TL;DR La gang “Conti” pubblica un piccolo archivio dei dati presumibilmente sottratti durante l’attacco di Novembre ai sistemi informatici del Comune di Torino. Solo uno dei tanti attacchi portati a segno e che, nell’ultimo periodo, stanno intensificandosi. Con conseguenze, e costi, preoccupanti.
“Una vigile e provvida paura è la madre della sicurezza.”
Edmund Burke
Un piccolo file .zip di neppure 10 Mbyte contenente, dicono, documenti amministrativi del Comune di Torino è stato pubblicato ieri sul blog della ransomware gang “Conti”.
Probabilmente solo un sample (è improbabile che una gang “blasonata” come Conti possa aver fallito nel suo tentativo di esfiltrazione dati, pubblicando un piccolo archivio) per tentare di spaventare la vittima e indurla a pagare il riscatto chiesto dai cybercriminali. Probabilmente è il risultato dell’attacco di metà Novembre che, come specificarono dal Comune di Torino, «I servizi del Comune non sono stati compromessi, ma possono verificarsi alcuni disservizi agli sportello, dovuti a misure cautelative di contrasto alla diffusione del malware. Si rassicurano gli utenti che nessun dato personale è stato compromesso e che sono disponibili i backup». Sempre a Torino, qualche mese prima (ad Aprile), cadde vittima di attacco anche l’ATC –Agenza Territoriale per la Casa– con i sistemi informatici bloccati per giorni e quasi 1 mese per il ritorno all’operatività.
Il Comune di Torino è solo una delle ultime PA italiane attaccate da un ransomware: pochi giorni fa l’attacco alla ULSS6 di Padova, che si è ritrovata il sistema informatico bloccato e disagi per gli utenti a causa del ransomware HiveLeaks. Caduta vittima di ransomware anche ALIA, la municipalizzata che si occupa del servizio di raccolta rifiuti urbani nell’area fiorentina, causando disservizi ai servizi web per i cittadini.
Anche il settore privato non ha di che stare tranquillo: l’ultima a subire le conseguenze di un attacco ransomware, sempre della gang “Conti”, è stata la Clementoni, marchio storico italiano nel settore dei giochi, e purtroppo gli indizi lasciano pensare che non sarà l’ultima vittima nostrana dei cybercriminali.
Secondo il Kaspersky Security Bulletin’s Story of the Year: Ransomware in the Headlines, nel 2021 un attacco su due è stato da parte di un ransomware, con un incremento del 12% rispetto all’anno precedente, e non ci sono indizi che questa strage digitale possa rallentare, quantomeno non nel breve periodo.
La relazione periodica di Trend Micro ha riepilogato le 4 classi di strategie messe in atto dalle ransomware gang per monetizzare i loro attacchi. Dalla semplice cifratura dei dati e la richiesta di pagamento per ottenere la chiave, passando per l’esfiltrazione dei dati (e la minaccia di pubblicarli) e l’uso dei sistemi ICT della vittima per compiere attacchi DDoS, la quarta generazione punta a colpire direttamente clienti e stakeholders del bersaglio. La pericolosità di questa ultima strategia, usata per la prima volta dalla gang Clop ad Aprile, è evidente: i cybercriminali dietro Clop inviarono una mail a tutti i clienti dell’azienda colpita, informandoli che i loro dati personali erano stati compromessi e che, se l’azienda si fosse rifiutata di “collaborare” (leggasi: pagare), le informazioni sarebbero state rese pubbliche.
Secondo le stime pubblicate da Cisco nel suo “The cost of ransomware attacks: Why and how you should protect your data“, nel 2020 ogni attacco è costato in media oltre 310.000$ di riscatto (e il 58% delle organizzazioni colpite lo ha pagato). Il costo per il ritorno alla operatività aziendale si aggira su una media di 500.000$, tra investigazione e ripristino dei sistemi, oltre ai 16 giorni necessari per le operazioni tecniche, a cui aggiungere, ovviamente, anche i costi reputazionali.
Come più volte sottolineato anche in queste pagine, gli attacchi spesso sono la conseguenza di vulnerabilità, più o meno gravi, nei sistemi ICT esposti in Rete. La minaccia può entrare anche a causa di personale connesso sia da remoto (es. lavoro “agile”), attraverso sistemi personali compromessi, che usando supporti di memorizzazione con software malevolo o scaricando, dalla Rete, software o documenti compromessi. La minaccia può arrivare anche via mail, atttraverso dropper mascherati da documenti Office, che attraverso sistemi “impensabili”, come stampanti o altri dispositivi IoT vulnerabili esposti in Rete.
In un recentissimo articolo di ForumPA sono state riassunti “i cinque controlli grazie ai quali evitare l’85% degli attacchi“, presi dal CIS Critical Security Controls:
- inventario e controllo delle risorse hardware;
- inventario e controllo delle risorse software;
- costante vulnerability management;
- uso controllato dei privilegi amministrativi;
- configurazione sicura per hardware e software su qualsiasi dispositivo aziendale;
E voi, a che punto siete?