Quando si è verificato l'attacco contro la città di Atlanta?
Il 22 marzo 2018, la città di Atlanta ha scoperto che i suoi sistemi operativi e i servizi di sicurezza erano stati vittima di un attacco ransomware. Nel corso della violazione dei dati sono andati perduti anche molti documenti della città e molti dipendenti pubblici hanno dovuto creare copie cartacee dei documenti.
Che cosa è accaduto?
Secondo quanto emerso, prima dell'attacco la città di Atlanta era dotata di un'infrastruttura informatica piuttosto debole, che la rendeva sempre più vulnerabile a un potenziale attacco informatico. Un report di revisione, datato gennaio 2018, aveva rilevato che:
- Il sistema di gestione della sicurezza informatica (ISMS) della città presentava "politiche, procedure e documenti di riferimento mancanti o obsoleti"
- Erano presenti fino a 1.500-2.000 vulnerabilità gravi
- Quasi 100 server governativi utilizzavano software obsoleto
- Mancavano "processi formali per identificare, valutare e ridurre i rischi"
La mancanza di solidi protocolli di sicurezza e l'eccessiva noncuranza dei dipendenti nei confronti della sicurezza informatica hanno contribuito a creare l'ambiente perfetto per un attacco informatico. Il 22 marzo, il Department of Atlanta Information Management è stato informato di interruzioni in diverse applicazioni interne e dei clienti, "comprese alcune applicazioni che i clienti utilizzano per pagare le bollette o accedere alle informazioni giudiziarie".
Infettando i sistemi Wi-Fi pubblici, compresi quelli degli aeroporti, nonché i sistemi e le reti municipali della città, l'attacco ransomware ha compromesso la capacità dei cittadini di accedere a dati riservati o sensibili, di utilizzare applicazioni rivolte ai clienti, di completare transazioni finanziarie e di pagare le bollette online. Inoltre, fino a un terzo delle applicazioni locali è stato crittografato, rendendo inaccessibili sistemi, file e documenti. Per fare fronte a questa improvvisa interruzione, le aziende si sono viste costrette a tornare a scrivere a mano appunti e registri.
Nell'ambito di questo attacco ransomware, noto come ransomware SamSam, ai dipendenti pubblici che hanno tentato di accedere ai sistemi e alle reti colpite è stato chiesto di pagare fino a 50.000 dollari in Bitcoin per ottenere la chiave privata che avrebbe rimosso il virus e garantito l'accesso alle loro applicazioni.
Che cos'è SamSam?
Il ransomware SamSam è un tipo di malware che monitora le attività di rete per ottenere ulteriori informazioni sulle operazioni in corso e valutare potenziali vulnerabilità. Si tratta di un tipo di ransomware diverso dagli altri ransomware conosciuti, come WannaCry e Petya, in cui l'attacco si verifica subito dopo la violazione delle reti prese di mira. SamSam consente ai malintenzionati di scavare in profondità nella rete per garantire il massimo danno e il pagamento di un riscatto elevato. Inoltre, rimuove qualsiasi backup esistente che potrebbe essere utilizzato per contrastare l'attacco.
Gli hacker possono accedere manualmente a server di rete e dati di sistema obsoleti nei modi seguenti:
Una volta entrato nella rete, l'hacker può ottenere l'autorizzazione e i privilegi amministrativi, che gli consentono di implementare ulteriore malware senza essere rilevato e di disattivare gli strumenti di sicurezza, come l'autenticazione a due fattori, per eludere il rilevamento.
Il ransomware SamSam è unico nel suo genere, in quanto crittografa dati, file e server, ma anche tutti gli elementi fondamentali e le applicazioni che potrebbero aiutare a riavviare qualsiasi hardware. Questo rende estremamente lento e laborioso il recupero dei dati. La creazione di file e la crittografia con chiavi Advanced Encryption Standard (AES) uniche e chiavi pubbliche RSA impediscono l'accesso ai file, rendendo necessario il pagamento di un riscatto per la loro decrittografia.
Una volta che il criminale informatico ha completato l'operazione, viene inviata una richiesta di riscatto, con la quale si richiede di effettuare un pagamento attraverso un sito Web Tor open-source. Una volta completato il pagamento, viene fornita una chiave crittografica che consente di decrittografare la rete.
Come ha risposto la città?
Non è chiaro se il governo di Atlanta abbia pagato il riscatto, ma l'impatto finanziario complessivo dell'attacco ransomware è stato senza precedenti. In seguito alla richiesta di un pagamento di 50.000 dollari in Bitcoin, gli hacker hanno rimosso la pagina che consentiva di effettuare il pagamento, inducendo la città ad attuare misure di emergenza per gestire l'impatto.
Quali sono state le conseguenze dell'attacco ransomware ad Atlanta?
La città di Atlanta ha speso oltre 2,6 milioni di dollari in contratti di emergenza per arginare gli effetti dell'attacco ransomware SamSam e ripristinare i propri sistemi e servizi informatici. L'attacco informatico ha colpito cinque dei 13 dipartimenti dell'amministrazione locale della città per cinque giorni. Nel conto rientrano i servizi di risposta agli incidenti forniti da Edelman per un totale di 50.000 dollari, i costi del personale presso l'Atlanta Information Management (AIM), le competenze offerte dall'azienda privata Secureworks e l'intervento degli esperti del settore pubblico Cisco e Microsoft Cloud per riportare i sistemi online.
Tra i sistemi colpiti dall'attacco ransomware contro la città di Atlanta tra il 22 marzo e il 2 aprile rientrano il tribunale municipale di Atlanta, i servizi per il pagamento delle utenze e i servizi di parcheggio, che sono stati costretti a passare all'elaborazione manuale. Questi comprendevano sistemi di pagamento online e di persona per i servizi di base, come le bollette dell'acqua.
Tra le importanti strutture di trasporto rimaste indenni ricordiamo l'aeroporto internazionale Hartsfield-Jackson di Atlanta, che ha mantenuto disattivato il Wi-Fi pubblico su consiglio dell'FBI, dei Servizi Segreti e del Dipartimento di Sicurezza Nazionale. A differenza dell'attacco ransomware contro gli ospedali del Regno Unito, che ha colpito in modo significativo servizi mission-critical, come i vigili del fuoco, la polizia e i servizi sanitari, i servizi sanitari di Atlanta non sono stati interessati direttamente.
Cinque giorni dopo l'attacco, la città di Atlanta ha attivato un hub informativo per fornire aggiornamenti, informando dipendenti e residenti della possibilità di accendere nuovamente i propri computer, ma che un gran numero di servizi rimaneva non disponibile. Alcuni servizi sono tornati immediatamente operativi per i dipendenti, come la posta elettronica, Oracle e Accela, altri sono tornati disponibili solo in un secondo momento, come il Wi-Fi pubblico dell'aeroporto ATL, il pagamento online delle bollette dell'acqua (non operativo fino a maggio) e l'opzione di pagamento online del tribunale (non operativa fino a giugno). Alcuni servizi o dati, invece, sono stati cancellati in modo permanente, tra cui diversi documenti legali e file video della polizia.
In seguito alla violazione, il sindaco di Atlanta Keisha Lance Bottoms e diversi dirigenti di alto livello hanno dichiarato che nessun dato dei cittadini era stato compromesso e che la sicurezza informatica sarebbe rimasta al primo posto nelle politiche governative per il futuro. La città ha nominato il nuovo Chief Information Officer, Gary Brantley, nel settembre 2018 e un nuovo Chief Operations Officer e Director of Emergency Preparedness nel giugno dell'anno successivo.
A dicembre 2018, il Dipartimento di Giustizia degli Stati Uniti ha annunciato che un gran giurì federale di Atlanta ha accusato due cittadini iraniani del sofisticato attacco ransomware che ha infettato circa 3.789 computer appartenenti alla città di Atlanta, tra cui server e workstation. Il governo ha riconosciuto che l'attacco ha "interrotto in modo significativo le operazioni nella città di Atlanta, ha compromesso alcune funzioni governative e ha causato spese sostanziali nelle settimane e nei mesi successivi. A oggi, l'attacco ha causato perdite per un valore di milioni di dollari".
Cosa si può imparare dall'attacco ransomware di Atlanta?
L'attacco ransomware di Atlanta non è un episodio isolato: gli attacchi ransomware continuano a evolversi e a crescere in termini sia di dimensioni che di complessità, per cui è fondamentale che le aziende pubbliche e private implementino efficaci processi di sicurezza informatica.
A causa di software di sicurezza e pratiche IT insufficienti o obsolete, gli hacker possono sfruttare le potenziali vulnerabilità delle reti aziendali e chiedere il riscatto di dati e servizi fino al pagamento. Un altro esempio di attacco di alto profilo è l'incidente ransomware di Baltimora nel 2019, in cui i criminali informatici hanno infettato i sistemi e i server governativi con il ransomware a causa di protocolli di sicurezza informatica inadeguati e obsoleti.
Sebbene alcune aziende scelgano di pagare il riscatto, non vi è alcuna garanzia che gli hacker forniscano gli strumenti di decodifica del ransomware per ripristinare i sistemi e i servizi crittografati. Poiché il ransomware rimane una minaccia continua per le aziende, è fondamentale prevenire e proteggere la rete introducendo un efficace piano di ripristino di emergenza e investendo in strumenti di sicurezza efficaci.
© 2024 Gen Digital Inc.