L’Azienda ospedaliera universitaria Luigi Vanvitelli di piazza Miraglia è stata vittima di un attacco informatico di tipo ransomware, di cui non sono ancora chiare la portata e l’entità dei dati oggetto della violazione.
I fatti
Secondo il resoconto dell’accaduto sul sito dell’ospedale Vanvitelli di Napoli i criminali hanno attaccato per la prima volta i sistemi informatici dell’azienda sabato 1 luglio, quando è stato riscontrato un malfunzionamento tecnico, che solo in un secondo momento è stato ricondotto all’attacco informatico, quando i tecnici hanno cominciato a risolvere quello che non andava. Giuseppe Nunziata, dirigente informatico del Vanvitelli ha dichiarato che gli hacker “hanno colpito soprattutto “il software dei laboratori di analisi”, creando rallentamenti e disservizi. In questa occasione non c’è stata una esplicita richiesta di riscatto ma i cybercriminali si sono limitati a indicare un indirizzo email “a cui inviare una richiesta per riavere indietro i dati compromessi”. Per capire la reale portata della violazione l’Agenzia per la Cybersicurezza Nazionale (ACN) ha scelto di inviare una squadra “per comprendere le esatte dimensioni dell’attacco e dare ogni forma di supporto all’ospedale napoletano”, come riferito da Bruno Frattasi, direttore generale dell’agenzia, il quale ha invitato tutte le strutture sanitarie, le quali sono frequentemente soggette a questi tipi di attacchi a “proteggere i propri sistemi informatici adottando le soluzioni tecniche ed organizzative del caso, anche attraverso il loro aggiornamento costante per non cadere vittima” degli attacchi dei criminali informatici. Soltanto in questo modo le strutture ospedaliere potranno limitare i danni arrecati dai cybercriminali al loro lavoro e alla salute dei loro pazienti”.
Cosa è il ransoware?
Il ransomware è un malware che utilizza la crittografia per chiedere un riscatto sulle informazioni della vittima. I dati critici di un utente o di un’organizzazione vengono crittografati in modo da non poter accedere a file, database o applicazioni. Viene quindi richiesto un riscatto per consentire l’accesso. Il ransomware è spesso progettato per diffondersi su tutta la rete e colpire i database e i file server e può quindi paralizzare rapidamente un’intera organizzazione. Si tratta di una minaccia crescente, che genera miliardi di dollari di pagamenti ai criminali informatici e infligge danni e spese significative ad aziende e organizzazioni governative.
Come funziona
Il ransomware utilizza la crittografia asimmetrica. Si tratta di una crittografia che utilizza una coppia di chiavi per criptare e decriptare un file. La coppia di chiavi pubblica e privata è generata in modo univoco dall’aggressore per la vittima, mentre la chiave privata per decifrare i file è memorizzata sul server dell’aggressore. L’aggressore mette a disposizione della vittima la chiave privata solo dopo il pagamento del riscatto, anche se, come si è visto nelle recenti campagne di ransomware, ciò non avviene sempre. Senza l’accesso alla chiave privata, è quasi impossibile decriptare i file che vengono trattenuti per il riscatto. Esistono molte varianti di ransomware. Spesso il ransomware (e altre minacce informatiche) viene distribuito tramite campagne di spam via e-mail o attraverso attacchi mirati. Il malware ha bisogno di un vettore di attacco per stabilire la propria presenza su un endpoint. Una volta stabilita la presenza, il malware rimane sul sistema finché non porta a termine il suo compito. Dopo un exploit riuscito, il ransomware rilascia ed esegue un binario dannoso sul sistema infetto. Questo binario cerca e cripta file di valore, come documenti Microsoft Word, immagini, database e così via. Il ransomware può anche sfruttare le vulnerabilità del sistema e della rete per diffondersi ad altri sistemi ed eventualmente a intere organizzazioni. Una volta crittografati i file, il ransomware chiede all’utente di pagare un riscatto entro 24-48 ore per decifrare i file, altrimenti questi andranno persi per sempre. Se il backup dei dati non è disponibile o se i backup sono stati a loro volta crittografati, la vittima deve pagare il riscatto per recuperare i file personali.
Perché si sta diffondendo?
Gli attacchi ransomware e le loro varianti si stanno rapidamente evolvendo per contrastare le tecnologie preventive per diversi motivi:
- Facile disponibilità di kit di malware che possono essere utilizzati per creare nuovi campioni di malware su richiesta.
- Utilizzo di interpreti generici noti per creare ransomware multipiattaforma (ad esempio, Ransom32 utilizza Node.js con un payload JavaScript).
- Utilizzo di nuove tecniche, come la crittografia dell’intero disco anziché di file selezionati.
I ladri di oggi non devono nemmeno essere esperti di tecnologia. I mercati del ransomware sono spuntati online, offrendo ceppi di malware per ogni aspirante cybercrook e generando un ulteriore profitto per gli autori del malware, che spesso chiedono una parte dei proventi del riscatto.
Perché è così difficile trovare gli autori di questo tipo di attacchi?
L’uso di criptovalute anonime per il pagamento, come il bitcoin, rende difficile seguire la traccia del denaro e rintracciare i criminali. Sempre più spesso i gruppi di criminali informatici escogitano schemi di ransomware per ottenere un rapido profitto. La facile disponibilità di codice open-source e di piattaforme drag-and-drop per lo sviluppo di ransomware ha accelerato la creazione di nuove varianti di ransomware e aiuta i principianti a creare il proprio ransomware. In genere, i malware all’avanguardia come i ransomware sono polimorfi per design, il che consente ai criminali informatici di aggirare facilmente la tradizionale sicurezza basata sulle firme e sull’hash dei file.
Che cos’è il ransomware-as-a-service (RaaS)?
Il ransomware-as-a-service è un modello economico della criminalità informatica che consente agli sviluppatori di malware di guadagnare per le loro creazioni senza la necessità di distribuire le loro minacce. I criminali non tecnici acquistano i loro prodotti e lanciano le infezioni, pagando agli sviluppatori una percentuale del loro guadagno. Gli sviluppatori corrono relativamente pochi rischi e i loro clienti fanno la maggior parte del lavoro. Alcuni casi di ransomware-as-a-service utilizzano abbonamenti, mentre altri richiedono la registrazione per ottenere l’accesso al ransomware.
Cosa fare se si è vittima di un attacco informatico di questo tipo
Pagare il riscatto è solo apparentemente la soluzione più facile. Oltre al danno economico, si corre infatti il rischio di non ricevere i codici di sblocco, o addirittura di finire in “liste di pagatori” potenzialmente soggetti a periodici attacchi ransomware. La soluzione consigliata è quella di rivolgersi a tecnici specializzati capaci di sbloccare il dispositivo.
Un’alternativa efficace è quella di formattare il dispositivo: ma in questo caso, oltre ad eliminare il malware, si perdono tutti i dati in esso contenuti. Per questo è fondamentale (come suggerito) effettuare backup periodici dei contenuti (che è sempre una buona prassi) in modo da non perderli in caso di incidenti (es: danneggiamento del dispositivo, ecc.) o attacchi informatici che necessitano di interventi di ripristino.
E’ sempre consigliabile segnalare o denunciare l’attacco ransomware alla Polizia postale (https://www.commissariatodips.it), anche per aiutare a prevenire ulteriori illeciti.
È possibile, inoltre, rivolgersi al Garante nel caso si voglia segnalare una eventuale violazione in materia di dati personali (furto di identità, sottrazione di dati personali, furto di contenuti, ecc.), seguendo le indicazioni della pagina https://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali.
Contattare la nostra redazione per avviare una indagine personalizzata su quanto accaduto.
