Il mese di Agosto ha visto molteplici attacchi contro aziende ed enti pubblici italiani. Una breve panoramica, che ci ricorda che i ransomware non vanno in vacanza e sono una minaccia che può colpire chiunque.
Aziende italiane: Lockbit scatenato
Della nuova, famigerata, versione di Lockbit, la 3.0, abbiamo già parlato qui per una infarinatura di tipo tecnico e relativa alle tecniche estorsive. Non ci dilunghiamo oltre. Il punto semmai è che, dopo poche settimane di test, si può dire che Lockbit si conferma uno dei ransomware più efficaci e attivi presenti nel panorama delle cyber minacce. Italia inclusa. Si conferma la strategia utilizzata da questo gruppo ransomware di commisurare le richieste di riscatto alle effettive disponibilità economiche delle vittime.
Nel mese di Agosto ha colpito e messo sotto ricatto alcune aziende italiane, dandone notizia sul proprio leak site nel dark web. Tra queste figura lo studio di consulenza del lavoro Studio Barba: la rivendicazione dell'attacco è stata pubblicata il 24 Agosto, il 1° Settembre scade il countdown e i dati rubati potrebbero venire pubblicati.
 |
| Fonte: Red Hot Cyber |
Gli attaccanti hanno richiesto 100.000 dollari per cancellare i dati rubati senza pubblicarli e 200 dollari al giorno per estendere il countdown. Un sample dei dati è già stato pubblicato: si parla di 3.50 GB di dati.
Il giorno dopo, 25 Agosto, i gestori di Lockbit pubblicano un'altra rivendicazione di attacco: questa volta è vittima il Centro Don Serafino Ronchi, poliambulatorio medico bresciano.
 |
| Fonte: Red Hot Cyber |
Il countdown scadrà il 7 Settembre, 50.000 i dollari richiesti per cancellare i dati, 1000 dollari per prolungare il countdown di un giorno.
A inizio mese è stata la volta dell'azienda Tekinox specializzata nella produzione di acciaio inossidabile. La rivendicazione dell'attacco è stata pubblicata il 2 Agosto, il 9 invece è stata resa pubblica una parte dei dati rubati.
 |
| Fonte: Red Hot Cyber |
RansomHouse pubblica i dati dell'Unione dei Comuni Toscani
Non solo aziende: un altro gruppo ransomware ormai tristemente attivo in Italia, RansomHouse, ha colpito l'Unione dei Comuni Valdisieve e Valdarno. L'attacco, va detto, è stato rivendicato il 27 Luglio, giorno in cui i sistemi di questa Unione di Comuni sono andati in down. Parliamo dei comuni di:
- Pontassieve;
- Godenzo;
- Londa;
- Rufina;
- Pelago;
- Reggello;
- Valdisieve ;
- Unione dei Comuni Valdarno.
Due settimane dopo gli attaccanti hanno pubblicato una parte dei dati trafugati, segno che o non sono state condotte trattative o sono fallite. Vi si trovano:
- Documenti di identità;
- Tessere sanitarie;
- Documenti di gare;
- Comunicazioni;
- Normative interne;
- Atti notori;
- Informazioni sul coronavirus;
- Comunicazioni con le Onlus;
- Gare;
- Delibere ecc..
Qualche giorno fa gli attaccanti hanno minacciato la pubblicazione integrale dei dati rubati. Parliamo di oltre 2 terabyte di dati.
BlackCat e LV si affacciano in Italia
Chiudiamo la triste carrellata con l'attacco ransomware che ha colpito, a ferragosto, la Elefondati. In questo caso, il gruppo di attaccanti corrisponde all'operazione ransomware LV. I dati rubati ammontano a circa 20 GB, con la particolarità che LV offre alla vittima un servizio di audit interno. In sunto, i criminali promettono che, in caso l'azienda si decida a collaborare e pagare il riscatto, forniranno i dettagli sulle vulnerabilità sfruttate e le criticità rilevate al fine di migliorare la sicurezza della rete che loro stessi hanno bucato. In pratica offrono un servizio di penetration testing.
Per chiudere, il 5 Agosto sul site leak di BlackCat / APLHV (si quella che ha "bucato" l'università di Pisa) è stata pubblicata la rivendicazione dell'attacco al gruppo di consulenza AD Consulting. Una parte dei dati rubati è già stata pubblicata.
Al momento risultano sotto attacco, ma ancora non si hanno informazioni sul gruppo ransomware responsabile, il Comune di Gorizia e la ASL Città di Torino.
Proteggersi dai ransonmware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E' fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI. - Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all'ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità. - Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti. - Adotta l'approccio zero trust:
applica il principio del "privilegio minimo" per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota - Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l'accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l'attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l'utente. E' fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l'assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum - Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l'anello debole della catena di cyber sicurezza e sicurezza dei dati è l'utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. - Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l'RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva:
come l'Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
Nessun commento:
Posta un commento