Ransomware: il problema della doppia e tripla estorsione

Che la sanità in Italia fosse sotto attacco è un allarme che viene ripetuto da mesi, tanto che anche in questa serie di interventi ne è stata fatta menzione più volte. L’ultima vicenda è quella che ha coinvolto l’ALS Napoli 3 Sud, che l’8 gennaio ha subito un attacco che ha bloccato alcuni servizi, fra cui la prenotazione e la gestione dei vaccini. La vicenda più clamorosa ha però coinvolto l’azienda sanitaria di Padova AULSS 6 Euganea che, nei primi giorni del dicembre 2021, ha subito un attacco ransomware che ha portato al blocco dei server e dei servizi al pubblico. Istituendo varie unità di supporto si è tentato di gestire la situazione evitando il pagamento del riscatto e predisponendo una nuova infrastruttura di server. Il lavoro ha richiesto circa un mese di tempo e un investimento considerevole, ma purtroppo quella che sembrava una situazione già risolta è tornata a galla quando, il collettivo Lockbit, responsabile dell’attacco, ha chiesto un secondo riscatto di 800.000 € in criptovalute per non divulgare i dati rubati. In un primo tempo infatti si pensava che l’infrastruttura avesse subito solo un attacco di blocco ma le cose, a quanto sembra, sono andate in modo diverso.

Seconda e terza estorsione

L’osservatorio Exprivia sulla Cybersecurity, nel 2021 aveva più volte espresso l’allarme indicando un aumento del 130% degli attacchi alla sanità. Nel corso dello scorso anno sono state individuate numerosi varianti di ransomware opportunamente modificate per portare a termine questi attacchi. Nel 2022 si prevedere che in questo settore i pericoli maggiori deriveranno dalle quelli che sono definiti come RaaS (Ransomware as a Service), delle piattaforme create da esperti cybercriminali che affittano servizi per condurre attacchi mirati. Situazione che permette di gestire in modo più semplice gli attacchi multipli ovvero quella che viene definita come doppia e tripla estorsione, in modo da mettere più pressione alla “vittima” e spingerla a pagare il riscatto. Il solo attacco ramsomware infatti, può essere ripristinato piuttosto velocemente se l’azienda vanta un ufficio IT ben organizzato o si appoggia ad aziende di sicurezza specializzate nel recupero dei dati dai backup. Le tattiche di doppia estorsione invece, oltre al blocco dell’infrastruttura, comportano il data breach dei dati. In questo caso se il riscatto non viene pagato i dati sensibili rubati verranno divulgati e quelli sui server distrutti. Purtroppo c’è un altro elemento recentemente introdotto dal collettivo Avaddon che sfrutta un terzo fattore di minaccia: oltre al blocco dei server e all’esfiltrazione dei dati, gli aggressori minacciano di lanciare un attacco DDoS contro i servizi ancora attivi dell’azienda o della pubblica amministrazione se il riscatto non verrà pagato.

Affidarsi agli esperti

Le modalità di attacco sono sempre le stesse e per contrastarli non c’è che la prevenzione. Il phishing continua a essere il principale vettore di recapito del ransomware e in questo caso le soluzioni da adottare sono i corsi di formazione per il personale e i servizi come Mail Outpost. Hypergrid propone corsi per tutte le esigenze, da quelli dedicati all’uso dei sistemi informatici e della posta elettronica, fino ad arrivare ai corsi avanzati per GDPR, Data Protection Officer, Network Vulnerability Assessment, Intrusion Detection System. Per difendersi dal phishing e dare al personale una maggiore consapevolezza riguardo i pericoli della rete anche i corsi “basic” sono fondamentali, ovviamente gli esperti del team sono in grado preparare corsi ad hoc per soddisfare eventuali necessità del cliente che possono essere organizzati sia in azienda, sia negli uffici di Hypergrid. L’altra soluzione per contrastare il phishing è un servizio come Mail Outpost che controlla in tempo reale email e allegati prima che arrivino nella casella di posta elettronica dei dipendenti. Si tratta di una soluzione decisamente efficace che, oltre a fornire la massima protezione, è in grado di migliorare il funzionamento della posta elettronica in azienda eliminando automaticamente le email contenenti malware e spam. Mail Outpost è monitorato dal Security Operations Center di Hypergrid e può essere integrato con i server di posta elettronica già presenti in azienda.

L’altra fondamentale soluzione per proteggere l’infrastruttura è presidiarne l’accesso con una VPN di qualità dotata di doppio fattore di autenticazione, troppe volte infatti, le infrastrutture vengono “bucate” da password troppo deboli o addirittura lasciate in bella mostra in azienda. Grazie alla doppia autenticazione anche questo problema è facilmente risolvibile. HyperVPN Plus è una virtual private network velocissima e affidabile che consente di navigare senza rallentamenti creando un tunnel virtuale crittografato per la navigazione e lo scambio dei dati. Il servizio consente l’accesso proteggendo tutto il flusso di informazioni che passa tra un computer e un server. Grazie al sistema 2FA è possibile ricevere il secondo elemento per l’autenticazione via SMS, tramite una password temporanea generata da un’app o tramite token hardware. L’accesso viene garantito anche grazie all’uso delle funzioni biometriche degli smartphone (quindi tramite il riconoscimento del viso o delle impronte digitali), con una pen drive USB criptata o tramite una chiamata telefonica diretta che abilita l’accesso all’utente. HyperVPN Plus fornisce molte altre opzioni da attivare in base alle esigenze del cliente, il team di esperti di Hypergrid saprà consigliarvi in base alle vostre reali necessità.