questo tipo, che ha mandato in tilt prenotazioni e laboratori in tutto il Paese: a porre parzialmente rimedio hanno pensato gli stessi aggressori, che hanno rilasciato gratuitamente la chiave decifrante, probabilmente dopo essersi resi conto che di tutti i momenti in cui qualcuno potrebbe sognarsi di attaccare le infrastrutture ospedaliere di uno Stato, questo era decisamente il peggiore. Resta comunque in piedi un ricatto mitigato, ma di portata enorme: “Abbiamo molti dati sensibili e li pubblicheremo se non pagherete il riscatto”, hanno chiarito i criminali. Che si erano pentiti, ma non troppo. 

Come si risolve?
“Per quanto possa sembrare banale, l’unica possibilità è fare del proprio meglio perché l’attacco non avvenga, o comunque non riesca - ha sottolineato Zanero - con strategie mirate e prevedendo procedure di ripristino che mettano un’organizzazione nelle condizioni di risolvere il problema nel minor tempo possibile e senza pagare il riscatto”. Per fare questo, vengono in aiuto i backup e le procedure di incident response, che assicurano alle organizzazioni, private o pubbliche, di poter rientrare in possesso di una copia dei loro dati, qualora quelli sottratti dagli hacker non vengano restituiti. 

Il modo di reagire in tempi brevi esiste, come ha dimostrato il caso di Bose, azienda specializzata nella produzione di apparecchi audio che si è liberata in pochi giorni di un ransomware che l’aveva colpita, senza pagare alcun riscatto. “Ma uno dei problemi con cui devono confrontarsi le aziende è quello delle tempistiche - ha puntualizzato Zanero - Spesso sarebbero in grado di riprendere l’operatività anche in 20 giorni, ma il costo di una simile attesa sarebbe talmente tanto alto che talvolta si preferisce pagare il riscatto, nella speranza che l’altra parte onori l’accordo”. 

Una lezione antica
Dall’inizio del 2021, secondo quanto scritto dal Washington Post, sono state ben 26 le organizzazioni governative statunitensi cadute vittime di un cyber-ricatto, e per quanto sia difficile ricavare una statistica simile sul comparto privato, generalmente più riservato su informazioni che potrebbero compromettere la credibilità delle aziende, gli analisti sono concordi nel ritenere che gli attacchi tramite ransomware siano in aumento. 

“Affinché simili minacce realizzino il loro scopo, occorre un terreno favorevole alle mire dell’attaccante”, è l’osservazione di Stefano Di Paola, Cto di MindedSecurity e protagonista, suo malgrado, di un attacco che ancora fa scuola nel mondo dell’informatica. L’episodio risale ad aprile 2016, quando un gruppo di banditi digitali ha preso possesso delle infrastrutture della MedStar Health, una tra le principali catene di ospedali della zona di Washington. Non appena avvenuto l’attacco, che ha compromesso le reti di 10 strutture, tra cliniche e ospedali, è stato da subito chiaro che l’intrusione era avvenuta tramite una vulnerabilità scoperta e denunciata 9 anni prima proprio da Di Paola e dal suo socio, Giorgio Fedon. 

“Abbiamo individuato questa vulnerabilità nel nostro quotidiano lavoro di ricerca dei problemi su software e applicazioni - è il ricordo di Di Paola - Nello specifico, si trattava di un problema sull’applicativo Jboss di RedHat”, un sistema operativo molto diffuso su server aziendali: “Fatta la segnalazione, RedHat ci aveva ringraziato e aveva provveduto a rilasciare immediatamente un aggiornamento per tutti i suoi sistemi, ma il problema è che spesso, per disorganizzazione o cattiva allocazione delle risorse, un aggiornamento potrebbe perdersi, lasciando un intero sistema esposto a problemi vecchi e, a quel punto, perfettamente noti anche agli attaccanti”. 

Nel caso della MedStar Health, il software utilizzato per compiere l’attacco era progettato specificamente per scandagliare la Rete alla ricerca di dispositivi connessi e vulnerabili a un attacco su Jboss. E alla fine l’azienda non ha avuto scelta se non di fare fronte a una richiesta di riscatto di 9mila Bitcoin, che all’epoca avevano un valore vicino ai 4 milioni di dollari: “Purtroppo ancora troppe organizzazioni, pubbliche e private, sono ancora esposte a vulnerabilità molto vecchie - ha spiegato Di Paola - Inoltre, gli strumenti per individuare potenziali bersagli facili sono ancora più accessibili”. 

Il caso dell’Italia e gli effetti del Gdpr
Ne è un esempio il nostro Paese, dove l’unico studio sull’argomento che sia stato reso pubblico riguarda i content management service (piattaforme come Wordpress o Joomla) in uso dai Comuni dello Stivale: un’inchiesta pubblicata da Agi nel 2018, realizzata grazie al lavoro del mes3hacklab (Mestre HackLab), aveva rivelato che il 67% dei domini e sottodomini analizzati non veniva aggiornato da più di un anno e che il 29% dei siti che usavano Wordpress non erano aggiornati dal 2015. 

“Oggi basta una ricerca su Shodan (popolare motore di ricerca dei dispositivi collegati sulla Rete) per scoprire quali siano vulnerabili o meno - ha aggiunto Di Paola - E che davanti a noi ci siano spie cibernetiche o semplicemente ladri che intendono fare profitto, la scelta su quali armi impiegare risulta estremamente facilitata”. A questo ha posto un freno il Gdpr, il Regolamento generale per la Protezione dei dati, che “ha imposto un cambio di rotta e una maggiore responsabilizzazione delle vittime, talvolta responsabili di incuria, che è il primo ingrediente per diventare un bersaglio”. La valutazione di Zanero è simile: “I dati empirici dicono che l’Italia non è maggiormente protetta di altre realtà, e in alcuni casi si continua a preferire il rischio di dover pagare un riscatto piuttosto che l’onere di stanziare fondi coerenti con le esigenze di protezione dell’organizzazione”.

Tuttavia, con il Gdpr e il Perimetro Cibernetico, che impone elevati standard di sicurezza a tutte le infrastrutture critiche, le cose stanno lentamente cambiando: sino a quando il nostro Paese non sarà al centro del campo di battaglia, potrebbe esserci ancora un po’ di tempo per mettere in sicurezza i nostri asset. Ma non molto.

 
© Riproduzione riservata