SOLUZIONI DI SICUREZZA

Attacchi ransomware nelle PA: così si garantisce la sicurezza delle infrastrutture

Sempre più spesso gli attacchi ransomware sono rivolti contro le infrastrutture e i sistemi informativi delle pubbliche amministrazioni, anche a causa della bassa alfabetizzazione digitale dei dipendenti. Ecco gli scenari normativi a cui adeguarsi per mettere in sicurezza le infrastrutture e i consigli per difendersi

05 Feb 2020
L
Donatello Luna

Funzionario Responsabile dell'Ufficio Innovazione presso il Tribunale di Busto Arsizio


Le campagne di attacchi ransomware nelle PA diretti contro i sistemi informativi delle pubbliche amministrazioni sono sempre più numerose ed in continuo aumento.

Come noto, non è un caso che questi attacchi siano rivolti con sempre maggiore intensità proprio contro tali infrastrutture, complice la scarsa attenzione generale rivolta alla sicurezza informatica e il livello medio/basso di alfabetizzazione digitale dei dipendenti.

Attacchi ransomware nelle PA: lo scenario normativo

Infatti, vari fattori entrano in gioco in questo contesto e l’attenzione, ai fini della salvaguardia dei sistemi informativi, deve essere sempre maggiore, a partire dall’impegno nella formazione degli utenti che si trovano a dover interagire con campagne massive di malware via mail e PEC, fino ai livelli più tecnici con interventi mirati a garantire la sicurezza delle infrastrutture hardware.

Sia sul lato nazionale che europeo negli ultimi anni sono stati fatti molti passi avanti, con lo scopo di creare una struttura di governance importante e solida, che possa consentire nei prossimi anni un significativo salto di qualità. Questo sarà possibile grazie ad una programmazione di interventi e obiettivi lungimiranti, finalizzati al raggiungimento di un più elevato livello di sicurezza informatica delle infrastrutture governative e delle Pubbliche Amministrazioni.

In particolare, con il Decreto Legislativo 18 maggio 2018, n. 65 è stata data attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (cosiddetta Direttiva NIS).

Successivamente, con il Decreto-legge 21 settembre 2019, n. 105 sono state impartite disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica.

L’obiettivo è assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza per minimizzare i rischi.

Queste importanti innovazioni proiettano difficili sfide sull’orizzonte dei Responsabili ICT delle PA e degli operatori dei servizi essenziali, dei fornitori di servizi digitali nonché delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, inclusi nel perimetro di sicurezza nazionale cibernetica.

Infatti, sono in via di definizione – attraverso un DPCM che sarà adottato su proposta del CISR – le norme e i termini ai quali dovranno attenersi gli attori coinvolti a vario titolo nelle procedure di approvvigionamento di prodotti, processi, servizi di tecnologie dell’informazione e della comunicazione (ICT) e associate infrastrutture destinate a reti, sistemi informativi e sistemi informatici ricompresi nel suddetto perimetro di sicurezza nazionale cibernetica.

Attacchi ransomware nelle PA: la situazione nel mondo

Nonostante l’impegno a livello governativo globale, la minaccia dei crypto-ransomware e di attacchi ransomware nelle PA è sempre più attuale e la cronaca ci informa quotidianamente dei numerosi attacchi informatici andati a segno contro le pubbliche amministrazioni.

Secondo la CNN, nei primi dieci mesi del 2019 i dati di circa 140 tra enti locali, stazioni di polizia e ospedali del territorio USA sarebbero stati presi in ostaggio a seguito di attacchi ransomware condotti da hacker malintenzionati che chiedono un riscatto in bitcoin, cryptovaluta difficilmente tracciabile, per restituire i dati originali e consentire all’amministrazione un pronto ripristino dei servizi.

È opportuno precisare che pagare il riscatto non è mai una buona idea, come confermato dall’FBI nel report pubblico “How to Protect Your Networks from Ransomware”:

“Ransomware victims may also wish to consider the following factors:

  • Paying a ransom does not guarantee an organization will regain access to their data; in fact, some individuals or organizations were never provided with decryption keys after paying a ransom.
  • Some victims who paid the demand were targeted again by cyber actors.
  • After paying the originally demanded ransom, some victims were asked to pay more to get the promised decryption key.
  • Paying could inadvertently encourage this criminal business model.”

In questo documento viene ribadito come, pur pagando il riscatto, non esista alcuna garanzia di tornare in possesso dei propri dati.

Inoltre, molte vittime che hanno pagato sono state nuovamente attaccate da criminali che, alle volte, hanno anche avanzato ulteriori richieste di denaro per consegnare la chiave di decrittazione, consapevoli che l’utente avrebbe, probabilmente, nuovamente pagato.

A conferma della validità delle citate raccomandazioni, basti pensare che nello scorso mese di marzo la Contea della Georgia è stata vittima di un attacco ransomware che ha bloccato tutti i servizi della Contea ad eccezione del servizio delle emergenze e del sito internet istituzionale, poi utilizzato dagli hacker proprio per rendere pubblici gli effetti dell’attacco.

La Contea, nella gestione della criticità, ha ritenuto opportuno pagare $400.000 per contrastare la minaccia e ripristinare i propri servizi pubblici. Le conseguenze non hanno tardato a manifestarsi e, entro il mese di giugno, un triplo attacco ransomware si è verificato contro altri tre enti locali della Florida: Key Biscayne, Lake City e Riviera Beach. La città di Lake City ha pagato 42 bitcoin – l’equivalente all’epoca di circa $500.000 – agli hacker e la città di Riviera Beach 65 bitcoin – circa $600.000.

WHITEPAPER
Chief operating officer: come bilanciare sicurezza informatica e responsabilità operative
Sicurezza
Cybersecurity

Tuttavia, è opportuno sottolineare che, considerata l’entità dei potenziali danni per una amministrazione pubblica di medie/grandi dimensioni, riprendersi da queste tipologie di attacchi può essere molto costoso. Ad esempio, la città di Atlanta ha dovuto stanziare circa 17 milioni di dollari per ripristinare i servizi a seguito dell’attacco subito nel 2018 e la città di Baltimora circa 18 milioni di dollari per il recupero e per rafforzare le proprie difese.

Guardando all’attualità, la città di Johannesburg, con una popolazione di circa 5 milioni di abitanti, è stata tenuta sotto riscatto per giorni da parte di un gruppo di hacker che chiedeva in cambio il pagamento di 4 bitcoin – l’equivalente di circa $500.000. Le autorità hanno mantenuto una linea rigida nei confronti di questi “rapitori digitali” e grazie a un team di esperti IT locali ed internazionali sono riusciti in pochi giorni a ripristinare circa l’80% dei sistemi informativi della città.

Ultimo in ordine cronologico è l’attacco subito dalle strutture governative dello Stato della Louisiana che in data 18/11/2019 ha rilevato un sospetto attacco ransomware su alcuni dei propri server e, per questioni di sicurezza, ha disposto lo spegnimento di tutti i servizi. sul caso stanno investigando la polizia di stato e le agenzie federali, ma è chiaro che potrebbero essere necessari giorni per il ripristino di tutti i servizi.

Attacchi ransomware nelle PA: la situazione in Italia

Per quanto riguarda la situazione degli attacchi ransomware nelle PA nel territorio nazionale italiano, il Computer Emergency Response Team Pubblica Amministrazione (CERT-PA), organismo istituito ai sensi dell’art. 51 comma 1-bis del CAD e che agisce in coordinamento con l’AgID per iniziative di prevenzione e gestione degli incidenti di sicurezza informatici, è molto attivo e fornisce tempestivamente aggiornamenti sulle più recenti minacce informatiche e sulle relative tecniche di rilevamento e prevenzione.

A metà novembre dello scorso anno e a metà gennaio di quest’anno si è assistito ad una raffica di attacchi diretti contro le PA per il tramite dei ransomware FTCODE e sLoad.

Per il primo, il CERT-PA si è attivato per fornire uno strumento in grado, almeno per le prime versioni del malware, di decifrare i dati in ostaggio. La campagna utilizza e-mail PEC all’interno delle quali è presente un unico link, il cui testo è preso dall’oggetto di una precedente conversazione con il mittente.

Il link punta ad un file ZIP (al momento hostato su Dropbox) contenente un file VBS. L’ultima versione nota di FTCODE cifra la chiave, genera tutti i parametri crittografici usati casualmente ed estrae i dati personali dell’utente (password salvate e altre informazioni sensibili).

Purtroppo, allo stato, per queste ultime versioni del malware, che si presenta con una struttura molto semplice, non c’è possibilità di recupero dei file una volta cifrati.

Similarmente, le recenti campagne massive di diffusione del malware sLoad vengono veicolate tramite PEC, ma l’e-mail si presenta con un riferimento ad una falsa una fattura, riferimento ripetuto in oggetto nella forma “Invio documentazione BCR XXX”, dove XXX è una sequenza numerica.

È presente in allegato un archivio ZIP contenente un finto file PDF ed un file .WSF che, se eseguito, avvia la catena di infezione ed è in grado di dare accesso alla macchina agli attaccanti. Come per il malware FTCODE anche per sLoad lo scopo principale è recuperare le credenziali salvate sui browser Chrome e della famiglia di Internet Explorer.

Le evolute caratteristiche di questi malware li rendono particolarmente difficili da riconoscere per l’utente che spesso riceve una mail, come tante altre, che sembra essere la continuazione di una precedente comunicazione.

Malware di questo tipo potrebbero essere verosimilmente all’origine di alcuni casi di attacchi ransomware che si sono verificati nel 2019. Alcune delle Amministrazioni colpite sono il Comune di Vinci (FI) nel mese di febbraio (fonte), il Comune di Cervia (RA) nel mese di Luglio (fonte) e il Comune di Canicattì, con il coinvolgimento del locale Poliambulatorio, nel mese di ottobre (fonte).

In tutti questi casi la risposta è stata rigida e gli amministratori comunali si sono rifiutati di cedere ai ricatti degli hacker malintenzionati.

Il ripristino dei servizi ha richiesto diversi giorni e particolare impegno da parte dei responsabili dei servizi ITC. Grazie però alla disponibilità di backup efficaci e persistenti, si è riusciti a contenere i danni.

I consigli per difendersi

Come anticipato in premessa, varie azioni sono state avviate a livello nazionale per alzare il livello di sicurezza dei sistemi informatici.

Nel rispetto del Piano triennale 2019-2021 per l’informatica nella pubblica amministrazione, il CERT-PA ha avviato il 16 ottobre 2019 la fase pilota di una Piattaforma Nazionale per il contrasto agli attacchi informatici.

In collaborazione con undici soggetti istituzionali e del mercato, individuati dal CERT-PA, tra cui sette amministrazioni, due in-house e due privati, si mira a mettere a punto la piattaforma di Cyber Threat Intelligence (CTI) grazie alla quale sarà possibile ricevere informazioni rilevanti ai fini della prevenzione e del monitoraggio di attacchi informatici.

Tale processo è volto a favorire lo scambio informativo, affinché gli stessi fruitori del servizio a contribuiscano a loro volta alla circolazione delle informazioni di CTI. I passi successivi saranno il rilascio dei nuovi sistemi Infosec e di un Portale riservato di Info-sharing. Emerge, quindi, chiaramente che la necessità fondamentale di condividere le informazioni sugli attacchi cyber, cosa che al momento è assolutamente mancante, nell’ottica di fornire una pronta ed adeguata soluzione (fonte).

Un altro progetto molto importante è rappresentato da “No More Ransomware”, un’iniziativa intrapresa dall’European Cybercrime Centre dell’Europol, dal National High Tech Crime Unit della polizia olandese, dal Kaspersky Lab e da McAfee, con l’obiettivo di aiutare le vittime del ransomware a recuperare i loro dati criptati, senza dover pagare i criminali.

Sulla piattaforma, oltre a utili tool di decrittazione, sono fornite anche informazioni e indicazioni di carattere divulgativo con l’intento di educare gli utenti su come funziona il ransomware, e quali contromisure si possono adottare per prevenire attivamente l’infezione.

Allo stato attuale, quindi, l’unica tecnica di difesa realmente efficace dagli attacchi informatici di tipo crypto-ransomware resta la prevenzione, che ci consente di evitare la minaccia anziché di combatterla.

Bisogna sempre ricordare che il principale vettore di queste tipologie di infezioni è la casella e-mail e l’infiltrazione del malware non è automatica, ma richiede sempre l’interazione di un utente che, cliccando inconsapevolmente su un link o un allegato, manda in esecuzione il ransomware stesso.

Di conseguenza, nella maggior parte dei casi, quando ci si accorge dell’infezione è troppo tardi per un intervento efficace che vada a sanare i sistemi, ma è possibile cercare di limitare i danni isolando la macchina infetta, specie in presenza di architetture particolarmente complesse e strutturare.

Infatti, anche se per molti malware sono disponibili numerosi tool di decrittazione, non sempre questi riescono ad essere realmente efficaci.

Esistono numerosi varianti dei ransomware che continuano a riprodursi ed evolversi, mutando forma e tecniche di attacco, proprio per aggirare le possibili soluzioni diffuse.

Inoltre, anche qualora la vittima decidesse di pagare il riscatto e ottenesse la chiave per decrittare i propri dati, esiste un rischio molto elevato che i sistemi rimangano comunque infettati da diverse tipologie di malware e spyware, al punto da compromettere la futura sicurezza informatica dei sistemi colpiti che non saranno mai più completamente sicuri e protetti da infiltrazioni di hacker malintenzionati.

Fondamentale è l’adozione di un antivirus efficace, performante e mantenuto aggiornato che nella maggioranza dei casi può fornire una prima protezione.

Tuttavia, non bisogna sottovalutare il fattore umano che rimane il principale attore nella prevenzione di infezioni. Per questo motivo, è necessario porre in atto tutte le possibili azioni preventive, atte a mitigare il rischio che un errore umano esponga l’intera amministrazione a rischi informatici elevati.

Fondamentale è, quindi, un’adeguata formazione degli operatori che devono possedere necessariamente le conoscenze basilari per individuare le possibili minacce, isolandole tempestivamente ed evitando che si diffondano ulteriormente.

A loro deve essere affiancato un team di assistenti informatici adeguato, competente e responsivo che garantisca una risposta immediata in ogni situazione di rischio imminente.

Per concludere l’elencazione delle misure preventive a difesa dai potenziali attacchi cibernetici, si ricorda, semmai ve ne fosse bisogno, che la tenuta di un sistema di backup e disaster recovery sempre aggiornato e attuale, possibilmente anche dislocato in sedi diverse, risulta sempre più indispensabile.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Solo in questo modo sarà, infatti, possibile ripristinare in maniera sicura e pulita i sistemi informatici, riportandoli allo stato precedente all’infezione e consentendo così la regolare ripresa dei servizi erogati dall’amministrazione.

@RIPRODUZIONE RISERVATA