I più eclatanti attacchi informatici del secondo semestre 2021
17 Dicembre, 2021
Il 2021, ormai giunto al termine, ha portato con sé moltissimi cambiamenti soprattutto nel mondo digitale.
I cambiamenti positivi portano anche cambiamenti negativi e spesso inaspettati. Se il 2021 è stato l'anno che ha visto un'impennata dei processi di digitalizzazione, è stato anche l'anno che ha visto crescere in modo esponenziale gli attacchi informatici.
Siamo giunti alla fine dell'anno e in soli sei mesi gli attacchi di pirateria informatica sono stati moltissimi.
È giusto fare una precisazione spiegando che il termine hacker ha un'accezione positiva in quanto si tratta di un soggetto che agisce in modo etico per scopi benevoli; viene anche soprannominato White Hat (cappello bianco). Il cracker è invece un cyber criminale che agisce con intenti malevoli e viene soprannominato Black Hat (cappello nero). Nel linguaggio comune si utilizza il termine hacker senza distinzione, pertanto lo utilizzeremo anche noi in questo articolo per semplificare la lettura.
Nel web nessuno è al sicuro, così avevamo iniziato l'articolo di giugno e a distanza di sei mesi non possiamo che confermarlo se non con un'unica nota: tra gli utenti del web sta crescendo la consapevolezza dei rischi che corrono ogni giorno online. Questa consapevolezza non è però sufficiente, per questo motivo è importante che le persone siano a conoscenza della vulnerabilità della propria privacy e che le aziende siano consce della vulnerabilità della loro proprietà intellettuale e del loro patrimonio informativo.
Per approfondire i numeri sugli attacchi informatici consigliamo la lettura del Rapporto Clusit 2021 (https://clusit.it/rapporto-clusit).
I più eclatanti del secondo semestre:
La Regione Lazio è stata vittima di un attacco informatico in data 30 luglio. Alcuni sistemi informativi sono stati violati compromettendo l'utilizzo di alcuni servizi e applicazioni a disposizione dei cittadini.
L'attacco ha reso necessario il blocco tutti i sistemi informatici, tra cui quello della campagna vaccinale per Covid-19. La piattaforma destinata alle prenotazioni infatti è stata offline per diversi giorni, fino alla sua riattivazione il giorno 5 agosto.
L'attacco è stato di tipo ransomware e dall'analisi dell'IP risulta essere stato messo in atto da RansomExx, un gruppo noto per i suoi attacchi a governi di diverse nazioni.
Nonostante il Presidente della Regione Lazio, Nicola Zingaretti, avesse dichiarato che nessun riscatto era stato chiesto e nessun dato fosse stato compromesso, in rete era apparso un messaggio da parte del presunto hacker con un invito ad essere contattato.
Secondo quanto emerso, sembrerebbe il che il malware sia partito dal computer di un dipendente che lavorava in smartworking. Computer al quale erano stati assegnati dei privilegi che hanno permesso all'hacker di operare con un account di tipo admin e criptare quindi i dati del database. In seguito è emerso che i dati sanitari non fossero stati criptati ma semplicemente cancellati e grazie ad un back-up sono stati ripristinati in breve tempo. Non è stato possibile invece recuperare dieci anni di documenti regionali che garantirebbero la piena operatività della regione.
GoDaddy Inc. è una società statunitense con più di 7 mila dipendenti, quotata in borsa, con sede a Tempe in Arizona.
È il registrar di nomi di dominio più grande del mondo, molto conosciuta anche per i propri servizi di web hosting.
Si tratta pertanto di una tra le società che vantano i più alti livelli di sicurezza informatica al mondo, ma nonostante questo la società è stata presa di mira con successo numerose volte dagli hacker. Il 22 novembre GoDaddy ha presentato un esposto al Securities and Exchange Commission (SEC) degli Stati Uniti per denunciare una serie di violazioni avvenute per un periodo prolungato. L'attacco infatti ha avuto origine il 6 settembre ed è stato bloccato solo il 17 novembre, giorno in cui l'azienda ha scoperto l'hackeraggio.
L'attacco sembrerebbe avvenuto tramite una password compromessa, che ha consentito al cyber criminale l'accesso ai server di gestione dell’infrastruttura per gli hosting di siti web WordPress.
Si è trattato di un data breach: una violazione dei dati di milioni di persone. Infatti, sono stati rubati dati di 1,2 milioni di clienti tra cui i nomi utente, le password sFTP e diversi dati interni ai database dei clienti stessi. La società è ricorsa ai ripari revocando tutte le password compromesse, ma i danni e i rischi associati sono di ampia entità.
CGIL (Confederazione Generale Italiana del Lavoro) è uno dei maggiori sindacati italiani.
Il 9 ottobre la sede nazionale di Roma è stata assediata da alcuni manifestanti durante un corteo "No Green Pass" e nelle stesse ore è stata vittima anche di un hackeraggio. Si pensa pertanto che la matrice dell'attacco informatico sia la stessa dell'assedio alla sede centrale.
Si è trattato di un attacco di tipo Ddos (Distributed denial-of-service). Questa tipologia di attacco consiste nell'invio di un numero eccessivo di richieste di accesso, causando il sovraccarico dei server e rendendo irraggiungibile il sito web. Si tratta di un attacco che ha l'obiettivo di disturbare l'attività svolta online, senza che vengano rubati dati o danneggiate le infrastrutture informatiche.
Questi continui tentativi di accesso hanno portato offline il sito CGIL diverse volte nell'arco della giornata.
Le analisi svolte hanno riscontrato picchi di 130 mila tentativi di connessione provenienti soprattutto da paesi esteri quali Stati uniti, Germania, Cina, Repubblica Ceca, Indonesia.
Il disagio si è protratto per diversi giorni e il caso è stato denunciato sia alla polizia postale per l'attacco informatico sia alla Digos per l'assalto alla sede.
La SIAE - Società Italiana degli Autori ed Editori - è un ente pubblico italiano che ha il compito di tutelare ed intermediare il diritto d'autore.
L'attacco è avvenuto il 20 ottobre da parte del gruppo di hacker Everest, specializzato in ransomware. Il ransomware è un codice malevolo che viene installato nel computer della vittima quando quest'ultima scarica un file infetto. Tale codice permette di rubare i dati e crittografare quelli presenti localmente, rendendoli non disponibili. I criminali in genere ricattano le vittime chiedendo un riscatto per non rendere pubblici i dati sottratti e per restituirli al legittimo proprietario affinché siano nuovamente fruibili.
Il termine ransomware prende il nome da ransom che significa riscatto e comprende spesso un CryptoLocker che cifra tutti i dati per renderli inutilizzabili all'utente.
Nel caso specifico della SIAE, il gruppo ha intercettato 60 gigabyte di dati per un totale di circa 5.200 file contenenti informazioni riservate sia della società che degli artisti senza però cifrarli per renderli inutilizzabili. Lo scopo di questo attacco è stato solo quello di chiedere un riscatto per non rendere pubbliche le informazioni rubate. La SIAE si è rifiutata di pagare il riscatto di 3 milioni di dollari, quindi il gruppo Everest ha pubblicato 1,95 gigabyte di dati, ha chiesto un riscatto ai singoli artisti per 10 mila euro in bitcoin e ha messo in vendita l'intero ammontare di file/dati nel proprio sito web a 500 mila dollari. Sembrerebbe che nemmeno gli artisti stessi siano ceduti al riscatto.
San Carlo Gruppo Alimentare S.p.A. è un'azienda specializzata nella produzione di patatine, grissini, crostini, popcorn, pangrattato, toast, piadine e tramezzini.
L'attacco è stato architettato il 26 ottobre dal gruppo ransomware denominato Conti, noto per attaccare senza scrupoli strutture sanitarie, pronti soccorso, e forze dell'ordine. Il gruppo di hacker gestisce un proprio sito sul dark web chiamato "leak site" sul quale rende pubblici gli hackeraggi e i dati rubati.
Nel caso del gruppo San Carlo, gli hacker hanno rubato e bloccato una lista di file ed informazioni per una dimensione di circa 60 MegaByte. I file sottratti riguardavano informazioni aziendali e dei propri collaboratori come ad esempio passaporti, carte di identità, fatture e documenti riservati. Tali informazioni sono state rese pubbliche ed è stato richiesto un riscatto per la restituzione dei file e della piena funzionalità del sistema informativo aziendale. La San Carlo ha dichiarato di non essere intenzionata a pagare il riscatto, in quanto è in possesso di tutti i back-up per ripristinare l'intero sistema.
Media Markt, in Italia MediaWorld, è una catena di distribuzione, di origine tedesca con sede a Düsseldorf, specializzata nell'elettronica e negli elettrodomestici di consumo.
Tra il 7 e l'8 di novembre, a pochi giorni di distanza dal Black Friday, Media Markt è stata colpita da un duro attacco di tipo ransomware, che ha messo in crisi l'intero sistema informatico dell'azienda e anche della divisione italiana MediaWorld. I negozi sono rimasti aperti, riuscendo a svolgere la maggior parte delle attività, ad esclusione, ad esempio, del reso e del ritiro dei prodotti.
L'attacco è stato architettato dal giovane gruppo Hive fondato a giugno 2021, già noto nel settore per i suoi ransomware. Il gruppo, prendendo il controllo del loro sito web, ha preso contatto con lo staff di Media Markt richiedendo un riscatto che, secondo le prime dichiarazioni, ammontava a 50 milioni di dollari, ovviamente in criptovaluta. L'1 dicembre, il gruppo ha rivendicato l'attacco nel proprio sito con una richiesta di riscatto che ammontava invece a 240 milioni di dollari.
Non è stato reso pubblico se l'azienda abbia o meno pagato il riscatto.
IKEA, colosso svedese leader nel settore dell'arredamento e oggettistica per la casa, è stata vittima di un attacco informatico venerdì 26 novembre.
L'attacco ha interessato il sistema di posta elettronica ad uso interno dell'azienda. Nello specifico sono stati sfruttate le vulnerabilità ProxyLogon e ProxyShell dei server di posta adottati. Si tratta del server di posta Microsoft Exchange Server. Proprio il server di posta Microsoft Exchange Server aveva già subito un attacco importante nel primo semestre del 2021.
La tipologia di attacco è di tipo phishing, una truffa telematica molto diffusa, tramite la quale vengono rubati dati e informazioni personali degli utenti. Infiltratosi all'interno del sistema di email, il malintenzionato riesce ad impersonare un utente interno rispondendo ad una precedente email ricevuta, che quindi risulta proveniente da un indirizzo di posta conosciuto. Generalmente con queste email malevole l'hacker richiede dati e informazioni personali quali account e password per accedere ai sistemi informatici e prenderne il controllo. Tale metodologia prende il nome di Stolen internal reply-chain emails.
Nell'attacco cyber sono state coinvolte altre aziende partner di Ikea.
L'AULSS 6 Euganea è l'azienda ospedaliera di Padova e fa parte della regione Veneto.
L'attacco, avvenuto nella notte di venerdì 3 dicembre, ha paralizzato l'intero sistema sanitario locale causando problemi anche all'interno dei punti prelievo e i centri vaccinali. Il malware ha bloccato improvvisamente tutti i sistemi informativi.
Attraverso un comunicato stampa l'azienda ha dichiarato che "Il personale informatico dell’Azienda ha prontamente messo in sicurezza i sistemi isolando le macchine infette, al fine di contenere al meglio l’effetto virale. Si è quindi provveduto alla preparazione di una nuova infrastruttura di emergenza con l’obiettivo di riattivare gradualmente i servizi. Fin dalla mattinata di venerdì i punti vaccinali hanno potuto funzionare, in quanto sono stati collegati in modalità provvisoria. Contestualmente è stata prontamente attivata una task force di oltre sessanta tecnici informatici aziendali e collaboratori esterni, che ha iniziato ad operare su tutti i presidi (ospedali, distretti socio-sanitari ecc.), per la bonifica delle macchine".
Su altri fronti quali Pronto soccorso e Terapie intensive le attività si sono svolte tramite supporto cartaceo.
Clementoni è un'azienda italiana con sede a Recanati che si occupa della produzione di giocattoli educativi.
L'attacco è arrivato il 4 dicembre, nel pieno del periodo di shopping natalizio, da parte del gruppo ransomware Conti che aveva colpito anche la San Carlo qualche mese prima.
L'attacco è stato rivendicato dal gruppo Conti all'interno del proprio sito già il 6 di dicembre. Il gruppo ha dichiarato di aver rubato dati per 111 GB, un numero importante di informazioni. Non si sa però di che dati si tratti, l'unica cosa certa è che la Clementoni ha ricevuto la classica richiesta di riscatto per tornare in possesso di tutti i dati ed evitare la loro divulgazione online.
Il gruppo Conti, come altri gruppi ransomware, utilizza la tecnica della doppia estorsione "pay-now-or-get-breached" "pagate ora o sarete violati", ovvero intimano la vittima a pagare il riscatto per tornare in possesso dei dati e affinché non vengano divulgati. La tecnica della doppia estorsione ha preso piede da quando le aziende hanno iniziato a dotarsi di back-up per far fronte a tali rischi. Infatti, grazie all'utilizzo di back-up da parte di un numero sempre maggiore di aziende, la semplice criptatura dei dati non risulta più efficace al fine dell'indisponibilità degli stessi. Il ricatto di pubblicazione dei dati è la nuova frontiera per ottenere il riscatto.
La Clementoni ha ripreso le sue normali attività ma non è chiaro se ci sia riuscita tramite i propri informatici o pagando il riscatto, anche se di questo non è noto l'importo.
Sulla sicurezza informatica
Tutti questi attacchi informatici avvenuti ad aziende di così grandi dimensioni devono far riflettere i responsabili d'azienda: CEO, amministratori, IT manager e Marketing manager che sono designati a proteggere le informazioni aziendali e i dati di clienti, fornitori e dipendenti.
Le aziende fondano il loro successo proprio sulle informazioni e sulla proprietà intellettuale. La possibilità che queste vengano violate comporta gravi rischi per il futuro dell'azienda e dei suoi dipendenti.
Come possono le aziende proteggersi da questi continui attacchi?
Spesso le aziende affidano la propria sicurezza informatica agli strumenti più comuni quali gli antivirus, i firewall, l'uso dei proxy e l'aggiornamento continuo dei sistemi operativi, che hanno una funzione di difesa perimetrale, ovvero servono per bloccare gli attacchi che avvengono dall'esterno e lungo il perimetro.
Questi strumenti spesso non bastano. Una volta che i cybercriminali hanno trovato la falla nel perimetro, hanno accesso ai sistemi informativi dell'azienda e ai suoi dati.
Paragonando i sistemi di difesa perimetrale ai musei, potremmo includere in questi sistemi le porte d'ingresso blindate e i sistemi di allarme. Ma se i ladri riescono a disattivare l'allarme e scassinare la porta blindata, le opere d'arte sono ancora al sicuro? Dipende!
Alcuni musei, a seconda del valore delle opere d'arte esposte, decidono se adottare o meno ulteriori misure di sicurezza interne.
Spesso le aziende sottovalutano il fatto che, oltre alla possibilità di oltrepassare la sicurezza perimetrale, anche i dipendenti "infedeli" hanno accesso diretto ai sistemi informativi aziendali e possono operare indisturbati senza lasciare traccia del loro passaggio.
Anche i dipendenti fedeli, ma non consapevoli dei rischi che corrono, ad esempio aprendo alcune mail, navigando in siti web non affidabili o semplicemente salvando le proprie credenziali sui famosi Post-it, possono creare vie d'accesso ai sistemi informatici delle aziende.
Sicurezza delle web application
La vulnerabilità dei sistemi di protezione perimetrali e la presenza di dipendenti "infedeli" e non consapevoli mettono in evidenza che la sicurezza informatica deve essere analizzata e implementata ad un livello più ampio, includendo tra i fattori chiave lo sviluppo di web application secondo i più elevati standard di sicurezza.
Lo sviluppo di web app aderenti agli standard di sicurezza garantisce uno dei più importanti livelli di garanzia dalle minacce e assicura che, in caso di violazione della sicurezza perimetrale o della presenza di dipendenti malintenzionati o non consapevoli, i dati rimangano al sicuro e la web app continui a funzionare senza interruzioni.
Continuando con l'esempio dei musei, la sicurezza delle web app e i sistemi di sicurezza interni sono paragonabili alla sicurezza interna che protegge le singole sale e le singole opere tramite l'utilizzo di sezioni stagne e di teche.
Ogni azienda e ogni software house adotta diversi gradi di sicurezza nello sviluppo delle loro web application.
Spesso però si trascurano elementi fondamentali quali:
- l'utilizzo delle linee guida OWASP per sviluppare applicazioni web sicure;
- la differenziazione del controllante dal controllore facendo svolgere l'attività di debug (ricerca di errori di funzionamento, verifica della corretta implementazione degli algoritmi e controlli di sicurezza) a persone che non hanno sviluppato l'applicazione;
- l'utilizzo di tool per effettuare scansioni di sicurezza;
- scansioni di sicurezza effettuate da società terze;
- l'utilizzo di strumenti di sviluppo e componenti software di qualità (ad esempio noi utilizziamo il DBMS PostgreSQL in quanto lo riteniamo più sicuro rispetto a MySQL);
- l'utilizzo di protocolli di comunicazione criptati https all'interno delle reti locali e delle intranet.
(Fonte: https://www.webforma.it)