Ministeri, banche, società di trasporto pubblico, gruppi ospedalieri, campagne elettorali. Sono alcuni degli obiettivi dei maggiori attacchi hacker andati a segno lo scorso anno in tutto il mondo. È quanto si legge nell’edizione 2017 del Rapporto Clusit sulla sicurezza Ict, illustrato oggi a Milano in anteprima.
LE TENDENZE
Sono in deciso aumento i crimini informatici a livello globale: nel 2016 sono stati 1.050 gli incidenti noti classificati come gravi, quindi con impatto significativo per le vittime in termini di danno economico, alla reputazione e diffusione di dati sensibili. Contestualmente, è sempre più elevato l’impatto sulla vita delle istituzioni, delle imprese e dei privati cittadini che tali crimini subiscono.
IL RAPPORTO
Sono questi alcuni dei dati – contenuti nell’edizione 2017 del Rapporto Clusit sulla sicurezza Ict – illustrati oggi a Milano in anteprima. L’edizione integrale dello studio sarà invece presentata al pubblico il 14 marzo in apertura di Security Summit.
LA MAPPA
A livello geografico, aggiunge il nuovo Rapporto Clusit, crescono nel secondo semestre 2016 gli attacchi verso realtà basate in Europa (dal 13% al 16%) e in Asia (dal 15% al 16%), mentre sembrano diminuire leggermente le vittime negli Stati Uniti. La categoria di organizzazioni target identificata come “Multinational” rimane tuttavia sostanzialmente stabile (11%), confermando la tendenza a colpire bersagli sempre più importanti, di natura transnazionale.
Sono dieci gli attacchi informatici rappresentativi del 2016, selezionati “non tanto per la loro gravità in termini assoluti (per quanto alcuni siano stati particolarmente gravi), quanto piuttosto per rappresentare la varietà di situazioni che si stanno verificando”.
I DATI
A raccoglierli è il Rapporto Clusit 2017 sulla sicurezza Ict in Italia realizzato dall’Associazione italiana per la sicurezza informatica. Alcuni dei dati del nuovo studio sono stati illustrati oggi a Milano in anteprima. L’edizione integrale del report sarà invece presentata al pubblico il 14 marzo in apertura di Security Summit.
LA CLASSIFICA
Per la prima volta in questa “classifica” rientra anche un incidente avvenuto nel nostro Paese: l’attacco di matrice state-sponsored (forse originato dalla Russia), subìto dalla Farnesina nella primavera 2016, che avrebbe provocato la compromissione di alcuni sistemi non classificati.
L’ELENCO DEI 10 MAGGIORI ATTACCHI
Il primo, si legge nel report, ha riguardato l’Hollywood Presbyterian Medical Center. “L’offensiva basata su ransomware ha costretto l’ospedale, a fronte del blocco del sistema informativo e quindi delle attività cliniche, causato dalla cifratura dei propri dati (strutturati e non strutturati), a pagare un riscatto di 17mila dollari per ottenere dai criminali la chiave di decifratura. Attacchi simili contro infrastrutture ospedaliere si sono verificati frequentemente nel 2016, sia in Usa sia altrove, considerato che dal punto di vista degli attaccanti si tratta di strutture poco protette, facili da colpire ed allo stesso tempo critiche, propense a pagare cifre anche relativamente ingenti per ripristinare velocemente la propria operatività”.
Al secondo posto c’è un’azione condotta ai danni di FriendFinder Networks. “La popolare piattaforma di dating online e pornografia FriendFinder ha subito il furto di oltre 412 milioni di account di suoi clienti, inclusi 15 milioni di account formalmente cancellati dai proprietari.
L’attacco è stato realizzato tramite una vulnerabilità piuttosto banale di tipo Local File Inclusion, ed è risultato aggravato dal fatto che la maggior parte delle password fosse conservata in chiaro oppure sotto forma di semplice hash SHA-1, il che ne ha reso agevole il cracking. La piattaforma era già stata hackerata nel 2015, con la compromissione in quel caso di 3,9 milioni di account”.
In terza posizione c’è quella che viene definita come “una delle più grandi cyber-rapine di tutti i tempi, e probabilmente la più grande del 2016”, quella compiuta ai danni della Banca del Bangladesh, con un danno stimato in 81 milioni di dollari.
“Gli attaccanti, dopo aver compromesso alcuni sistemi della banca, hanno introdotto nel sistema Swift transazioni fraudolente ordinando il trasferimento di fondi per un totale di 1 miliardo di dollari, delle quali fortunatamente (per un banale errore da parte dei criminali) solo la prima tranche da 81 milioni è andata a buon fine”.
Nella speciale classifica degli attacchi informatici del 2016 elaborata dal Clusit, al quarto posto c’è una violazione ai sistemi della società cinese Adups Technology. Gli hacker “hanno modificato il firmware per device Android prodotto dall’azienda, installato su 700 milioni di macchine commercializzate da numerosi vendor in diversi Paesi del mondo, introducendovi una backdoor. Il firmware così infettato raccoglieva informazioni relative a Imei, Imsi, Mac address, version number, operatore telefonico, Sms ed elenco delle chiamate, ed ogni 72 ore le inviava in background ad un server remoto in Cina. L’attività di data collection è durata oltre 6 mesi prima di essere scoperta”.
Quinta posizione poi per un attacco al sistema di trasporto pubblico di San Francisco, colpito da un ransomware “che ha infettato circa 2mila sistemi tra server, client e macchine deputate a funzioni di biglietteria. La richiesta di riscatto iniziale da parte dei criminali è stata di 73mila dollari, ma il danno principale è scaturito dalla necessità di aprire i tornelli e far circolare gli utenti gratuitamente, nell`impossibilità di emettere titoli di viaggio fino alla risoluzione dell’incidente”.
In sesta posizione nel Rapporto Clusit 2017 c’è invece quanto accaduto durante la campagna presidenziale americana. “Wikileaks ha pubblicato 19.252 email relative al Comitato Nazionale del Partito Democratico, ai suoi vertici e ai suoi collaboratori, alcune delle quali piuttosto compromettenti, in quanto sembrerebbero indicare che il partito abbia favorito la candidatura di Hillary Clinton sfavorendo il candidato Bernie Sanders. Le email sono state sottratte (ufficialmente) – si legge – da un hacker dal nickname Guccifer 2.0, anche se tutte le principali agenzie di intelligence americane hanno dichiarato di avere prove dell`intervento russo dietro le quinte della vicenda.
La questione ha creato scandalo ed occupato i media per mesi, e probabilmente influito in qualche misura sull`esito elettorale, prefigurando così scenari inediti di Psychological Operations (PsyOps), e dimostrando la possibilità di interferire pesantemente con mezzi “cyber” nella vita democratica delle nazioni”.
Settimo in classifica “il data breach più importante della storia (oltre un miliardo di account sarebbero stati violati), avvenuto ai danni di Yahoo e dei suoi utenti. Gli attaccanti avrebbero sottratto nomi, indirizzi email, numeri di telefono, date di nascita, password criptate e in qualche caso anche domande di sicurezza cifrate o in chiaro, con le relative risposte, che poi sarebbero stati messi in vendita in alcuni marketplace del dark web, per circa 300mila dollari. Anche a causa di questo data breach (e di altri data breach precedenti, non comunicati tempestivamente dall`azienda), alcuni analisti finanziari sostengono che la quotazione di Yahoo nell`ambito dell`acquisizione in corso da parte di Verizon sia stata ribassata di circa 350 milioni di dollari”.
Procedendo nel ranking Clusit degli attacchi cyber del 2016, ottava posizione per l’offensiva contro Dyn, un importante provider di servizi Dns. “Gli utenti della costa est degli Stati Uniti si sono trovati nell`impossibilità di raggiungere la maggior parte dei più popolari siti e piattaforme internet per un giorno. Twitter, Spotify, Reddit, PayPal, eBay e Yelp sono solo alcuni dei servizi resi di fatto accessibili da un gigantesco attacco DDoS. Ancora più inquietante il meccanismo utilizzato per realizzare l’attacco DDoS, messo a segno tramite centinaia di migliaia di device IoT (in particolare telecamere di sicurezza made in China), compromessi da remoto e usati come (potentissimo) vettore di attacco”.
Al nono posto c’è invece la violazione ai danni di “circa 20mila clienti della britannica Tesco Bank che sono stati derubati del loro denaro da una gang di cyber criminali nell`arco di un weekend. L’azione ha portato la banca a bloccare i conti correnti online e le carte di credito/debito delle vittime. Ciò, unito a una comunicazione di crisi non brillante, ha creato agli utenti ulteriori disagi per diversi giorni, soprattutto per chi non disponeva di contanti sufficienti per affrontare le proprie attività quotidiane”.
Infine il decimo e ultimo attacco è, per gli esperti del Clusit, quello realizzato ai danni del ministero degli Esteri italiano. Ad inizio 2017 “tutti i media nazionali e mondiali hanno ripreso la notizia lanciata dal quotidiano inglese Guardian […], in merito a un attacco di matrice state-sponsored (forse originato dalla Russia), subito dalla Farnesina nella primavera 2016, che avrebbe provocato la compromissione di alcuni sistemi non classificati. Il ministero ha confermato l`attacco, peraltro già noto tra gli addetti ai lavori, e ribadito che i propri sistemi classificati non sono stati impattati dall’incidente”.