L’attacco informatico alla Regione Lazio è solo uno dei tanti attacchi informatici che dal 2020 si sono susseguiti in Italia. Nel 2020 i cyber attacchi gravi a livello globale sono cresciuti del 29% rispetto all’anno precedente. Tra i bersagli più colpiti – per effetto della pandemia – figurano sempre di più i settori “healthcare” (12%) e “research/education” (11%) e dal 2017 a oggi gli attacchi hacker sono aumentati del 66%. A sottolinearlo è il Rapporto Clusit 2021 sulla sicurezza ICT in Italia che ha fatto il punto sul livello di sicurezza informatica nel nostro paese.
Gli strumenti degli hacker
Gli strumenti più utilizzati dagli hacker sono i ransomware, malware in grado di cifrare i file di dati con l’obiettivo di richiederne un riscatto in denaro generalmente attraverso pagamenti in crypto valute. I ransomware bloccano il pc e successivamente i criminali richiedono un riscatto. Dal 2019 si sono iniziati a vedere attacchi ransomware che, oltre a cifrare i file, ne facevano anche una copia di “sicurezza” con il loro trasferimento sui computer dei cyber criminali minacciando di procedere alla loro diffusione pubblica e/o metterli all’asta nel dark web per la vendita al miglior offerente. Questa tecnica di “doppia” estorsione viene oggi chiamata double extortion. Gli attacchi con i ransomware rappresentano il 67% degli attacchi hacker.
Gli obiettivi dei pirati informatici
Secondo il rapporto, l’81% degli hacker sono da ascrivere alla categoria “cybercrime”, quindi quasi criminali comuni, poi “espionage” (14%, in crescita rispetto all’anno precedente), “hacktivism” (3%, ormai quasi residuale) e “information warfare” (2%). Tra le vittime, il 20% sono comprese sotto la voce “multiple target” e il 14% sotto quella “gov” (pubblica amministrazione, forze dell’ordine, forze armate, intelligence e istituzioni in genere), a seguire “healthcare”, “research/education”, “online services cloud” (10%) e “sw/hw vendor” 86%), i venditori di software e hardware.
L’attacco sfruttando App Immuni
Nel 2020 gli attacchi informatici hanno sfruttato l’emergenza epidemiologica Covid-19, che ha costretto molte aziende a ricorrere al lavoro agile. Il 23 maggio 2020, come scrive il Rapporto Clusit 2021 sulla sicurezza ICT in Italia, è stata avviata una campagna malspam con oggetto “NUOVA APP IMMUNI ANTEPRIMA”. Il messaggio invitava a installare nel proprio pc l’app IMMUNI da un link presente all’interno del messaggio. Il link in realtà scaricava un ransomware italiano denominato Fuckunicorn che cifrava i file del pc per poi chiedere 300 euro di riscatto da versare in cryptovaluta BitCoin.
Un ransomware sconosciuto attacca Geox
A giugno la Geox, società che produce calzature, è stata vittima di un attacco hacker ma non sono state rilasciate informazioni sulla tipologia di ransomware utilizzato. L’attacco ha costretto i dipendenti a casa e il fermo della produzione. I pirati informatici si sono infiltrati nel sistema operativo dell’azienda di Montebelluna chiedendo un bitcoin da 8.500 euro per riconsegnare i dati rubati. L’attacco è arrivato dopo che lo scorso maggio “Geox ha collaborato con la Polizia postale per smantellare un finto sito internet che si spacciava per l’outlet ufficiale dell’azienda, (Geoxoutlet.online), vendendo dei prodotti che in realtà non sarebbero mai giunti a destinazione”.
Enel non paga il riscatto
Nel 2020 l’Enel è stata attaccata due volte. Il 7 giugno è stata attaccata con il ransomware Snake/Ekans, lo stesso che in precedenza aveva colpito la multinazionale giapponese Honda. L’attacco è stato rapidamente respinto ma il 19 ottobre 2020 l’azienda è stata colpita dal virus NetWalker che le ha rubato 5 TB di dati. In questo caso gli hacker avrebbero chiesto un riscatto da 14 milioni di euro in bitcoin. Sul Dark Web, nelle pagine di un sito collegato al gruppo hacker NetWalker, è apparsa una lunga lista di cartelle che sembrerebbero essere state trafugate dai server di Enel e nelle quali potrebbero essere stati copiati i dati esfiltrati durante l’attacco e relativi ad alcune centrali elettriche della multinazionale dell’energia. I dati rubati riguarderebbero: dati relativi alle centrali elettriche del Gruppo (in Italia e all’estero); dati sugli Impianti del gruppo e dati di natura aziendale. In occasione degli attacchi, Enel ha immediatamente informato tutte le autorità competenti e non ha accettato “tentativi di estorsione”. La società ha confermato, agli azionisti, “di non aver pagato alcun tipo di riscatto”.
2020-10-27 #Enel colpita di nuovo da #ransomware.
Questa volta è #NetWalker a colpire @EnelGroupIT a rubare 5 TB di dati.
A giugno era stata colpita da #Snake@AgidCert @guelfoweb @csirt_it @arturodicorinto @JAMESWT_MHT @58_158_177_102 @BleepinComputer pic.twitter.com/0WR89iqGfG— TG Soft (@VirITeXplorer) October 27, 2020
L’attacco all’Enac: a rischio documenti sensibili
L’ENAC, l’Ente Nazionale per l’Aviazione Civile, è stato colpita da un attacco ransomware venerdì 10 luglio 2020. L’Ente detiene informazioni sensibili perché alcune comunicazioni gestite dall’ENAC sono classificate come segreti della Nato. Il sito è stato ripristinato parzialmente alle sue funzionalità solamente dal 17 luglio, circa una settimana dopo l’attacco subito.
Università di Tor Vergata e Istituto Lazzaro Spallanzani
Le università non sono esenti dalle scorribande dei criminali informatici. La rete dell’università romana di Tor Vergata è stata “bucata”, degli hacker si sono introdotti attraverso un server e hanno resto inutilizzabili documenti fondamentali. In poche ore sono riusciti a criptare i file presenti nei dischi rigidi compromettendo oltre 100 computer a disposizione del personale e bloccando anche la didattica a distanza. Qualche tempo prima si era registrato anche un tentativo di intrusione nell’istituto Spallanzani.
Il caso Luxottica: la pubblicazione dei dati
Il malware Nefilim nel settembre 2020 ha compromesso i computer di Luxottica, veneta leader mondiale dell’occhialeria, costringendola a interrompere la produzione per un’intera giornata. Diversi uffici sono stati costretti a chiudere e il personale è stato mandato a casa. Luxottica si vide costretta a fermare la produzione e la logistica degli stabilimenti di Agordo e Sedico nel Bellunese. La compromissione non è avvenuta a causa di un allegato malevolo aperto per sbaglio ma per mano di criminali esperti che hanno individuato e sfruttato una vulnerabilità in Citrix Application Delivery Controller (ADC) and Gateway, un’appliance di rete che ha la funzione di migliorare le prestazioni delle applicazioni. A 28 giorni dalla compromissione, in data 18 ottobre 2020, gli autori del gesto criminale hanno pubblicato la prima parte di quelli che dovrebbero essere i dati sottratti all’azienda, fornendo così prova della violazione. Il leak pubblicato contiene una serie di documenti MS Office, prevalentemente fogli di calcolo Excel, qualche presentazione PowerPoint, qualche documento Word e file esportati da Outlook per un totale di quasi 6000 file.
Il gruppo Carraro: cassa integrazione per i dipendenti
Anche il Gruppo Carraro, azienda italiana leader internazionale nel comparto delle macchine agricole, ha subito un grave attacco informatico. Responsabile un ransowmare che ha paralizzato i sistemi informatici che controllano l’attività del gruppo, da quella amministrativa a quella produttiva, altamente automatizzata da robot. L’azienda, che conta oltre tremila dipendenti in tutto il mondo e un fatturato che sfiora i 550 milioni, ha dovuto mettere settecento dipendenti in cassa integrazione tra gli stabilimenti di Campodarsego e quelli della divisione Agritalia di Rovigo prima che avvenisse il ripristino dei sistemi.
Comune di Rieti: chiesto un riscatto da 500mila euro
Anche il Comune di Rieti è stato vittima di una tentata estorsione di 500mila euro. Pirati informatici hanno sequestrato tutti i portali telematici della sede municipale del Comune di Rieti, chiedendo il pagamento di 500mila euro in valuta digitale, nella fattispecie bitcoin. La cifra non era nelle disponibilità del Comune che si è affidata a una società esterna per fornire supporto al Centro Elaborazione Dati (Ced) dell’ente per cercare di trasferire più dati possibili attraverso i backup effettuati dal sistema informatico del municipio reatino.
Irpinia ambiente
Irpiniambiente, una S.r.l. campana attiva nella gestione rifiuti, è stata fatta oggetto di un attacco informatico. A dipanare la matassa ci ha pensato la società fornitrice dei servizi per la gestione informatica, la Mac srl, che ha lavorato per porre rimedio ai danni derivanti dall’attacco. Oggetto dell’attacco i dati contenuti nei server che sono stati criptati grazie a un ransomware.
Campari: chiesti 15 milioni di dollari
Il gruppo Campari, società che possiede i marchi Aperol, Grand Marnier, Averna e Cynar, ha subito un attacco malware, ha subito il furto di 2 terabyte di dati. Gli aggressori ha chiesto un riscatto pari a 15 milioni di dollari. A darne notizia questa volta è stato il gruppo di cyber criminali RAGNAR_LOCKER at- traverso un post nel proprio portale nel dark web. In seguito, Campari ha confermato “che alcuni dati personali e aziendali sono stati compromessi”. In particolare in una nota la società riferisce che sono compromesse active directory dei dipendenti contenente i dati personali di 4.736 dipendenti, 1.443 ex dipendenti e 1.088 consulenti (nome, cognome, indirizzo e-mail, numeri di cellulare (solo dipendenti ed ex dipendenti), ruolo, linee di riporto, numero identificativo personale nel Network Campari).
Aprofruit sotto attacco
A rimanere vittima dei pirati informatici anche Apofruit, una coop agricola romagnola che produce ortofrutta biologica. Responsabile del misfatto il gruppo di cyber criminali di Egregor. “Il blocco del sistema – spiegò Ernesto Fornari, Direttore Generale di Apofruit – è da attribuire presumibilmente ad un agente esterno il cui intento era quello di sequestrare i dati dell’azienda. Ma la cassaforte dei dati di Apofruit, sistema informatico difficilmente attaccabile, ha resistito e i dati sono rimasti al sicuro. Il lavoro immediato dei tecnici informatici, che vi hanno lavorato fino dal momento in cui è scattato l’allarme, ha neutralizzato l’attacco”.
Attacco a HO.Mobile e SNAI
Le aziende di tecnologia non sono immuni agli attacchi cyber. All’inizio del 2021 è stato colpito Ho.Mobile, l’operatore telefonico low cost di Vodafone, vittima di un attacco hacker in cui è avvenuto il furto di dati di milioni di clienti. Alla fine del 2020, invece, nel mirino dei pirati informatici ci è finito il gruppo SNAI che, dopo aver confermato l’attacco informatico in un comunicato stampa, ha attivato un sistema di controllo per mettere in totale sicurezza il sito e le app.