Nel 2016, una rete di ospedali fu colpita grazie a una vulnerabilità scoperta in Italia: ecco come dovremmo difenderci.
Oggi molte minacce arrivano dalla Rete, dove criminali estremamente evoluti sono capaci di prendere possesso di un sistema informatico e di oscurarne il contenuto, liberandolo solo a patto che si sia disposti a pagare una cifra decisa da loro. L’arma del delitto si chiama ransomware: ransom, riscatto, e malware, software maligno. E il problema principale è che troppe realtà non sono ancora pronte ad affrontare l’ennesima sfida digitale.
Ma come funziona un ransomware?
I ransomware sono strumenti in grado di cifrare i dati, seguendo schemi noti generalmente solo all’attaccante. L’informazione diventa illeggibile a chiunque non abbia accesso a una decryption key, che viene rilasciato proprio in cambio del pagamento del riscatto. Quasi sempre.
Come si risolve?
“Per quanto possa sembrare banale, l’unica possibilità è fare del proprio meglio perché l’attacco non avvenga – ha sottolineato Zanero. “Prevedendo procedure di ripristino nel minor tempo possibile e senza pagare il riscatto”. Vengono in aiuto i backup e le procedure di incident response, per poter rientrare in possesso di una copia dei loro dati.
Una lezione antica
“Affinché simili minacce realizzino il loro scopo, occorre un terreno favorevole alle mire dell’attaccante”, osserva Stefano Di Paola, Cto di MindedSecurity e protagonista di un attacco. Nel 2016 un gruppo di banditi digitali ha preso possesso delle infrastrutture della MedStar Health, una delle principali catene di ospedali della zona di Washington. L’attacco, che ha compromesso le reti di 10 strutture, èavvenuto tramite una vulnerabilità scoperta e denunciata 9 anni prima.
“Fatta la segnalazione, RedHat aveva provveduto a rilasciare immediatamente un aggiornamento per tutti i suoi sistemi, ma il problema è che spesso, per disorganizzazione o cattiva allocazione delle risorse, un aggiornamento potrebbe perdersi, lasciando un intero sistema esposto a problemi vecchi e, a quel punto, perfettamente noti anche agli attaccanti”.
E alla fine l’azienda non ha avuto scelta se non di fare fronte a una richiesta di riscatto di 9mila Bitcoin, che all’epoca avevano un valore vicino ai 4 milioni di dollari.
Il caso dell’Italia e gli effetti del Gdpr
Ne è un esempio il nostro Paese, dove un solo studio sull’argomento è stato reso pubblico riguarda i content management service. E’ un’inchiesta pubblicata da Agi nel 2018, realizzata grazie al lavoro del mes3hacklab (Mestre HackLab), aveva rivelato che il 67% dei domini e sottodomini analizzati non veniva aggiornato da più di un anno.
Tuttavia, con il Gdpr e il Perimetro Cibernetico, che impone elevati standard di sicurezza a tutte le infrastrutture critiche, le cose stanno lentamente cambiando.