Attacchi ransomware nel settore pubblico
Pubblicato su: 24 Giu 2021
Ultima modifica il: 24 Lug 2025
Gli attacchi ransomware nel settore pubblico sono diventati sempre più comuni negli ultimi anni: le agenzie governative, le organizzazioni sanitarie e gli istituti scolastici sono bersagli frequenti. Tuttavia, il settore pubblico è sempre stato un obiettivo per i criminali informatici intenzionati a rubare i dati e a compiere danni criminali. Lo conferma Verizon nel suo Data Breach Investigations Report 2020 (DBIR): la pubblica amministrazione è uno dei settori più bersagliati e il ransomware è il tipo di attacco più diffuso. Un rapporto di Darktrace concorda, affermando che nel 2020 “le amministrazioni locali sono state il principale obiettivo degli attacchi ransomware”.
Il ransomware è un tipo di malware pericoloso e insidioso che sta diventando sempre più diffuso in tutti i settori. I malintenzionati che si celano dietro il malware stanno diventando sempre più abili nell’estorcere un riscatto, non solo criptando i dati ma anche rubandoli. Qui di seguito analizziamo l’impatto che il ransomware sta avendo sul settore pubblico e cosa si può fare per mitigare questo impatto.
Perché il settore pubblico è a rischio di attacchi Ransomware
Può essere difficile ottenere informazioni sulla reale portata degli attacchi informatici negli uffici pubblici. Tuttavia, nel 2019, il fornitore di sicurezza SolarWinds ha effettuato una richiesta di Freedom of Information. I dati restituiti hanno fornito alcuni spunti interessanti: mentre circa un terzo degli intervistati non ha subito alcun attacco informatico, un numero sempre maggiore ha subito oltre 1000 attacchi mirati.
La maggior parte di questi attacchi è avvenuta sotto forma di phishing e malware. Questo nonostante l’adozione di misure di sicurezza informatica tradizionali, come firewall e software antivirus. La ricerca mostra chiaramente che il settore pubblico è nel mirino dei criminali informatici e che il ransomware, uno dei malware preferiti, rappresenta una seria minaccia per il settore.
I recenti attacchi di alto profilo, come l’attacco ransomware alla società di servizi Colonial Pipeline negli Stati Uniti, dimostrano fino a che punto si spingono le bande di ransomware. In questo attacco informatico, i dati non solo sono stati resi inaccessibili attraverso la crittografia, interrompendo così le operazioni, ma sono stati anche rubati e utilizzati come leva per fare pressione sul pagamento del riscatto.
Un rapporto di IBM X-Force ha rilevato che il 59% degli incidenti di ransomware prevede l’esfiltrazione dei dati prima che si verifichi l’evento di crittografia. Colonial Pipeline era un buon bersaglio per il ransomware in quanto svolge un ruolo di infrastruttura critica. Allo stesso modo, le industrie di servizi pubblici sono infrastrutture critiche e forniscono importanti servizi ai cittadini che dipendono dai dati: questo punto non sfugge alle bande di ransomware.
I servizi pubblici come i distretti scolastici, le istituzioni sanitarie e persino i comuni sono tutti bersagli di attacchi ransomware. Un recente attacco ha coinvolto il sistema sanitario irlandese. L’attacco, che si sospetta sia stato condotto da una banda di hacker nota come Wizard Spider, ha lasciato gli ospedali senza computer per oltre una settimana.
In modo simile all’attacco di Colonial Pipeline, gli hacker hanno criptato i dati e rubato grandi quantità di informazioni per aumentare la pressione sul pagamento del riscatto di 20 milioni di dollari (14 milioni di sterline). Nel 2020, un attacco ransomware che ha colpito il comune di Redcar e Cleveland è costato al comune una cifra stimata in 10 milioni di sterline: i costi sostenuti comprendevano i tempi di inattività e la riduzione delle entrate derivanti dall’applicazione della legge.
Ransomware-as-a-Service nel settore pubblico
Il settore pubblico comprende un’ampia gamma di tipi di organizzazioni, dalla sanità ai consigli locali, dai politici alle scuole. Il settore pubblico, quindi, offre agli attori delle minacce una serie di opportunità, non solo per disturbare ed estorcere, ma anche per rubare i dati.
Lindy Cameron, CEO del National Cyber Security Centre (NCSC) del Regno Unito, ha recentemente affermato in un discorso tenuto al Royal United Services Institute (RUSI) Annual Security Lecture, che l’aumento del ransomware è dovuto a un “effetto cumulativo”, in quanto le organizzazioni non sono riuscite a gestire la crescente sofisticazione degli attacchi ransomware.
Le organizzazioni del settore pubblico sono a rischio per l’uso di questi attacchi più sofisticati che includono “Ransomware-as-a-Service (RaaS)”. Questi “kit” di ransomware rendono molto più semplice la creazione di campagne di ransomware. Chiunque voglia entrare nel giro del ransomware può farlo al prezzo di un canone mensile e di una parte del riscatto.
Nel suo discorso, Cameron osserva che il RaaS sta alimentando l’aumento degli attacchi ransomware. Tra questi kit RaaS, alcuni sono progettati appositamente per colpire il governo e il settore pubblico. Un esempio è Eking RaaS, identificato da Darktrace come utilizzato per colpire i servizi governativi nella regione APAC.
Come proteggere il settore pubblico dagli attacchi Ransomware
Il DBIR sottolinea che nell’85% delle violazioni di dati è coinvolto un essere umano. Il fattore umano è evidente in molti tipi di attacchi informatici, tra cui il ransomware; un clic errato su un’e-mail dannosa è spesso l’inizio dell’incubo del ransomware.
Poiché gli aggressori di ransomware si concentrano sul furto di dati oltre che sulla crittografia, l'”uomo nella macchina” diventa sempre più importante come via d’accesso a un’organizzazione. Il phishing è uno dei vettori di attacco preferiti dagli hacker perché funziona. Nell’ultimo DBIR per il 2021, Verizon sottolinea che il phishing e il ransomware sono stati ancora una volta prevalenti; in termini di attacchi alla pubblica amministrazione, l’ingegneria sociale è il vettore preferito utilizzato nel 69% delle violazioni.
La diffusione e l’infezione del ransomware avvengono attraverso diverse vie, ma come già detto il phishing è una delle più comuni. Un’indagine condotta utilizzando i dati dei servizi gestiti ha rilevato che il 54% degli attacchi ransomware è iniziato con un’e-mail di phishing: le pratiche scorrette degli utenti (27%) e la mancanza di formazione sulla sicurezza (26%) sono stati i problemi più comuni che hanno portato all’infezione da ransomware.
Prevenire gli attacchi Ransomware nel settore pubblico
Prevenire il ransomware nel settore pubblico significa ridurre il rischio. Il rischio di sicurezza si riduce utilizzando un approccio socio-tecnico, proprio come gli hacker attaccano il settore pubblico e altri settori utilizzando l’ingegneria sociale e le vulnerabilità tecniche.
L’eliminazione dei principali vettori di infezione del ransomware inizia con una cultura della sicurezza eccezionale. Ciò è possibile grazie a un’efficace formazione di sensibilizzazione alla sicurezza rivolta a tutto il personale. A ciò si aggiunge l’utilizzo dei migliori strumenti di sicurezza che soddisfano i requisiti degli standard e delle normative di sicurezza come la ISO27001.
Gli attacchi ransomware nel settore pubblico sono destinati a rimanere fino a quando le organizzazioni non smetteranno di essere infettate e di pagare il riscatto. In settori che dipendono dai dati, come quello pubblico e governativo, quest’ultima scelta può essere difficile da fare. Ciò significa che è necessario predisporre delle strutture per ridurre le probabilità di successo di un’infezione ransomware.
