venerdì 26 luglio 2019

Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?


Da oltre un mese e mezzo città e istituzioni negli Stati Uniti sono sotto un serrato attacco da parte di ransomware. Lo schema è sempre lo stesso (a parte alcune eccezioni): infettare il sistema della municipalità o dell'istituto scolastico spesso via email, criptare i dati portando al blocco di una lunghissima serie di servizi, richiedere un riscatto molto alto ed aspettare. E, a parte rare eccezioni, quasi tutte le vittime stanno cedendo. 

Difficile dire se vi sia un unico gruppo, oppure se più gruppi stanno attaccando contemporaneamente: quel che è certo è che negli Stati Uniti i ransomware stanno diventando una minaccia alla sicurezza nazionale. Non stiamo scherzando: ad esempio ieri lo Stato della Louisiana ha dichiarato lo stato di emergenza nazionale a causa di un attacco ransomware.  Proviamo a ricostruire una piccola cronologia degli attacchi. 

1. Lo stato della Louisiana dichiara l'emergenza nazionale per attacco ransomware (Luglio)
John Edwards, Governatore della Louisiana, ha dichiarato lo stato di emergenza in seguito all'ondata di attacchi ransomware che ha bersagliato i distretti scolastici del paese in questo mese. Vittime i distretti scolastici di Morehouse (23 Luglio) , Sabine (21 Luglio), Monroe City (8 Luglio) e Ouachita, tutti colpiti da ransomware che hanno danneggiato i sistemi computer e telefonici. E' stato istituita quindi una linea rossa tra i distretti scolastici del paese, paritari e pubblici, per valutare ulteriori aree a rischio ed è stato un istituito un protocollo di collaborazione diretta tra cyber esperti e la Guardia nazionale, la Polizia di Stato e l'Ufficio Servizi Tecnologici.  C'è perfino una clausola, nell'atto di dichiarazione dello stato di emergenza, che vieta alle aziende di aumentare i prezzi durante l'emergenza: questo per impedire alle aziende IT e di consulenza per la cyber sicurezza di trarre vantaggio dagli attacchi ransomware che colpiscono le scuole.


La dichiarazione dello stato di emergenza della Lousiana. Fonte: bleepingcomputer.com

2. La Contea di LaPorte colpita dal ransomware Ryuk (Luglio)
La Porte County, in Indiana, è stata colpita da un attacco ransomware. In dettaglio dal ransomware Ryuk, del quale abbiamo parlato qui. L'attacco è avvenuto Sabato 6 Luglio ed è stato individuato, fortunatamente, prima che l'intera rete municipale fosse colpita. Il dipartimento IT locale è riuscito a reagire in tempo e confinare l'infezione al 7% di tutti i laptop. Nonostante la celere risposta, due domain controller sono stati infettati e i servizi di rete sono divenuti indisponibili. Dopo 3 giorni dall'infezione, l'email del governo e il sito web della contea non erano ancora stati ripristinati.  I cyber attaccanti hanno richiesto 130.000 dollari in Bitcoin e la contea ha pagato cedendo al ricatto, anche a seguito di una indagine da parte di FBI e un'azienda di investigazioni forensi: i tentativi da parte degli esperti di rimettere in chiaro i file senza pagare il riscatto non hanno dato risultati. 

3. Collierville attaccata con Ryuk: dopo 10 giorni i sistemi ancora down (Luglio)
il 18 Luglio l'intero sistema IT della città di Collierville, nel Tenessee, è stato compromesso da un attacco del ransomware Ryuk. In poche ore sono stati isolati i server colpiti, ma sono numerosi i servizi pubblici interessati (richieste di permesso, richieste di documenti pubblici, servizi alle imprese ec...). I servizi di emergenza sono comunque rimasti operativi. 

4. Librerie e stazioni radio: Ryuk se la prende con tutti (Giugno -  Luglio)
Tra gli attacchi ransomware, se ne registrano anche alcuni contro obiettivi diversi da scuole e sistemi di Pubblica Amministrazione. Ryuk ha colpito anche il sistema bibliotecario della Contea di Onondaga (New York) causandone il blocco dei sistemi per diversi giorni. A Tampa, in Florida, una stazione radio locale, WMNF 88.5-FM,  è stata colpita sempre da Ryuk: sono andate perse porzioni dell'archivio audio così come sono state del tutto compromesse le trasmissioni HD in diretta. Il sistema di backup non è servito a recuperare i file: in ogni caso la stazione radio ha deciso di non pagare il riscatto, su consiglio della polizia della Florida. 

5. Ransomware in Georgia (Giugno -  Luglio)
Mercoledì mattina la Contea Henry in Georgia è stata colpita da un ransomware di natura sconosciuta: l'attacco ha bloccato i sistemi della PA responsabili del servizio di budgeting e di approvvigionamento e tutti i servizi relativi al dipartimento di Pianificazione. I sistemi sono poi stati ripristinati e riportati alla normalità ieri mattina. Qualche ora dopo lo stesso ransomware è stato usato per attaccare il dipartimento di Polizia locale di Lawrenceville, sempre in Georgia. E' finita criptata la quasi totalità dei dati, comprese tutte le riprese video delle body camera degli agenti. Qualche giorno prima lo stesso ransomware è stato usato contro il dipartimento di Polizia di Blackshear, Georgia del Sud. Nessuna di queste vittime ha pagato il riscatto, su diretto consiglio dell'FBI. 

In realtà gli attacchi in Georgia sono iniziati presto: già a marzo fu colpito l'intero sistema giudiziario della contea rurale di Jackson: in questo caso sono stati pagati oltre 400.000 dollari ai cyber criminali. 

6. Florida sotto attacco: 1 milione di dollari di riscatto pagate da due municipalità (Giugno)
Lake City e Riviera Beach sono due città della Florida entrambe vittime di un attacco ransomware che ne ha paralizzato i sistemi: nell'impossibilità di risolvere l'infezione, i Sindaci delle due città hanno deciso di cedere e pagare il riscatto, nonostante le raccomandazioni dell'FBI. E non si parla di spiccioli: complessivamente gli attaccanti hanno ricevuto 1 milione di dollari in Bitcoin. In entrambi i casi l'infezione si è verificata "a causa" di un dipendente dell'amministrazione che ha aperto allegati dannosi inviati via email e per malfunzionamenti e imperfezioni dei sistemi di backup. 

La città di Lake City è stata colpita il 10 Giugno con un metodo di attacco definito "Triple Threat" perchè mixava ben 3 diversi metodi di compromissione dei sistemi. Gli attaccanti hanno richiesto 42 Bitcoin, circa 530.000 dollari, per fornire la chiave di decriptazione. La disconnessione dei sistemi infetti pochi minuti dopo l'attacco non ha impedito comunque al ransomware (una variante di Robbin Hood) di colpire la maggior parte dei telefoni di rete fissa e i sistemi di posta elettronica: i dipendenti comunali sono dovuti tornare a carta e penna per continuare a svolgere la propria attività. I servizi di emergenza, Polizia e Vigili del Fuoco, sono rimasti intatti perché si trovavano su una rete separata. 

Riviera Beach invece è stata colpita i primi giorni di Giugno: il consiglio comunale ha deciso unanimamente di pagare il riscatto, ammontante a ben 65 Bitcoin (600.000 dollari). La decisione è conseguita però anche alla scelta di investire 1 milione di dollari per ricostruire interamente la rete IT comunale e comprare nuovi computer. 

Che sta accadendo?
Chiudiamo qua la lista degli attacchi avvenuti in un arco di tempo di poco più di un mese, sottolineando però che qui abbiamo preso in analisi solo alcune delle centinaia di infezioni ransomware mirate che stanno colpendo a ondate enti locali, polizie e scuole negli States. Che il problema sia grave è evidenziato non solo dalla dichiarazione dello stato di emergenza in Louisiana, ma anche dal fatto che l'associazione dei sindaci degli Stati Uniti ha adottato comunemente una risoluzione, votata qualche settimana fa, che invita i sindaci a non pagare i cyber criminali dopo un attacco ransomware, al fine di scoraggiare i cyber criminali. 

Quel che è evidente è che c'è un gruppo, anzi sicuramente più gruppi o individui che hanno optato per un diverso utilizzo dei ransomware: non infezioni di massa, ma attacchi mirati. C'è una differenza essenziale tra le due modalità di attacco: nel primo caso il malware viene "sparato nel mucchio", colpendo magari centinaia di utenti che non possono permettersi di pagare un riscatto alto oppure ancora che non hanno interesse a riavere indietro i propri file. Quando gli attacchi sono mirati, sopratutto contro enti pubblici e aziende, non solo è molto più probabile estorcere il pagamento del riscatto, ma si possono richiedere cifre ben più alte di quelle che si potrebbero richiedere ad un home user. Perchè le PA e le scuole? Perchè spesso sono enti nei quali la sicurezza IT è un tema poco considerato, se non del tutto trascurato. In quasi tutti i casi analizzati o non esisteva affatto un sistema di backup, oppure questo si è dimostrato insufficiente per poter ripristinare i file. 

Questo però crea un grave circolo vizioso: gli attacchi aumentano, sempre più enti non riesco a fare fronte all'incidente, si cede pagando il riscatto e questo convince ancora di più i cyber criminali a proseguire nei loro attacchi. Ecco perché pagare il riscatto è una mera soluzione di medio-breve termine: si potrà forse si risolvere un'infezione appena occorsa, ma si incrementerà il sistema dei ricatti e riscatti e sopratutto non c'è alcuna certezza che i cyber criminali concedano davvero il tool di decriptazione dopo aver ricevuto un pagamento (oppure il tool potrebbe non funzionare correttamente). 

Insomma, contro i ransomware, l'unica soluzione che garantisce sicurezza al 100% è un sistema di backup regolare che salvi le copie dei file in un luogo sicuro, isolato dalla rete. 

Nessun commento:

Posta un commento