Attacco hacker alla Regione Lazio: l’importanza della Cybersecurity

attacco hacker regione lazio
attacco hacker regione lazio

L’attacco hacker alla Regione Lazio ha causato un blocco totale senza precedenti: ecco perché è fondamentale avere un’infrastruttura adatta e protetta.

Dopo aver carpito le credenziali di un amministratore di sistema di alto livello della Regione Lazio, l’attacco hacker ha portato delle conseguenze pressoché disastrose. Al punto tale da paralizzare non solo il settore sanitario — e quindi le prenotazioni per i vaccini (ma anche per qualsiasi visita medica) e la stessa campagna vaccinale — ma tutte le attività della Regione.

Come i cybercriminali sono riusciti a bucare la rete

Recentemente si è scoperto che a tenere aperto il computer del dipendente regionale di Frosinone in smart working sarebbe stato il figlio durante la notte.

Stando a quando ricostruito dagli investigatori, i criminali hanno quindi carpito ed utilizzato le sue credenziali per entrare nel sistema della Regione.

Hanno poi usato un software chiamato Emotet, una sorta di cavallo di Troia che ha creato una breccia e gli ha dato il pieno controllo del sistema per eseguire operazioni più profonde. A questo punto tutto era pronto per il passaggio finale, ovvero l’inserimento del ransomware, il programma che ha criptato i dati, anche lo stesso backup. Per poi chiedere un sostanzioso riscatto.

In cosa consiste il ransomware

Questo tipo di procedura ricalca un copione ormai consolidato, favorita però dall’assenza di un sistema di autenticazione a due fattori da parte del dipendente. Si tratta infatti di una doppia misura di sicurezza, che oltre a username e password chiede un secondo modo per confermare la propria identità, come per esempio un sms sul telefono o un’app che rilascia un codice.

Dopo essere riusciti ad entrare nel sistema, i criminali informatici bloccano l’accesso ai file e ai dati degli utenti e chiedono il pagamento di un riscatto in bitcoin per renderli nuovamente accessibili. In caso contrario l’intero sistema rimane inutilizzabile. Nonostante si riesca a eradicare il virus prima del ripristino dell’attività, non si è sicuri che basti a far tornare tutto come prima.

Negli ultimi tre anni i ransomware hanno avuto un’impennata in tutto il mondo: sono silenziosi, efficaci e molto remunerativi. Ci si accorge della crittazione solo quando tutto è ormai perduto e in genere le vittime, principalmente le aziende, pagano. In caso contrario i criminali minacciano di rendere pubblici alcuni dei dati che hanno criptato, tra cui dati sensibili dei clienti, brevetti e progetti in sviluppo.

Non eliminare lo smart working, ma implementare la sicurezza

Il Messaggero, nell’edizione romana, parlando dell’attacco hacker alla regione Lazio ha riportato un’inverosimile soluzione per risolvere il problema in futuro: l’indiscrezione è quella che la regione starebbe richiamando in sede tutti i dipendenti e gli addetti ai sistemi informatici per procedere a ulteriori verifiche sui dispositivi in loro possesso. Sostenendo che in qualche modo lo smart working abbia contribuito alla buona riuscita dell’attacco.

In realtà lo smart working e gli attacchi hacker non sono due realtà necessariamente collegate tra loro. Questi ultimi, infatti, avvengono continuamente anche sui dispositivi interni alle aziende.

La vera sfida sta nel respingerli ed avere una infrastruttura adatta e protetta che faccia sì che nessuno possa intrufolarsi nei sistemi aziendali.

Quando si lavora in remoto, le attenzioni sono le stesse che bisogna avere quando si lavora in ufficio:

  • impostare password complesse su router e rete wi-fi
  • creare regolarmente una copia di backup dei dati importanti
  • lavorare su dispositivi forniti dall’azienda
  • aggiornare i sistemi e il software
  • prevedere un’adeguata formazione dei dipendenti

Una delle tecniche più usate per infettare i computer con i ransomware è infatti l’ingegneria sociale. È importante perciò informarsi (e, nel caso delle aziende, informare tutti i dipendenti) su come si possano rilevare i malspam, i siti web sospetti e gli altri potenziali tranelli. E soprattutto, usare il buon senso.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Attacchi hacker con furto dati: perché sta capitando a tante aziende e come difendersi

attacchi-hacker

Anche Campari Group è stata recentemente colpita da un attacco ransomware con la tecnica del doppio riscatto: due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari.

Con il riscatto i criminali – il gruppo Ragnar Locker – darebbero anche un decryptor e consigli di sicurezza. Lo stesso gruppo, con tecnica simile, ha colpito Capcom la scorsa settimana, con minaccia di pubblicazione o vendita all’asta dei dati, tra cui documenti fiscali, proprietà intellettuali, dati personali di clienti e dipendenti, inclusi quelli di identità e documenti con accordi e contratti aziendali.

L’attacco è stato tempestivamente notificato alle autorità competenti per la protezione dei dati, alla Polizia Postale italiana e all’FBI.

Ad avere comunicato l’avvenuto è Bleeping Computer.

Ecco perché c’è un boom di attacchi hacker e quali regole deve seguire un’azienda per difendersi.

Attacco del doppio riscatto, i danni per le aziende colpite

Riassumendo, un’azienda colpita da attacchi hacker come crittazione, furto e minaccia di pubblicazione subisce molteplici danni.

  • Perdita di dati e indisponibilità temporanea di servizi a causa della crittografia. Prima, quando i criminali si limitavano a crittografare i dati sulle macchine delle vittime, c’erano solo questi danni.
  • La pubblicazione comporta perdita di: proprietà intellettuali (nelle mani di possibili concorrenti), immagine e reputazione (quindi perdita di clienti e valore in borsa); rischi di sanzioni privacy milionarie ai sensi del Gdpr.

Dato che i danni possibili aumentano, stanno crescendo anche i riscatti, che sono a loro volta milionari. Ma come risulta da un rapporto Coveware, non è detto che i criminali cancellino i dati dopo il pagamento e quindi il ricatto può continuare.

Se i dati riguardano inoltre le infrastrutture critiche di un Paese, dall’attacco derivano anche considerazioni di sicurezza nazionale.

Non solo Campari, boom di attacchi hacker simili nel 2020

Nel 2020, con un crescendo da settembre, abbiamo avuto simili attacchi hacker a Enel, a Geox, uno al gruppo Carraro, a Luxottica e ora appunto Campari, tanto per citare solo grandi aziende italiane.

Questo è avvenuto principalmente a causa del covid-19, che ha un grosso ruolo nella crescita degli attacchi di questo tipo, perché lo smart working amplia la superficie di attacco e rende più difficile controllare la sicurezza del perimetro.

Il fenomeno riguarda tutto il mondo, come registrato nello speciale pandemia che il Clusit presentare a novembre con il loro nuovo rapporto. Per l’Italia, Exprivia calcola invece che nel secondo trimestre del 2020 i crimini informatici sono aumentati di oltre il 250% rispetto ai primi tre mesi dell’anno (171 rispetto a 47).

Perché il doppio attacco è di moda

Ma perché adesso i criminali solo soliti non limitarsi più a crittografare i dati ma a rubarli? Ovvio che conviene di più a loro ma allora ci si può chiedere perché non ci hanno pensato prima. Prima non avevano bisogno di sottrarre i dati; era più semplice crittografarli con un malware direttamente sulle macchine senza fare download e storage in cloud degli stessi. Ma poi le aziende hanno imparato a fare back up, per recuperare i dati senza pagare, e così, per dare un nuovo incentivo al pagamento i criminali stanno anche minacciando la pubblicazione.

In generale gli attaccanti stanno facendo evolvere e specializzare le proprie tecniche.

Che fare contro i nuovi ransomware degli attacchi hacker

Se è evidente che questa forma di attacco è potenzialmente più dannosa del tradizionale ransomware, meno evidente è la ricaduta in termini di azioni che le aziende devono porre in essere per prevenire questi attacchi.

Nel caso di ransomware tradizionale, infatti, gli esperti hanno sempre consigliato il ricorso a buone pratiche di backup e sistemi di disaster recovery aggiornati allo stato dell’arte, così da rendere inefficace la violazione ed evitare di scendere a patti con i criminali. Questa modalità di azione è indirizzata a misure di natura reattiva, volte a mitigare un incidente già avvenuto, riducendo drasticamente (ma non eliminando del tutto) i possibili impatti.

In caso di estrazione di dati, il baricentro dell’azione di cybersecurity dell’azienda deve spostarsi di nuovo sul rafforzamento della capacità di prevenzione ed in particolare in due direzioni:

  • capacità di prevenzione delle infezioni da malware, che deve basarsi sempre più su strumenti in grado di identificare i “comportamenti anomali” del software che opera sui nostri sistemi (i.e. lanciare ad esempio un allarma se un software cifra dei dati, o accede a moltissimi documenti, o invia grandi quantità di dati all’esterno dell’organizzazione). Si tratta quindi di strumenti di analisi da installare su endpoint, server e nei nodi critici della rete, basato non più solo sul rinascimento di pattern di infezioni note, ma su tecniche di machine learning;
  • protezione intrinseca dei dati: negli ultimi mesi abbiamo compreso come la semplice password non sia più sufficiente a proteggere l’identità digitale delle persone, e che l’autenticazione a due fattori è, di fatto, la nuova “misura minima”. Allo stesso modo, dobbiamo considerare che i dati, se in chiaro sui sistemi, sono da ritenere vulnerabili. La cifratura deve diventare il modo “normale” di gestire le informazioni digitali, e quando parliamo di cifratura si intende non tanto quella dei dischi, ma la cifratura applicativa, quella che rende il dato inutilizzabile anche in caso di furto dei dati dal database, o dai file dal nostro computer o terminale mobile. Abbiamo anche un motivo in più per farlo: se i dati sono cifrati, e le persone a cui tali dati si riferiscono non corrono pertanto dei rischi dall’attacco informatico, l’organizzazione non è tenuta a segnalare agli interessati l’incidente informatico (in tal caso il data breach ai sensi del GDPR), assicurando quindi una maggiore tutela della reputazione rispetto al mercato di riferimento.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Windows 7: dal 14 gennaio aumenta il rischio hacker

windows 7
windows 7

Microsoft si prepara a interrompere il supporto al sistema operativo, che rimarrà però installato nel 26% dei pc mondiali. Questo li renderà maggiormente vulnerabili ai virus. Gli esperti: “Subito upgrade e patch”

Windows 7, sistema operativo nato nel 2009, ha le ore contate: dal 14 Gennaio non si aggiornerà più. Un evento che potrebbe costar caro alle aziende, rendendole più vulnerabili agli attacchi di virus, in particolare WannaCry, ransomware che nell’ultimo trimestre del 2019 ha colpito più di 230.000 pc Windows in tutto il mondo. Questi attacchi hanno provocato la perdita di milioni di dollari, a causa della perdita di produttività, perdita di dati e hardware danneggiati.

Cybersecurity, i 5 passi da fare

Secondo Veritas Technology sono 5 gli step che le aziende dovrebbero seguire per limitare i danni in caso di prosecuzione di Windows 7 oltre i limiti:

Educare i dipendenti. Il rischio maggiore è rappresentato dai dati salvati in luoghi non protetti. È bene assicurarsi che gli utenti seguano le best practice riguardo il luogo in cui salvare i dati in modo che possano essere al sicuro; sarebbe opportuno anche eseguire delle simulazioni. Salvare dati preziosi su server centralizzati, data center o su cloud può aiutare a ridurre i rischi.

Valutare i rischi. Imparando a conoscere i propri dati: per le aziende, le soluzioni di software di insight possono aiutare a identificare dove si trovino i dati importanti e garantire che siano conformi alle policy aziendali e alle normative del settore.

Considerare un upgrade dei software. Questa non sarà una soluzione pratica per le grandi aziende nel poco tempo a disposizione – dice Veritas -, ma potrebbe essere parte di una strategia a più lungo termine. Per le Pmi, la soluzione migliore potrebbe essere semplicemente quella di fare l’upgrade dei sistemi operativi, adottandone uno che sia ancora supportato.

Installare le patch finché si può. Stando ai dati del Ponemon Insititute, il 60% di coloro che hanno subito una violazione dei dati, è stata vittima nonostante le patch per evitare queste violazioni fossero disponibili. Le aziende dovrebbero almeno assicurarsi di essere il più aggiornate possibile, finché possono. Gli utenti potranno anche acquistare aggiornamenti “ESU” da Microsoft in modo da poter accedere alle patch anche durante il periodo di migrazione verso un nuovo software.

Assicurarsi di aver eseguito il backup dei dati. Gli attacchi ransomware si basano sull’idea che pagare il riscatto sia il più economico se non l’unico metodo per ottenere nuovamente l’accesso ai propri dati, ma le ricerche mostrano come meno della metà di coloro che pagano siano effettivamente in grado di recuperare i propri file dai cyber criminali. Veritas raccomanda di applicare la “regola del 3-2-1“, secondo la quale è bene che chi possiede dei dati importanti ne abbia tre copie, due delle quali salvate su due dispositivi di diversa tipologia e una custodita in “air gap” in un altro luogo.

Aggiorna i tuoi sistemi, scrivici a info@assitech.net