Brescia, attacco hacker al Comune

attacco hacker comune di brescia
attacco hacker comune di brescia

Negli ultimi giorni di Marzo 2021 il sistema informatico del Comune di Brescia è finito sotto un attacco hacker.

Questo gruppo di cybercriminali ha diffuso un ransomware che ha mandato in tilt non solo il sito web istituzionale, ma anche i servizi online: pratiche, pagamenti, certificati così come le comunicazioni della centrale operativa della Polizia locale.

Buona parte della macchina amministrativa del comune è ancora inaccessibile. Per risolvere il problema con una chiave di decrittaggio, gli autori dell’attacco hanno chiesto un riscatto di 26 Bitcoin – circa 1,3 milioni di euro, arrivati nelle ultime ore a 55 bitcoin, che in valuta corrente corrispondono a circa 3 milioni di euro – cifra che il Comune non intende pagare.

Inizialmente la Loggia non aveva comunicato si trattasse di un tentativo di estorsione, ma, come è stato riportato anche dal Corriere della Sera, l’hackeraggio è stato confermato e ora la situazione è nelle mani della Polizia postale. Gli apparati sarebbero stati infettati da un DoppelPaymer, un ransomware che cifra i file rendendoli inaccessibili.

Per il ripristino della piena funzionalità di tutto il sistema potrebbero volerci mesi, se non anni. Attualmente il Comune ha garantito la sicurezza dei dati dei cittadini, protetti su server inaccessibili agli hacker.

In attesa che questa aggressione cibernetica si esaurisca, i tecnici della Loggia hanno già ripristinato alcuni servizi (a partire dalla consultazione delle pratiche edilizie).

Come funziona un ramsoware

Il ransom malware, o ransomware, è un tipo di malware che blocca l’accesso ai sistemi o ai file personali degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili. Le prime varianti di ransomware risalgono alla fine degli anni ’80, e i pagamenti dovevano essere effettuati tramite posta. Oggi, il pagamento del riscatto viene richiesto mediante criptovaluta come Bitcoin o carta di credito.

Cosa fare in caso di infezione

La regola numero uno, in caso di infezione da ransomware, è quella di non pagare il riscatto, così come ha deciso di fare il Comune di Brescia dopo l’attacco hacker. (Questa è anche la raccomandazione dell’FBI.) L’unico risultato che si ottiene con il pagamento, infatti, è quello di incoraggiare i criminali informatici a sferrare ulteriori attacchi contro la stessa vittima o altri soggetti. In ogni caso, esiste la possibilità di recuperare almeno una parte dei file criptati.

È importante esaminare con molta attenzione il messaggio con la richiesta di riscatto, possibilmente chiedendo assistenza ad uno specialista informatico, prima di tentare qualunque rimedio.

Se si vuole provare a bloccare un’infezione da ransomware mentre è ancora in corso la crittografia dei dati, è importante riuscire a identificarla tempestivamente.

Come proteggersi dai ransomware

Gli esperti di sicurezza sono concordi sul fatto che il metodo di protezione più efficace contro i ransomware sia la prevenzione.

Esistono vari metodi per gestire le infezioni da ransomware; in genere, però, si tratta di soluzioni che spesso richiedono una competenza tecnica specifica.

Il primo consiglio è quello di investire in un ottimo sistema di sicurezza informatica. Un programma che offra una protezione in tempo reale e sia in grado di sventare gli attacchi di malware avanzati come i ransomware.

In secondo luogo, per quanto possa essere impegnativo, è essenziale creare regolarmente una copia di backup dei dati importanti.

Un’altra precauzione importante consiste nell’aggiornare regolarmente i sistemi e il software. Naturalmente è difficile stare al passo con tutti gli aggiornamenti rilasciati, anche considerando il numero sempre più ampio di software e applicazioni che ognuno di noi utilizza abitualmente. Il nostro consiglio, perciò, è di cambiare le impostazioni in modo da abilitare l’aggiornamento automatico.

L’ultima raccomandazione è quella di tenersi informati. Una delle tecniche più usate per infettare i computer con i ransomware è l’ingegneria sociale. È importante perciò informarsi (e, nel caso delle aziende, informare tutti i dipendenti) su come si possano rilevare i malspam, i siti web sospetti e gli altri potenziali tranelli. E soprattutto, occorre usare il buon senso.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Attacchi hacker con furto dati: perché sta capitando a tante aziende e come difendersi

attacchi-hacker

Anche Campari Group è stata recentemente colpita da un attacco ransomware con la tecnica del doppio riscatto: due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari.

Con il riscatto i criminali – il gruppo Ragnar Locker – darebbero anche un decryptor e consigli di sicurezza. Lo stesso gruppo, con tecnica simile, ha colpito Capcom la scorsa settimana, con minaccia di pubblicazione o vendita all’asta dei dati, tra cui documenti fiscali, proprietà intellettuali, dati personali di clienti e dipendenti, inclusi quelli di identità e documenti con accordi e contratti aziendali.

L’attacco è stato tempestivamente notificato alle autorità competenti per la protezione dei dati, alla Polizia Postale italiana e all’FBI.

Ad avere comunicato l’avvenuto è Bleeping Computer.

Ecco perché c’è un boom di attacchi hacker e quali regole deve seguire un’azienda per difendersi.

Attacco del doppio riscatto, i danni per le aziende colpite

Riassumendo, un’azienda colpita da attacchi hacker come crittazione, furto e minaccia di pubblicazione subisce molteplici danni.

  • Perdita di dati e indisponibilità temporanea di servizi a causa della crittografia. Prima, quando i criminali si limitavano a crittografare i dati sulle macchine delle vittime, c’erano solo questi danni.
  • La pubblicazione comporta perdita di: proprietà intellettuali (nelle mani di possibili concorrenti), immagine e reputazione (quindi perdita di clienti e valore in borsa); rischi di sanzioni privacy milionarie ai sensi del Gdpr.

Dato che i danni possibili aumentano, stanno crescendo anche i riscatti, che sono a loro volta milionari. Ma come risulta da un rapporto Coveware, non è detto che i criminali cancellino i dati dopo il pagamento e quindi il ricatto può continuare.

Se i dati riguardano inoltre le infrastrutture critiche di un Paese, dall’attacco derivano anche considerazioni di sicurezza nazionale.

Non solo Campari, boom di attacchi hacker simili nel 2020

Nel 2020, con un crescendo da settembre, abbiamo avuto simili attacchi hacker a Enel, a Geox, uno al gruppo Carraro, a Luxottica e ora appunto Campari, tanto per citare solo grandi aziende italiane.

Questo è avvenuto principalmente a causa del covid-19, che ha un grosso ruolo nella crescita degli attacchi di questo tipo, perché lo smart working amplia la superficie di attacco e rende più difficile controllare la sicurezza del perimetro.

Il fenomeno riguarda tutto il mondo, come registrato nello speciale pandemia che il Clusit presentare a novembre con il loro nuovo rapporto. Per l’Italia, Exprivia calcola invece che nel secondo trimestre del 2020 i crimini informatici sono aumentati di oltre il 250% rispetto ai primi tre mesi dell’anno (171 rispetto a 47).

Perché il doppio attacco è di moda

Ma perché adesso i criminali solo soliti non limitarsi più a crittografare i dati ma a rubarli? Ovvio che conviene di più a loro ma allora ci si può chiedere perché non ci hanno pensato prima. Prima non avevano bisogno di sottrarre i dati; era più semplice crittografarli con un malware direttamente sulle macchine senza fare download e storage in cloud degli stessi. Ma poi le aziende hanno imparato a fare back up, per recuperare i dati senza pagare, e così, per dare un nuovo incentivo al pagamento i criminali stanno anche minacciando la pubblicazione.

In generale gli attaccanti stanno facendo evolvere e specializzare le proprie tecniche.

Che fare contro i nuovi ransomware degli attacchi hacker

Se è evidente che questa forma di attacco è potenzialmente più dannosa del tradizionale ransomware, meno evidente è la ricaduta in termini di azioni che le aziende devono porre in essere per prevenire questi attacchi.

Nel caso di ransomware tradizionale, infatti, gli esperti hanno sempre consigliato il ricorso a buone pratiche di backup e sistemi di disaster recovery aggiornati allo stato dell’arte, così da rendere inefficace la violazione ed evitare di scendere a patti con i criminali. Questa modalità di azione è indirizzata a misure di natura reattiva, volte a mitigare un incidente già avvenuto, riducendo drasticamente (ma non eliminando del tutto) i possibili impatti.

In caso di estrazione di dati, il baricentro dell’azione di cybersecurity dell’azienda deve spostarsi di nuovo sul rafforzamento della capacità di prevenzione ed in particolare in due direzioni:

  • capacità di prevenzione delle infezioni da malware, che deve basarsi sempre più su strumenti in grado di identificare i “comportamenti anomali” del software che opera sui nostri sistemi (i.e. lanciare ad esempio un allarma se un software cifra dei dati, o accede a moltissimi documenti, o invia grandi quantità di dati all’esterno dell’organizzazione). Si tratta quindi di strumenti di analisi da installare su endpoint, server e nei nodi critici della rete, basato non più solo sul rinascimento di pattern di infezioni note, ma su tecniche di machine learning;
  • protezione intrinseca dei dati: negli ultimi mesi abbiamo compreso come la semplice password non sia più sufficiente a proteggere l’identità digitale delle persone, e che l’autenticazione a due fattori è, di fatto, la nuova “misura minima”. Allo stesso modo, dobbiamo considerare che i dati, se in chiaro sui sistemi, sono da ritenere vulnerabili. La cifratura deve diventare il modo “normale” di gestire le informazioni digitali, e quando parliamo di cifratura si intende non tanto quella dei dischi, ma la cifratura applicativa, quella che rende il dato inutilizzabile anche in caso di furto dei dati dal database, o dai file dal nostro computer o terminale mobile. Abbiamo anche un motivo in più per farlo: se i dati sono cifrati, e le persone a cui tali dati si riferiscono non corrono pertanto dei rischi dall’attacco informatico, l’organizzazione non è tenuta a segnalare agli interessati l’incidente informatico (in tal caso il data breach ai sensi del GDPR), assicurando quindi una maggiore tutela della reputazione rispetto al mercato di riferimento.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Un attacco ransomware che fa male: azienda USA chiude e licenzia 300 dipendenti

attacco ransomware
attacco ransomware

Un recente caso di attacco con ransomware punta nuovamente l’attenzione sulla necessità di tutelare le aziende con sistemi di sicurezza e politiche di backup efficaci.

Quello dei ransomware è un problema che affligge da tempo le aziende di tutto il mondo. I ransomware prendono di mira i computer Windows così come i NAS, ma i danni più rilevanti riguardano i server. Ecco quanto successo a The Heritage Company, società statunitense di telemarketing i cui server sono stati colpiti da un ransomware.

Le conseguenze dell’attacco sono state piuttosto negative: le perdite accumulate per via del ransomware hanno portato l’azienda a licenziare 300 dipendenti e a sospendere l’attività.

Sicurezza e backup per combattere gli attacchi ransomware

The Heritage Company avrebbe perso centinaia di migliaia di dollari e la cancellazione integrale dei dati. L’azienda ha pagato il riscatto, ma ciò non è stato sufficiente poiché sono andati comunque persi dati importanti per l’attività dell’azienda. A seguito di questo tentativo di recupero non riuscito, l’azienda ha dovuto fare una ristrutturazione e licenziare 300 persone.

L’annuncio è arrivato in maniera inaspettata per i dipendenti, che non avevano ricevuto notizia dell’attacco da parte del ransomware e sono stati licenziati poco prima delle vacanze di Natale. 

Questo caso evidenzia ancora una volta che una protezione efficace dalle minacce sia fondamentale per l’attività di un’azienda. Da un lato deve esserci una protezione attiva dagli attacchi sotto forma di una soluzione di sicurezza avanzata, dall’altro lato deve essere invece presente una robusta politica di backup che sia in grado di tutelare l’azienda anche nel caso in cui i criminali riescano a superare le difese.

L’impatto di un attacco di questo tipo può essere devastante per un’azienda, in particolare quando si tratta di attività di PMI che non possono permettersi di pagare le ingenti somme richieste. Le spese per la prevenzione saranno comunque sempre inferiori rispetto a quelle per la cura.