Ransomware Conti: nome italiano, pericolo mondiale

Secondo il recente report redatto dagli esperti di Trend Micro, nel mese di ottobre l’Italia ha raggiunto il terzo posto tra le nazioni più attaccate dai ransomware e il quarto posto per numero di malware rilevati, nei settori più colpiti il primo posto è per la sanità (1.072 attacchi), la PA (842 attacchi), il manufacturing (746 attacchi), il tech (525) e il banking (260). Oltre a questi dati è purtroppo da tenere presente una minaccia concreta che sembra aver preso di mira il nostro Paese, si tratta del collettivo Conti, esperto in attacchi ransomware con l’omonimo malware. Principalmente attivo negli Stati Uniti dove si valuta abbia raccolto oltre 25 milioni di dollari in riscatti, in questi ultimi mesi la gang sta bersagliando l’Italia con attacchi a obiettivi mirati tra cui il Comune di Torino, Argos, San Carlo e il 4 dicembre la Clementoni.

La tecnica usata dalla gang è sempre la stessa: una prima fase caratterizzata da una serie di attacchi di phishing mirato in cui alcuni computer dell’infrastruttura vengono infettati con il trojan TrickBot per ottenere l’acceso remoto alla rete. Gli attacchi vengono condotti con la tecnica dello spear phishing che colpisce obiettivi mirati con email fraudolente all’apparenza provenienti da indirizzi conosciuti, che rendono difficile capire che si è in presenta di una truffa. Una volta preso il controllo di alcuni computer i server vengono attaccati con la tecnica della doppia estorsione, conosciuta anche come “pay-now-or-get-breached”. L’attacco, condotto con programmi RaaS (Ransomware-as-a-Service), cripta i dati sui server rendendoli inutilizzabili tramite una veloce cifratura AES-256, in modo che la “vittima” non abbia il tempo di reagire. Il secondo passaggio è quello del furto dei dati per costringere l’azienda o la pubblica amministrazione a pagare per evitare la divulgazione degli stessi. La tecnica della doppia estorsione è stata ideata per controbattere le mosse delle aziende che, avendo a disposizione il completo backup dei dati per ripristinare i server, rifiutavano di pagare il riscatto.

La preoccupazione per quanto riguarda il gruppo Conti è data a dal fatto che negli Stati Uniti alcuni dei loro obiettivi primari sono le aziende sanitarie, si teme quindi che anche in altri Paesi (Italia compresa), ci possa essere un incremento degli attacchi che, oltre alle aziende e alle pubbliche amministrazioni, possa includere anche gli enti e le aziende sanitarie. Si tratta di un pericolo serio in quando il blocco dei server porterebbe all’impossibilità di accedere alle cartelle cliniche e ai dati sui pazienti.

L’allarme sul gruppo Conti è stato lanciato dal CISA l’agenzia per la cybersicurezza del Governo degli Stati Uniti con un alert disponibile a questo link, e successivamente ripreso della dall’Agenzia per la Cybersicurezza Nazionale del Governo Italiano a questo link.

Questo è uno dei motivi per cui gli esperti di Hypergrid indicano che non è il momento di abbassare la guardia. La difesa perimetrale dell’infrastruttura è ancora una volta fondamentale per essere preparati a difendersi da qualsiasi tipologia di attacco e il servizio HypeSAFE è progettato per garantire l’impenetrabilità dei sistemi informatici, tenendo sotto controllo le risorse di rete e anticipando i tentativi di manomissione. Non dimentichiamo poi l’importanza del Vulnerability Assessment ovvero il processo volto a valutare la sicurezza dei sistemi informatici, che in base alle necessità del cliente può essere eseguito dal team di Hypergrid con varie verifiche e anche generando attacchi simulati per testare le difese e mettere in luce particolari vulnerabilità. In tempi in cui il phishing è usato per sviluppare la prima ondata di attacco si rivelano decisamente utili le tecnologie di Endpoint Detection and Response (EDR) un sistema che sorveglia l’intera infrastruttura da remoto oltre a verificare l’eventuale infiltrazione di attacchi negli endpoint, ovvero nei computer utilizzati per accedere alla rete. Anche in questo caso Hypergrid è in grado di venire incontro alle vostre esigenze come provider in grado di fornire un servizio in abbonamento che si basa sulle tecnologie più aggiornate. Il sistema può essere configurato per attivare risposte automatiche alle minacce individuate con l’isolamento istantaneo degli host, la quarantena dei dati compromessi e il blocco dell’esecuzione dei file. Il sistema viene aggiornato automaticamente e l’abbonamento mensile, che non prevede spese aggiuntive, può essere concordato con Hypergrid e interrotto secondo le modalità stabilite dal contratto.

Per ulteriori informazioni potete contattare l’indirizzo email info@hypergrid.it o il numero di telefono 0382 528875