Cyberattacco globale: cos’è successo e come difendersi

da | Feb 10, 2023

L’ultima minaccia nel mondo della cybersecurity e della difesa da un cyberattacco ha un nome ben preciso: ransomwaring.

Un mondo in continua crescita: nel suo “Crypto Crime Report”, Chainalysis stima il giro d’affari intorno ai furti di dati con successiva richiesta di riscatto intorno ai 602 mln di $ per il solo 2021 nel mondo; ma immediatamente avverte che probabilmente c’è molto da scoprire: nel report dell’anno scorso erano “sfuggiti” agli analisti di Chainalysis circa 300 mln di riscatti.

Ma andiamo ai fatti: il 5 febbraio viene rivelato un cyberattacco su vasta scala, a livello internazionale, a migliaia di server di siti, aziende, istituzioni. L’ACN (Agenzia per la Cybersicurezza Nazionale) è stata fra le prime a lanciare l’allarme, ma il nostro Paese è stato preso di mira marginalmente: dei 1682 server colpiti, solo 19 erano italiani. E si tratta di privati, non di istituzioni: anche le voci sull’università Federico II non sono vere.

Fonte: A. Greco, Attacco hacker, ecco i server italiani colpiti. Prende quota l’ipotesi di un “colpo commerciale”

Francia e Germania fanno sapere che da loro, invece, il cyberattacco ha colpito soprattutto server di ospedali e ambulatori. Qualcosa che rischia di mettere in tilt la sanità e permettere il furto di dati sensibili dei cittadini.

Il cyberattacco ha colpito i server di VWare EXSi, un sistema di virtual machines messo in piedi da Dell, in grado di mettere in interconnessione diverse macchine per orchestrare il lavoro fino a 128 dispositivi virtuali contemporaneamente. Un portavoce di VWare ha spiegato come si sia sfruttata una vulnerabilità che l’azienda aveva già risolto nel 2021, e che i server colpiti non avevano installato gli ultimi aggiornamenti.

Cyberattacco: Palazzo Chigi e l’ACN non minimizzano.

C’è stato negli ultimi anni un salto di qualità comunicativo e di competenza su questo tema: prima si cercava di minimizzare la portata degli attacchi e l’argomento era considerato marginale. In questo caso, invece, è Palazzo Chigi stesso a rilasciare una nota sul tema:

“In merito all’attacco hacker verificatosi su scala mondiale, la riunione tenuta stamane a Palazzo Chigi […] ha consentito di capire quanto accaduto, pur gravissimo, non ha causato danni all’Italia: nel nostro Paese nessuna istituzione dello Stato né alcuna azienda che opera in settori critici per la sicurezza nazionale è stata colpita

A preoccupare, però, è il fatto che fossimo esposti fin dal 2021. La stessa ACN aveva sollecitato le aziende colpite a prendere misure più massicce rispetto a quella che è una delle minacce chiave per chi fa business.

Qualcosa di ancora più importante in UE, dove la legislazione per la privacy è diventata sempre più stringente: dal GDPR (2016) in poi, ogni azienda che non implementa tutte le policy e best practices in ambito di cybersecurity, può essere multata fino al 4% del suo fatturato annuo in caso di cyberattacco andato a buon fine.

Cyberattacco: I responsabili sono ancora ignoti

Il modus operandi classico delle agenzie di ransomwaring è fatto di passi ben cadenzati: cyberattacco; furto di dati; blocco dei server; conto alla rovescia e richiesta di riscatto in criptovalute; se non si paga, la gang pubblica i dati.

Un lavoro per gruppi di hacker che sono tutt’altro che dilettanti e hanno un’organizzazione del lavoro estremamente complessa. Di solito ci sono negoziatori, consulenti finanziari per permettere il riciclaggio della somma richiesta, esperti di comunicazione per rendere tutto questo accettabile al pubblico.

I primi sospettati erano i russi: all’inizio della guerra, molte “compagnie” private si schierano a favore del Governo di Vladimir Putin. Questo da il via a una massiccia ondata di cyberattacchi Ma questa sembra una pista da scartare. Si potrebbe anche trattare di un attacco su vasta scala messo in piedi da gruppi differenti.

Per il momento, riporta Repubblica, in Italia le richieste di riscatti per il ripristino del server ammontano a 2 bitcoin (39.000 € circa). Tant’è che il mancato pagamento potrebbe essere legato a una “strategia della fermezza”, piuttosto che a una reale convenienza: il ripristino dei server costerebbe di più del riscatto stesso.

Per un cyberattacco la prevenzione inizia da te

La prima raccomandazione per guardarsi da questo tipo di attacchi è di fare backup periodici dei dati all’interno del proprio server aziendale. In questo modo li si può ripristinare agevolmente in caso di attacco e diminuire il potere di ricatto delle organizzazioni criminali.

Un altro consiglio è di non accettare di pagare. Questi gruppi operano in una situazione di assoluta impunità; oltre alla questione morale, ce n’è una pratica: spesso truffano le loro stesse vittime. Secondo il report Sophos 2021, a pagare è il 46% delle aziende; ma solo nel 4% dei casi le gang restituiscono la totalità dei dati.

Un concetto ribadito dal Kaspersky Condumer IT Security Risks Survey 2021: in Italia, nel 2020 il 39% delle vittime ha pagato il riscatto per poter riaccedere ai propri dati. Fra loro, il 43% non ha recuperato le informazioni rubate. Il 33% dice di aver perso tutto, a prescindere dall’aver pagato o meno.

Per continuare, sicuramente altre due misure fondamentali sono quelle di installare aggiornamenti di sicurezza. Anche perché, la maggioranza delle volte, le aziende riescono a correggere i bug di un nuovo sistema dopo pochi mesi. Altra cosa molto utile è di fornirsi di una figura deputata alla cybersecurity all’interno della propria azienda.

Ultimo suggerimento, che forse è il più importante: non cercare di nascondere, soprattutto alle autorità e all’interno di un’azienda, un cyberattacco. Meglio rivolgersi il prima possibile a qualcuno che possa quantificare il danno e fornire assistenza, pena la rottura del rapporto di fiducia instaurato coi propri clienti e un rischio legale non inddifferente.   

Cyberattacchi: a rischio i nostri dati sanitari…

Com’è ovvio, questo non è il primo, né l’unico attacco messo in atto da gang di criminali informatici di questo tipo. Nelle ultime tre settimane vengono colpite diverse agenzie di trading con base nel Regno Unito, oltre alla Royal Mail. Un incidente grave, quello al servizio postale, direttamente rivendicato dai russi. A intestarsi l’attacco la gang di Ransomware as a Service Lockbit, la settima organizzazione più di successo al mondo in questo campo. Per dare un’idea, nel 2021 ha estorto 15 mln di $ circa in riscatti.

Non è il primo cyberattacco alla Gran Bretagna: nel 2017 un virus d’origine coreana, Wannacry, attacca il Servizio Sanitario nazionale. Servizio Sanitario che paga circa 59.000 $.

Anche il nostro Paese è stato un bersaglio vulnerabile: nell’agosto 2021, con il trojan RansomEXX vengono attaccati i server della sanità della Regione Lazio. Qui la dinamica è bizzarra: la Regione dice di non aver pagato, ma molti hanno sollevato dubbi rispetto alla mancata pubblicazione e furto di dati. Anche le strade del nostro Paese si sono incrociate con Lockbit: mettono in piedi un’operazione contro l’ULSS di Padova, il 3 dicembre 2021. Si opta per la fermezza, ma il destino di quei dati è segnato: a gennaio 2022 Lockbit pubblica quelli di 9000 pazienti. Dulcis in fundo, sempre Lockbit compie un altro attacco all’Agenzia delle Entrate, nel dicembre scorso.

…E social

Ma non c’è solo la sanità: nell’aprile 2021 c’è la violazione di 533 mln di account Meta. In questo caso, a noi tocca la maglia nera di nazione più colpita: 35 mln di account. A livello internazionale, le vittime più illustri sono Mark Zuckerberg e di Jack Dorsey, founder di Twitter. Oltre il danno, anche la beffa: i responsabili del furto pubblicano il numero di telefono del CEO di Meta (già alle prese coi contraccolpi mediatici e di security di Cambridge Analytica).

Altro attacco storico è quello messo in piedi contro i server di Discord, nel 2021. Un bello smacco, per una delle applicazioni di messaggistica più amate dalla comunità degli sviluppatori.

Dulcis in fundo, c’è l’hacking di Stato, messo in piedi di solito da Stati-canaglia. Spesso si tratta di furti di criptovalute fatti per aggirare sanzioni e colpire obiettivi strategici. Un business tutt’altro che secondario: le stime calcolano più di 400 mln di furti da parte della Corea del Nord per il solo 2021. Tutti soldi dirottati poi sul programma nucleare di Pyongyang.

Ma il centro del ransomwaring a livello mondiale è la Russia. Mosca non andava sottovalutata prima della guerra in Ucraina (lo dimostra il cyberattacco alla Colonial Pipeline, il più grande oleodotto degli Stati Uniti, bloccato per diversi giorni). Dopo marzo 2022 è una minaccia ancora più forte nell’ambito dei cyberattacchi.  

Quando il gioco della cybersecurity si fa duro, Oplium scende in campo

Spindox è consapevole che, in tutta la filiera del customer service, è importante non sottovalutare la cybersecurity. Proprio per questo, ha messo in piedi una partnership con Oplium, società in prima linea per la protezione informatica, con base in Brasile. Un’azienda giovane, nel 2019 e specializzata in cyber intelligence, privacy digitale e rischio informatico.

Il CEO di Oplium Italia, Claudio Merulla, ha deciso di rilasciare una dichiarazione sull’accaduto:

“Come addetti ai lavori, siamo ben coscienti che la sicurezza informatica da tempo non è più un nice-to-have. I fatti dell’ultimo periodo ce lo ricordano, nel caso ce ne fosse bisogno. Non c’è giorno, infatti, in cui gli effetti di un virus, di una ransomware o di un’esfiltrazione non siano riportati dai media, esponendo le aziende vittime e minandone la reputazione. Nella corsa alla digitalizzazione e all’automazione spinta di processi produttivi e amministrativi, dobbiamo leggere, oltre agli indubbi benefici, anche i rischi per la sicurezza informatica e la necessità di riconoscerli e gestirli in modo appropriato e tempestivo.

Il caso segnalato dagli organi di sicurezza internazionali e nazionali, tra i quali il CSIRT e l’Agenzia per la Cybersecurity Nazionale, e riportato degli organi di informazione con grande enfasi domenica scorsa riguardo un attacco informatico di grande portata ai server di molte aziende, non è altro che uno sfruttamento di vulnerabilità note di sistemi non adeguatamente aggiornati. Si è trattato infatti di un presunto attacco ransomware che ha infettato i server VWware ESXi con vulnerabilità conosciuta da più di due anni, per le quali è disponibile una patch da tempo, ma che, evidentemente, in molte aziende è stata trascurata.

È necessario destinare risorse aziendali al tema della sicurezza informatica. Ciò deve essere considerato un investimento di business, non un semplice costo interno.

Come società del gruppo Spindox focalizzata sulla sicurezza digitale, abbiamo la missione di supportare il mondo delle imprese nel loro cyber journey, in modo che il business digitale si sviluppi in modo cosciente e sicuro.

Sempre più di frequente le aziende riconoscono in Oplium non solo un fornitore specializzato, ma soprattutto un partner ideale per affrontare le minacce cyber. E dopo un 2022 in cui abbiamo raggiunto risultati economici e di posizionamento di rilievo nel settore, abbiamo iniziato il 2023 con un’accelerazione importante nel business nazionale della sicurezza lasciando presagire un anno di ulteriori soddisfazioni, sempre accanto ai nostri clienti”

Oplium è un’eccellenza riconosciuta anche da grandi società di consulting come Gartner, Forrester e IDC. Fra le principali soluzioni offerte ci sono J-Oplium (Cyber Intelligence e Tracing piattaforma olistica), Fraud decision (che permette di valutare le transazioni e-commerce basandosi sulle impronte digitali) e PSE-Oplium (protezione di dati personali e sensibili).

Grazie alla sua natura di company globale, nel giro di pochi anni Oplium ha sviluppato un insieme di partneship prestigiose. In questo modo, l’azienda stessa è sempre in prima linea rispetto alle innovazioni del mondo del mercato e della cybersecurity.

Perché la sfida dell’innovazione nel mondo business di oggi è una battaglia persa, senza sicurezza.    

Camillo Cantarano
Camillo Cantarano
Ho sempre avuto le idee chiare: ho una laurea triennale storia medievale e sono vissuto a Parigi, quindi adesso lavoro nell’ambito di comunicazione e giornalismo a Roma. In mezzo, ho studiato giornalismo, ho lavorato su mondo crypto e criminalità, ho scritto un po’ e ho accumulato tante esperienze significative. Non mi spaventa scrivere di nessun argomento, a parte “scrivi qualcosa su di te”

Potrebbe piacerti anche

Cybersecurity, arriva la NIS 2: cosa cambia per le infrastrutture critiche e come Spindox aiuta i suoi clienti

Cybersecurity, arriva la NIS 2: cosa cambia per le infrastrutture critiche e come Spindox aiuta i suoi clienti

Dal 17 ottobre 2024 la NIS 2 è pienamente vigente. La direttiva introduce nuove regole per la sicurezza informatica delle infrastrutture critiche e dei servizi essenziali in Europa. Le aziende nei settori energetico, sanitario, delle telecomunicazioni e altri sono chiamate ad adeguarsi a standard più elevati. Chi è impattato, i rischi di non conformità e il ruolo di Spindox nell’aiutare i clienti a migliorare la propria sicurezza.