Ransomware vs Pubblica Amministrazione: tra vaccini e cyber-crime

<<Si conferma anche nel 2020 una tendenza inequivocabile e molto pericolosa: gli attacchi possono fare affidamento sull’efficacia del Malware “semplice”, prodotto industrialmente a costi decrescenti in infinite varianti, su Vulnerabilità note e su tecniche di Phishing / Social Engineering relativamente semplici, per conseguire la gran maggioranza dei loro obiettivi.>>

Queste considerazioni erano emerse nel Rapporto Clusit 2021, in cui è stata analizzata una panoramica degli eventi cyber-crime più significativi avvenuti a livello globale nel 2020.

L’anno della pandemia infatti registra il negativo record di attacchi informatici: risultano essere stati ben 1.871 gli attacchi gravi di dominio pubblico (+12% rispetto al 2019).

Per arrivare ad ottenere tali risultati i cyber criminali hanno sfruttato:

  • la situazione di disagio collettivo
  • le difficoltà vissute da alcuni settori
  • la scarsa (a volte quasi assente) implementazione dei sistemi di Cyber Security a protezione del perimetro aziendale.

Tra i settori più colpiti spiccano quello della Pubblica Amministrazione, Sanità, Governativo, Ricerca e Istruzione, Servizi Online.

Il caso di cyber-crime nella Regione Lazio

Se da un lato si era già a conoscenza dell’aumento dei casi di attacchi veicolati tramite l’abuso della supply chain e l’affermato utilizzo dei Malware, ovvero la compromissione di terze parti che permette ai cyber criminali di colpire l’obiettivo desiderato, dall’altro lato sembra che questa consapevolezza non si sia tramutata in interventi infrastrutturali concreti.

Proprio questo è lo scenario che ha visto coinvolti i servizi della Regione Lazio. La diffusione di un Ransomware, una tipologia di Malware che sottrae dati sensibili e presenta una richiesta di riscatto, ha bloccato molti sistemi; dall’intero sito delle prenotazioni dei vaccini della regione Lazio alla VPN per l’accesso ai dipendenti.

Pare che l’attacco informatico sia arrivato tramite un fornitore, anch’esso compromesso da un ransomware da mesi. La propagazione è poi avvenuta sfruttando, come primo gate di accesso, le credenziali di una VPN non correttamente protetta.

Dare accesso via VPN è come dare le chiavi di casa

A quanto ci fa sapere il centro di divulgazione delle vulnerabilità (CERT/CC) alcuni client VPN risultano vulnerabili. Ciò sta nel fatto che per consentire l’utilizzo delle applicazioni aziendali senza dover inserire ogni volta le credenziali, i token di autenticazione e i cookie di sessione vengono memorizzati sui computer degli utenti, in memoria o nei file di log.

Questa azione è assolutamente lecita e non creerebbe nessun problema, se non fosse che i dati vengono memorizzati in chiaro. L’assenza di un qualsiasi algoritmo di crittografia al di fuori del perimetro aziendale adeguatamente protetto permetterebbe ad un cyber criminale di esfiltrare i token di autenticazione per falsificare la sessione VPN della vittima.

In questo modo le connessioni VPN diventano un canale per violare le reti aziendali attraverso la semplice compromissione di un singolo dispositivo utilizzato da un dipendente.

Di fatto è come nascondere le chiavi di casa sotto allo zerbino.

Prevenire è meglio che curare

Gli attacchi Ransomware sono ormai da anni frutto di campagne perfezionate nei minimi dettagli, a volte automatizzate per colpire il più alto numero di target possibili, altre pianificate scrupolosamente verso target specifici.

Per quanto le conseguenze di un attacco Ransomware possano essere gravissime, un incidente di questo calibro non è “anomalo” né tantomeno “senza precedenti”, come riportano diverse testate giornalistiche. Chiunque può essere vittima di un Malware, dalla famiglia, alla micro impresa, alla Pubblica Amministrazione.

Adesso la vera domanda non è cosa è successo ma piuttosto “Cosa si sta facendo?”. Un attacco ransomware può essere disastroso, ma solo se la vittima non è in grado di adottare adeguate misure di mitigazione e prevenzione. La gravità delle conseguenze dipende esclusivamente dalle capacità di risposta e dalle strategie aziendali in tema di Cyber Security.

Vale la pena ricordare che l’ultimo decreto attuativo del perimetro nazionale di sicurezza cibernetica fa proprio riferimento agli standard di sicurezza per la Cyber Security e la Data Protection, prevedendo un piano di risposta agli incidenti oltre ad un ripristino di emergenza.

In conclusione, per prevenire eventi critici e attacchi informatici di qualsivoglia natura ed entità è bene:

  • conoscere il perimetro della propria infrastruttura
  • non accedere direttamente alla rete aziendale tramite una VPN non sicura ma utilizzare servizi di remote desktop
  • rafforzare la Cyber Security
  • implementare piani di Business Continuity e Disaster Recovery
  • affidarsi ad esperti MSP

 

Per valutare se la tua azienda è pronta per gestire un evento “disastroso”, puoi richiedere un check gratuito da parte dei nostri tecnici o richiedere un colloquio di approfondimento.

Potrebbero interessarti anche..

Iscriviti alla nostra Lettera Cibernetica!