«Paga o ti blocco la città»: la costosa piaga dei ransomware

L’ultimo municipio colpito negli Stati Uniti è quello di Riviera Beach, in Florida, una piccola città di 35mila persone appena a nord di West Palm Beach. Nei giorni scorsi, secondo quanto riportato dal New York Times, il consiglio comunale con un voto straordinario ha approvato di pagare 65 bitcoin (quasi 600mila dollari) come riscatto agli hacker anonimi che hanno paralizzato i sistemi informatici della città attraverso un ransomware.

Il ransomware è un tipo di malware, cioè un software criminale, che limita l’accesso al dispositivo o alla rete di dispositivi informatici che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Riviera Beach è solo l’ultima di una lunga lista di amministrazioni pubbliche statunitensi che sono state paralizzate dagli attacchi di ransomware.

Un attacco simile è recentemente costato a Baltimora 18 milioni di dollari: a tanto ammonta la somma dei danni subiti dalla città più importante dello Stato del Maryland, al centro di un’area urbana di 2,7 milioni di abitanti.

Effettuando il pagamento, il consiglio comunale di Riviera Beach spera di riottenere l’accesso ai dati crittografati nel cyber-attacco che è andato a segno tre settimane fa, ma non c’è alcuna garanzia che gli hacker liberino i sistemi e consentano di accedere nuovamente ai dati una volta ricevuto il pagamento.

Ben 170 attacchi dal 2013

Secondo una inchiesta della Cnn dell’11 maggio scorso sugli attacchi ransomware contro le amministrazioni pubbliche Usa, gli attacchi mirati di ransomware contro entità governative locali statunitensi – città, stazioni di polizia e scuole – sono in aumento e costano milioni di località. Tanto da iniziare a suscitare l’attenzione della politica statunitense sulle azioni da intraprendere.

Don’t understand why these attacks aren’t getting more attention & generating more concern

Taxpayers of Riviera Beach, #Florida just paid $600k in ransom to cyber-criminals

I am working on ideas to help local govts protect against this https://t.co/aIfwT3xkwK #Sayfie

— Marco Rubio (@marcorubio) June 20, 2019

Numerose amministrazioni hanno ceduto ai ricatti nel tentativo di ripristinare vitali sistemi informatici. Non esistono fonti pubbliche sull’estensione e le tipologie del fenomeno, ma secondo i dati di Recorded Future (una società di tecnologia fondata nel 2009 con sedi negli Usa e in Svezia) dal 2013 sono stati attaccati almeno 170 sistemi informatici di contee, città o stati Usa, compresi almeno 45 uffici di polizia e sceriffi.

L’azienda ha compilato tutti i casi noti di attacchi ransomware dei sistemi informatici. Questo tipo di attacchi informatici di solito crittografa i file di un computer e poi l’hacker richiede un pagamento – di solito in bitcoin: la criptovaluta viene scelta dagli hacker perché non è tracciabile – per offrire alle vittime la chiave per sbloccare i sistemi informatici. Il governo federale e l’FBI non seguono gli attacchi a livello nazionale.

Approfondimento

Finanza

Le criptovalute sono un Far West. Ma occhio all’effetto Amazon

Il mercato delle criptovalute non si è ripreso dal crack del 2018. Ma il trend di lungo periodo è rialzista. E ha molte analogie con l’e-commerce

22 attacchi con ransomware da inizio anno

Negli Usa, dall’inizio del 2019 alla prima decade di maggio, ci sono stati 22 attacchi noti del settore pubblico, un dato superiore a quello dello stesso periodo del 2018. E il conto non considera che gli attacchi spesso non vengono segnalati fino a mesi o anni dopo la loro scoperta.

L’ultima grande città colpita è stata Baltimora, che è stata infettata da ransomware a inizio maggio. Il comune del Maryland ha messo in quarantena le sue reti informatiche ed è stato costretto a fornire la maggior parte dei suoi servizi municipali in via analogica.

La crisi di Baltimora, dove il consiglio comunale si è rifiutato di pagare il riscatto di 76mila dollari in bitcoin, segue attacchi simili condotti contro le città di Atlanta, Newark, San Diego e Los Angeles, per restare solo alle maggiori.  Quando un massiccio attacco informatico ha colpito lo Stato del Colorado l’anno scorso, ha dovuto chiudere 2mila postazioni informatiche infette.

Baltimore City IT officials seeking approval of $10 mil emergency appropriation to cover ransomware attack costs. On agenda for Bd of Estimates Wednesday. Still no detail on firms retained to do the work. pic.twitter.com/UB4VOHojfP

— Jayne Miller (@jemillerbalt) June 24, 2019

Gli attacchi avvengono di solito durante il weekend

Alla fine di marzo, la capitale dello Stato di New York, Albany, ha ammesso tranquillamente di essere stata colpita con un ransomware, di sabato. Una scelta tipica.

Gli hacker calcolano che nel weekend gli attacchi possono creare danni maggiori quando il personale addetto ai controlli dei servizi informatici non funziona.

La città ha annunciato l’attacco il giorno in cui è stata scoperta, ma ha minimizzato la sua gravità, annunciando solo che aveva colpito una manciata di servizi cittadini, tra cui l’emissione di licenze di matrimonio e certificati di nascita. Molti di questi problemi sono stati risolti all’inizio della settimana lavorativa successiva.

L’escalation dopo il 2016

La prima infezione ransomware conosciuta contro una amministrazione pubblica statunitense è stata quella che ha colpito la piccola città di Greenland, nel New Hampshire, nel 2013, ma il numero di attacchi non è esploso fino al 2016, quando ne sono stati registrati 46. Il numero è sceso a 38 nel 2017 – indicativo di una riduzione temporanea a livello mondiale delle infezioni da ransomware – prima di risalire a 53 l’anno scorso.

Le stime del settore suggeriscono che gli attacchi ransomware costano miliardi di dollari ogni anno a livello mondiale, anche se è difficile dare un numero preciso dei costi perché non ci sono statistiche degli attacchi e non tutti vengono segnalati.

Leggi anche...

Finanza

Cybercrime, il lato oscuro. E tanto lavoro superpagato in vista

La caccia ai professionisti, superqualificati e ben remunerati, è il cuore della guerra cibernetica in corso. In un mercato in espansione planetaria

I dati sulle denunce all’Fbi

Il numero delle vittime private di attacchi ransomware che si sono auto-segnalate all’Internet Complaint Center dell’FBI è diminuito negli ultimi anni. Ci sono stati 2.673 casi nel 2016, 1.783 nel 2017 e 1.493 l’anno scorso. Questi numeri non riflettono tutti i casi di cui l’FBI è a conoscenza. Ciò suggerisce che gli hacker stanno migliorando la loro capacità di selezionare i possibili target per massimizzare la quantità di denaro dei riscatti. Secondo l’Fbi, gli attacchi contro enti pubblici stanno aumentando, mentre quelli a singoli utenti stanno diminuendo perché viene preso di mira chi ha più soldi.

Approfondimento

Finanza

Niente Cybersecurity, un danno da 6mila miliardi

Quattro vittime su cinque di un attacco hacker non capiscono di essere state colpite entro la prima settimana dall’evento

La difficile risposta delle autorità di polizia

Gli attacchi sono condotti da un’ampia varietà di attori, dalle bande criminali a organizzazioni di hacker che presumibilmente lavorano almeno in parte con i governi dei loro Paesi. Solo in pochi casi le organizzazioni internazionali contro la criminalità sono state in grado di coordinare e arrestare gli aggressori del ransomware.

Nel 2017, ad esempio, una operazione congiunta di sei forze di polizia, tra cui l’FBI, ha arrestato tre sospettati in Romania e due in Ungheria accusati di aver gestito gli attacchi con il ransomware Ctb-Locker.

Spesso però, anche quando le autorità statunitensi sono state in grado di identificare i possibili sospetti dietro un attacco, non hanno potuto portarli di fronte ai giudici perché si trattava di individui residenti in Paesi nei quali non c’è estradizione negli Stati Uniti.

I due virus ransomware più distruttivi in tutto il mondo – WannaCry e NotPetya, che sono arrivati a pochi mesi l’uno dall’altro nel 2017 – sono stati presumibilmente creati in Corea del Nord e in Russia prima di venire diffusi.

Ci sono probabilmente altri sospetti che l’FBI ha identificato, ma l’agenzia federale Usa li sta aspettando al varco in attesa che viaggino in Paesi in cui gli Stati Uniti possono arrestarli.

L’attacco ad Atlanta

La città  di Atlanta, in Georgia, che conta mezzo milione di cittadini ed è al centro di un’area urbana di 5,9 milioni di abitanti (la nona negli Stati Uniti) e uno dei centri più importanti negli Usa dal punto di vista economico e dei trasporti (il suo aeroporto internazionale nel 2018 è stato il più trafficato del mondo, con oltre 107 milioni di passeggeri in transito) è stata sino a oggi la vittima più importante.

Un massiccio attacco informatico con ransomware è iniziato nel marzo 2018. La città ha comunicato pubblicamente che si trattava di un attacco ransomware giovedì 22 marzo 2018. L’attacco è stato notevole sia per l’estensione sia per la durata delle interruzioni dei servizi che ha causato, inclusi servizi, parcheggi e tribunali, con i dipendenti comunali costretti a compilare moduli cartacei a mano.

Le vulnerabilità nei servizi informatici

Il municipio di Atlanta aveva tagliato le spese per l’aggiornamento della sua infrastruttura IT, lasciando aperte molteplici vulnerabilità agli attacchi. Un audit del gennaio 2018 aveva rilevato da 1.500 a 2.000 vulnerabilità nei sistemi informatici della città.

Il virus utilizzato per attaccare la città era il ransomware SamSam, che si differenzia da altri ransomware in quanto non si basa sul phishing, cioè sull’intercettazione di password per entrare in una rete che vengono richieste con false email ai detentori, ma tenta di indovinare le password deboli finché non ne trova una.

Il 22 marzo alle 5.40 il dipartimento IT di Atlanta ha visto andare fuoriuso vari software. Poco dopo, il municipio ha interrotto molti dei suoi servizi digitali nel tentativo di controllare la situazione, incluso il suo database del sistema giudiziario e il wi-fi dell’aeroporto internazionale.

Una violazione peggiore di quanto ammesso

Anche se il Comune di Atlanta ha dichiarato che c’erano poche prove che i dati personali fossero stati compromessi, studi successivi mostrano che la violazione informatica era stata peggiore di quanto inizialmente stimato. Nel giugno 2018 è stato stimato che un terzo dei programmi software utilizzati dalla città rimaneva offline o parzialmente disabilitato.

Inoltre, molti documenti legali e file video della polizia sono stati eliminati in modo permanente, sebbene il dipartimento di polizia sia stato in grado di ripristinare l’accesso a tutti i suoi file di indagine. Per un certo periodo, i residenti sono stati costretti a pagare le bollette su carta. In risposta a questo hackeraggio, il Comune di Atlanta ha stanziato 2,7 milioni di dollari per un appalto di recupero dei servizi informatici. In seguito ha però stimato che avrebbe avuto bisogno di 9,5 milioni di dollari.

Responsabili iraniani

Gli Stati Uniti affermano che due hacker iraniani sono stati responsabili degli attacchi ransomware contro Atlanta e Newark con cui hanno estorto più di 6 milioni di dollari di riscatto e causato oltre 30 milioni di dollari di danni. Il 26 novembre, un gran giurì ha accusato dell’attacco gli iraniani Faramarz Shahi Savandi e Mohammad Mehdi Shah Mansouri. Il Dipartimento di Giustizia ha affermato che Savandi e Mansouri fanno parte del gruppo SamSam, basato in Iran, e che la coppia ha creato il ransomware. Non sono state dimostrate connessioni con il governo iraniano.