Gli attacchi ransomware nel settore pubblico sono diventati sempre più comuni negli ultimi anni, con agenzie governative, organizzazioni sanitarie e istituti scolastici come bersagli frequenti. Tuttavia, il settore pubblico è sempre stato un obiettivo per i criminali informatici intenzionati a compiere furti di dati e danni criminali. Lo conferma Verizon nel suo Data Breach Investigations Report 2020 (DBIR): la pubblica amministrazione è uno dei settori più bersagliati e il ransomware è il tipo di attacco più diffuso. Un rapporto di Darktrace concorda, affermando che nel 2020 "le amministrazioni locali sono state il principale obiettivo degli attacchi ransomware".
Il ransomware è un tipo di malware pericoloso e insidioso che sta diventando sempre più diffuso in tutti i settori. I nefasti attori dietro il malware stanno diventando sempre più abili nell'estorcere un riscatto, non solo criptando i dati ma anche rubandoli. Qui, esaminiamo l'impatto che il ransomware sta avendo sul settore pubblico e cosa si può fare per mitigare questo impatto.
Perché il settore pubblico è a rischio di attacchi Ransomware
Può essere difficile ottenere informazioni sulla reale portata degli attacchi informatici negli uffici pubblici. Tuttavia, nel 2019, il fornitore di sicurezza SolarWinds ha effettuato una richiesta di Freedom of Information. I dati restituiti presentavano alcuni spunti interessanti: mentre circa un terzo degli intervistati non aveva subito alcun attacco informatico, un numero crescente di persone aveva subito oltre 1000 attacchi mirati.
La maggior parte di questi attacchi erano sotto forma di phishing e malware. Questo nonostante le tradizionali misure di sicurezza informatica, come firewall e software antivirus, fossero in atto. La ricerca mostra chiaramente che il settore pubblico è sul radar dei criminali informatici, e il ransomware, essendo un malware attualmente preferito, è una seria minaccia per il settore.
I recenti attacchi di alto profilo, come l'attacco ransomware alla società di servizi Colonial Pipeline negli Stati Uniti, dimostrano fino a che punto si spingono le bande di ransomware. In questo attacco informatico, i dati non solo sono stati resi inaccessibili attraverso la crittografia, interrompendo così le operazioni, ma sono stati anche rubati e utilizzati come leva per fare pressione sul pagamento del riscatto.
Un rapporto di IBM X-Force ha rilevato che il 59% degli incidenti di ransomware ha coinvolto l'esfiltrazione dei dati prima che l'evento di crittografia si verificasse. Colonial Pipeline era un buon obiettivo per il ransomware, in quanto svolge un ruolo di infrastruttura critica. Allo stesso modo, le industrie di servizi pubblici sono un'infrastruttura critica, fornendo importanti servizi ai cittadini che dipendono dai dati: questo punto non è perso dalle bande di ransomware.
I servizi pubblici come i distretti scolastici, le istituzioni sanitarie e persino i consigli locali sono tutti obiettivi degli aggressori di ransomware. Un recente attacco ha coinvolto il sistema sanitario irlandese. L'attacco, sospettato di essere condotto da una banda di hacker conosciuta come Wizard Spider, ha lasciato gli ospedali senza computer per oltre una settimana.
In modo simile all'attacco al Colonial Pipeline, gli hacker hanno criptato i dati e sottratto grandi quantità di informazioni per aumentare la pressione a pagare il riscatto di 20 milioni di dollari (14 milioni di sterline). Nel 2020, un attacco ransomware che ha colpito il comune di Redcar e Cleveland ha finito per costare al comune una cifra stimata in 10 milioni di sterline: i costi sostenuti comprendevano i tempi di inattività e la riduzione delle entrate derivanti dall'applicazione della legge.
Ransomware-as-a-Service nel settore pubblico
Il settore pubblico comprende un'ampia gamma di tipi di organizzazioni, dalla sanità ai consigli locali, dai politici alle scuole. Il settore pubblico, quindi, offre agli attori delle minacce una serie di opportunità, non solo per disturbare ed estorcere, ma anche per rubare dati.
Lindy Cameron, CEO del National Cyber Security Centre (NCSC) del Regno Unito, ha recentemente detto in un discorso al Royal United Services Institute (RUSI) Annual Security Lecture, che l'aumento del ransomware è dovuto a un "effetto cumulativo", poiché le organizzazioni non sono riuscite a gestire la sempre maggiore sofisticazione degli attacchi ransomware.
Le organizzazioni del settore pubblico sono a rischio per l'uso di questi attacchi più sofisticati che includono "Ransomware-as-a-Service (RaaS)". Questi "kit" ransomware rendono la creazione di campagne ransomware molto più facile. Chiunque voglia entrare nell'azione del ransomware può farlo al prezzo di un canone mensile e di una parte del riscatto.
Nel suo discorso, Cameron nota che RaaS sta alimentando l'aumento degli attacchi ransomware. Di questi kit RaaS, alcuni sono appositamente progettati per colpire il governo e il settore pubblico. Un esempio è Eking RaaS, identificato da Darktrace come usato per colpire i servizi governativi nella regione APAC.
Come proteggere il settore pubblico dagli attacchi Ransomware
Il DBIR sottolinea che nell'85% delle violazioni di dati è coinvolto un essere umano. Il fattore umano è evidente in molti tipi di attacchi informatici, compreso il ransomware; un clic errato in un'e-mail dannosa è spesso l'inizio dell'incubo del ransomware.
Poiché gli aggressori di ransomware si concentrano sul furto di dati oltre che sulla crittografia, l'"uomo nella macchina" diventa sempre più importante come via d'accesso a un'organizzazione. Il phishing è uno dei vettori di attacco preferiti dagli hacker perché funziona. Nell'ultimo DBIR per il 2021, Verizon sottolinea che il phishing e il ransomware sono stati ancora una volta prevalenti; in termini di attacchi alla pubblica amministrazione, l'ingegneria sociale è il vettore preferito utilizzato nel 69% delle violazioni.
La consegna e l'infezione del ransomware avvengono attraverso diverse vie, ma come detto, il phishing è una delle più comuni. Un sondaggio che utilizza i dati dei servizi gestiti ha rilevato che il 54% degli attacchi ransomware è iniziato con un'e-mail di phishing: le pratiche inadeguate degli utenti (27%) e la mancanza di formazione sulla sicurezza (26%) sono stati i successivi problemi più comuni che hanno portato all'infezione da ransomware.
Prevenire gli attacchi Ransomware nel settore pubblico
Prevenire il ransomware nel settore pubblico significa ridurre il rischio. Il rischio di sicurezza si riduce utilizzando un approccio socio-tecnico, proprio come gli hacker attaccano il settore pubblico e altri settori utilizzando l'ingegneria sociale e le vulnerabilità tecniche.
Alleviare i vettori principali dell'infezione da ransomware inizia con un'eccezionale cultura della sicurezza. Questa è guidata da un'efficace formazione di consapevolezza della sicurezza per tutto il personale. Questo è incrementato dall'utilizzo dei migliori strumenti di sicurezza che soddisfano i requisiti degli standard di sicurezza e dei regolamenti come ISO27001.
Gli attacchi di ransomware nel settore pubblico sono qui per rimanere fino a quando le organizzazioni non smetteranno di essere infettate e di pagare il riscatto. In settori dipendenti dai dati, come quello pubblico e governativo, quest'ultima può essere una scelta difficile da fare. Questo significa che devono essere messe in atto delle strutture per mitigare le possibilità di successo di un'infezione da ransomware.
