L'attacco ransomware a Baltimora
Con un impatto su vasta scala su aziende, agenzie governative e servizi pubblici, l'attacco ransomware che ha colpito Baltimora nel maggio 2019 ha messo sottosopra la città richiedendo ben 18 milioni di dollari per rimediare al danno causato. Analizzeremo come ha avuto luogo l'attacco ransomware contro Baltimora, le sue conseguenze e le lezioni che le aziende possono trarre da questi incidenti per proteggersi dal ransomware.
Proteggi la tua azienda dal ransomware con Avast Business Server Antivirus
Quando si è verificato l'attacco di Baltimora?
L'attacco ransomware ai danni di Baltimora ha avuto luogo il 7 maggio 2019, nel corso di un periodo già turbolento per la città. L'ex sindaco di Baltimora Catherine Pugh aveva appena rassegnato le dimissioni il 2 maggio in seguito a uno scandalo, accuse penali e successiva incarcerazione. Il suo successore, Bernard C. Young, è subentrato al comando il 9 maggio. Gli hacker hanno colpito l'infrastruttura digitale della città in un momento in cui le sue priorità in termini di sicurezza informatica erano passate in secondo piano. L'attacco è durato più di due settimane.
L'evento del 2019 è stato la seconda volta in cui la città è rimasta vittima di una violazione dei dati. Nel marzo 2018, un attacco ransomware aveva disabilitato i sistemi di emergenza della città per oltre 12 ore e il 25 novembre 2020 un terzo attacco ransomware ha colpito il distretto scolastico della contea di Baltimora, con ripercussioni su oltre 170 scuole, numerosi sistemi educativi e fino a 115.000 studenti.
Come è avvenuto l'attacco ransomware di Baltimora?
Il 7 maggio 2019, il Dipartimento delle opere pubbliche di Baltimora ha comunicato in un tweet che i servizi di posta elettronica non erano disponibili. L'interruzione si è quindi estesa alle linee telefoniche. Il risultato è stato un effetto domino in tutta la città, in seguito al quale ben 10.000 sistemi governativi, incluso il Dipartimento dei trasporti, sono diventati inaccessibili.
È stato un tentativo di attacco informatico alle linee telefoniche di emergenza, simile all'attacco ransomware contro la città andato a buon fine nel 2018, che ha destato sospetti. I funzionari municipali, lavorando fianco a fianco con l'FBI, sono stati in grado di identificare che la città era stata vittima di un attacco ransomware RobbinHood.
Gli hacker hanno fatto ricorso a RobbinHood per impedire ai funzionari governativi di accedere a tutti i sistemi operativi, tenendo in ostaggio i dati e rendendo inaccessibili tutti i sistemi e le applicazioni. Due giorni dopo l'attacco iniziale, i criminali hanno pubblicato una richiesta di riscatto indirizzata al nuovo sindaco, chiedendo tre Bitcoin per ogni sistema bloccato o 13 Bitcoin (ben 76.000 dollari) per tutti i sistemi per riottenere l'accesso. Nella loro richiesta hanno specificato che il riscatto sarebbe aumentato di 10.000 dollari al giorno dall'11 maggio se non fosse stato effettuato alcun pagamento e che tutti i dati compromessi sarebbero stati cancellati definitivamente.
Che cos'è RobbinHood?
RobbinHood è un tipo di ransomware sofisticato che ricalca le orme di alcuni tipi di ransomware avanzati, come Ryuk, Locky e Petya, penetrando nei sistemi tramite Remote Desktop Protocol (RDP) compromessi. In questo modo gli hacker possono interrompere la connessione tra l'hardware associato e la rete, sradicare le difese di sicurezza informatica (nonché qualsiasi software di ripristino) e limitare l'accesso a tutti i file e le cartelle tramite criptaggio. Ciò renderà impossibile qualsiasi potenziale ripristino di dati riservati a meno che non venga pagato un riscatto in cambio di una chiave di decriptaggio.
Come ha risposto la città?
Quando il sindaco Young è stato informato che la città era caduta vittima di un attacco, ha rilasciato una dichiarazione ufficiale sottolineando che un numero considerevole di servizi municipali era stato temporaneamente sostituito da processi manuali e che molti servizi governativi non erano disponibili, come il sistema di pagamento tramite carta che consentiva ai cittadini di pagare tasse di proprietà e spese di parcheggio. Tuttavia, ha anche affermato che la città stava collaborando con l'FBI ed esperti di tecnologia, come Microsoft, per ripristinare tutti i sistemi. Ha dichiarato che sarebbero potute servire settimane o addirittura mesi per correggere la situazione, perché sarebbe stato necessario ricostruire diversi sistemi.
Per due settimane, i dipendenti comunali non sono stati in grado di accedere al sistema di posta elettronica. Pertanto, hanno creato account Gmail per contrastare l'impatto e consentire ai cittadini di pagare servizi essenziali, come la fornitura dell'acqua. Sfortunatamente, la creazione di account di massa ha allertato i sistemi anti-spam di Google portando al blocco anche di questi account, che sono statti sbloccati solo dopo che Google è venuta al corrente della situazione.
La National Security Agency (NSA) è stata ampiamente ritenuta responsabile dell'attacco ransomware, dal momento che si pensava che gli hacker avessero utilizzato lo strumento di exploit EternalBlue (precedentemente creato dalla NSA) per penetrare nei sistemi Windows. Lo strumento era stato trafugato e violato dagli Shadow Brokers nell'aprile 2017, diventando popolare per il ransomware nuovo e in fase di sviluppo, motivo per cui è stato ritenuto il punto di accesso per l'attacco.
Rob Joyce, consigliere per la sicurezza informatica della National Security Agency (NSA), ha replicato che concentrarsi esclusivamente su EternalBlue era poco lungimirante: Microsoft aveva rilasciato delle patch per contrastare EternalBlue e la città di Baltimora aveva avuto a disposizione più di due anni per porre rimedio a questa e ad altre vulnerabilità all'interno della propria infrastruttura IT. Esaminando ulteriormente l'attacco, l'analista di malware Joe Stewart ha stabilito che non c'era, in effetti, alcuna traccia dell'exploit EternalBlue nel codice ransomware, ma che avrebbe potuto essere utile nella propagazione del malware.
La contea di Baltimora ha pagato il riscatto?
La contea di Baltimora si è rifiutata di pagare il riscatto, nonostante le crescenti pressioni, prima fra tutte il rilascio da parte degli hacker di dati sensibili relativi ai dipendenti comunali e ulteriori minacce di divulgare altre informazioni. La maggior parte dei sistemi operativi della città era di nuovo in funzione per metà giugno, mentre diversi sistemi, come quelli relativi a permessi elettronici, immobili e account dei dipendenti, sono tornati a essere pienamente operativi entro la fine del mese.
Il sindaco Young ha rilasciato una dichiarazione video su Twitter in risposta alle critiche sollevate pubblicamente e alle richieste di pagamento del riscatto. Ha infatti dichiarato:
"Per prima cosa, sia i servizi segreti che l'FBI ci hanno consigliato di non pagare. In secondo luogo, questo non è il modo in cui agiamo. Non premieremo certo il comportamento criminale. Anche se cediamo al ricatto, non abbiamo alcuna garanzia che riescano a sbloccare il sistema, o che abbiano effettivamente intenzione di farlo."
"Non c'è modo di tracciare il pagamento, né di verificare a chi lo stiamo effettuando. In considerazione del modo in cui hanno operato, non c'è modo di sapere se stanno lasciando altro malware nel nostro sistema per tenerci di nuovo in ostaggio in futuro. Sostanzialmente, dovremmo comunque adottare tutte le misure che abbiamo già adottato per garantire un ambiente sicuro e protetto. Sono fiducioso di avere intrapreso la linea d'azione più appropriata."
Il vicesindaco responsabile dello staff per le operazioni, Sheryl Goldstein, ha rilasciato un ulteriore commento:
"Gli investigatori federali ci hanno consigliato di non pagare il riscatto. Le statistiche mostrano che hai meno del 50% delle possibilità di recuperare i dati se paghi il riscatto e, anche se lo fai, devi comunque assicurarti che gli hacker siano effettivamente usciti dal sistema. Non puoi semplicemente ripristinarlo e pensare che non sia successo niente, quindi avremmo dovuto sostenere gran parte di questi costi a prescindere."
Quali sono state le conseguenze dell'attacco ransomware ai danni di Baltimora?
L'attacco ransomware del 2019 contro la città di Baltimora è durato circa un mese ed è costato ben 18,2 milioni di dollari per rimediare alle interruzioni dei servizi, considerando le correzioni, il nuovo hardware e le entrate perse o differite. Il 35% degli oltre 10,000 dipendenti comunali ha riottenuto l'accesso ai propri account in questo lasso di tempo, arrivando al 95% nei mesi successivi.
Analogamente all'attacco ransomware ad Atlanta del 2018, quello contro Baltimora ha colpito dipartimenti governativi, servizi pubblici e servizi di parcheggio, che hanno dovuto essere elaborati tutti manualmente.
A differenza dell'attacco ransomware ai danni dell'NHS nel Regno Unito, che ha avuto un impatto significativo sui servizi mission-critical, i dipartimenti di emergenza di Baltimora non sono stati colpiti direttamente dall'attacco RobbinHood e sono rimasti operativi. Tuttavia, ha avuto un impatto sul mercato immobiliare della città, dal momento che il personale addetto non è stato in grado di completare le vendite di immobili fino alla fine di giugno.
Trattandosi del secondo attacco ransomware contro Baltimora nel giro di circa 15 mesi, la città è stata bersagliata dalle critiche, ma da allora ha introdotto misure preventive per garantire che non si verificassero altri attacchi di questo tipo. I provvedimenti adottati includono l'istituzione di un nuovo comitato per la sicurezza informatica, guidato dal presidente del consiglio comunale Brandon Scott. Il comitato ha lavorato a una revisione approfondita delle vulnerabilità della città e ha risposto all'attacco introducendo nuove politiche, procedure e tecnologie per mettere a punto una solida infrastruttura IT.
L'attacco del 2020 al distretto scolastico della contea di Baltimora
Il distretto scolastico della contea di Baltimora è stato vittima di un terzo attacco ransomware contro la città il 24 novembre 2020, due giorni prima del Ringraziamento. Nonostante i due precedenti eventi ransomware di alto profilo, le misure di protezione dei dati sensibili erano deboli. Tutti i dati riservati e i sistemi scolastici associati sono stati criptati, con ripercussioni su "ogni aspetto del sistema del distretto scolastico della contea di Baltimora".
Nonostante la disponibilità di backup per i dati esistenti, si stima che il costo del ripristino abbia superato gli 8 milioni di dollari. In seguito all'attacco sono stati ripristinati oltre 9.000 laptop del personale (i dischi rigidi sono stati cancellati e sono stati installati nuovi sistemi operativi), così come i dispositivi degli studenti. Alcuni dati o piani delle lezioni sono andati persi per sempre e la rete scolastica ha dovuto essere completamente ricostruita.
L'evento ha causato interruzioni diffuse delle capacità di apprendimento remoto di ben 115.000 studenti, capacità indispensabili in quel momento a causa della pandemia di COVID-19. Il passaggio a lungo termine al lavoro remoto e ibrido ha portato a un aumento del numero di endpoint, causando ulteriori rischi per la sicurezza informatica.
Per quanto non sia stato confermato il pagamento del riscatto, il distretto scolastico della contea di Baltimora si è impegnato a:
- Ricostruire e consolidare la propria infrastruttura IT
- Introdurre nuovi processi, come l'autenticazione a più fattori (MFA) per tutto il personale
- Installare firewall di nuova generazione e protezioni avanzate dei dispositivi
Tuttavia, nel 2021, il presidente dell'Associazione degli insegnanti della contea di Baltimora, Cindy Sexton, ha osservato che l'interruzione è rimasta irrisolta per alcuni sistemi, compresi i sistemi di gestione delle retribuzioni: molti dipendenti si sono ritrovati strapagati, sottopagati o con pagamenti retrodatati.
Cosa ci insegnano gli attacchi ransomware di Baltimora?
Per quanto il riscatto richiesto fosse di gran lunga inferiore al costo sostenuto per riprendersi dall'attacco informatico, il sindaco Young ha evidenziato senza troppi giri di parole diversi motivi per cui non avrebbe dovuto pagare un riscatto:
- Gli hacker non dovrebbero essere ricompensati per i loro comportamenti criminali, perché questo potrebbe portare a ulteriori attacchi ransomware contro la città in futuro
- Non c'è alcuna garanzia che i sistemi e i dati associati vengano sbloccati in seguito al pagamento del riscatto
Gli attacchi ransomware di Baltimora evidenziano i pericoli derivanti da pratiche IT e software di sicurezza obsoleti. Il ransomware può avere un costo addirittura di milioni per la tua azienda, per non parlare dei danni in termini di reputazione. È fondamentale intraprendere azioni proattive per aggiornare i processi di sicurezza informatica, tra cui:
- Installazione di un antivirus potente con strumenti di protezione anti-ransomware integrati
- Implementazione di backup regolari
- Creazione di un piano di continuità aziendale
- Formazione del personale sui principi di base della sicurezza informatica
Lascia che sia Avast a proteggere la tua azienda dagli attacchi ransomware
Adotta misure di sicurezza essenziali per difendere e proteggere la tua azienda dalla minaccia di attacchi ransomware. Investi in un software antivirus aziendale in grado di proteggere i server Windows, applicare patch per le vulnerabilità e rilevare e prevenire attività dannose all'interno delle reti.
© 2024 Gen Digital Inc.