Governi, polizia, ospedali tenuti in ostaggio dagli hacker

ad-Midbar
ad-Midbar
ad-Midbar
ad-Midbar

Governi, polizia, ospedali tenuti in ostaggio dagli hacker

Governi, polizia, ospedali tenuti in ostaggio dagli hacker

Copyright 2019 CNN

L'attacco inizia, abbastanza innocentemente, con una email. Ma quando qualcuno fa clic sul link all'interno, gli hacker prendono rapidamente il controllo.

ARTICOLI CORRELATI

ATLANTA - L'attacco inizia, abbastanza innocentemente, con un'e-mail. Ma quando qualcuno fa clic sul link all'interno, gli hacker prendono rapidamente il controllo.

I computer della scuola, dell'ospedale o del governo della città sono bloccati e l'unico modo per i dipendenti di rientrare è quello di pagare all'attaccante centinaia di migliaia di dollari di Bitcoin.

Anche allora, non vi è alcuna garanzia che non lo faranno più.

Benvenuti nel mondo degli attacchi di ransomware, una forma crescente di malware che gli hacker usano per infettare un computer o una rete per crittografare file e dati, paralizzandoli con gli utenti, con un riscatto appeso come unica via d'uscita.

Solo quest'anno, sono stati segnalati attacchi 140 contro governi pubblici e locali e fornitori di servizi sanitari, secondo un conteggio della società di sicurezza informatica Recorded Future, che ha monitorato gli attacchi ai governi locali da 2013 e l'industria sanitaria da 2016.

Gli attacchi hanno preso di mira scuole, uffici del governo locale e ospedali. Una vittima recente era una rete di ospedali in Alabama che dovevano smettere di accettare nuovi pazienti a causa di un attacco ransomware.

L'anno scorso, l'azienda ha monitorato gli attacchi 85. Si tratta di un aumento di quasi l'65%, una media di quasi tre attacchi ogni settimana.

Complicando le capacità dei funzionari di tracciare questi attacchi, molte organizzazioni scelgono di non denunciare questi incidenti, sperando di evitare la copertura delle notizie sull'attacco e il conseguente pagamento.

Ciò significa che il numero totale è in gran parte sconosciuto.

"Senza dubbio il numero di attacchi quest'anno in tutti i settori è in migliaia", ha dichiarato l'architetto Allan Liska di Recorded Future alla CNN. "In effetti, la maggior parte delle società di sicurezza stima che 2019 sia impostato per vedere il numero più alto."

Come funziona

Il modo più comune per gli aggressori di penetrare in una rete è attraverso un tentativo di phishing. L'aggressore può inviare un'e-mail apparentemente innocente a un collega o all'utente con un collegamento dannoso o un file infetto allegato.

Quindi, una volta scaricato il file - la persona interessata di solito non ha idea di cosa hanno fatto - il malware può infettare il sistema e crittografare i file sul computer, il che blocca gli utenti e ne limita l'accesso e si diffonde attraverso la rete della tua azienda e infettare altri computer.

Gli hacker chiederanno quindi che venga riscattato un riscatto per poter decifrare i file. Il pagamento è in genere richiesto in Bitcoin o in una sorta di valuta virtuale in modo che possano rimanere anonimi prima di sbloccare file e dati.

Questi attacchi sono gravi: possono paralizzare intere infrastrutture, a volte impedendo ai medici di accedere alle cartelle cliniche critiche o ai dipartimenti di polizia di sapere quali risorse hanno a disposizione per le chiamate di emergenza.

E stanno diventando sempre più diffusi - e più difficili da battere.

"Il ransomware è un grosso problema che continua a crescere", ha dichiarato Liska. "È anche una grande opportunità per fare soldi sia per i cybercriminali esperti che per quelli nuovi. Ciò significa che i cattivi stanno dedicando molte risorse allo sviluppo di nuovi metodi per fornire ransomware. "

I diversi stili e metodi di distribuzione utilizzati nel ransomware stanno diventando sempre più sofisticati. Le aziende che usano credenziali "deboli e insicure" di Remote Desktop Protocol (RDP), ad esempio - un modo per le aziende di collegare un computer a un altro - sono solo un nuovo modo di entrare, secondo l'FBI.

L'ultima vittima è DCH Health System, un sistema sanitario regionale situato nell'Alabama occidentale. I computer attraverso la sua rete di ospedali sono stati infettati la scorsa settimana dopo che la sua rete è stata penetrata, secondo una dichiarazione rilasciata da DCH Health System.

Mentre gli ospedali della rete DCH Health Systems erano ancora in grado di fornire assistenza medica critica ai pazienti, ciò ha compromesso la loro capacità di accettare nuovi pazienti.

“I nostri team continuano a lavorare 24 ore su 24 per ripristinare le normali operazioni ospedaliere, poiché riportiamo progressivamente online i componenti del sistema nei nostri centri medici.

“Man mano che completiamo questo processo, tutti e tre gli ospedali continueranno a essere deviati da tutti i pazienti, tranne quelli più critici, durante il fine settimana. I nostri dipartimenti di emergenza continueranno a vedere i pazienti che si portano in ospedale ", ha dichiarato DCH Health System in una nota.

I funzionari di DCH Health System hanno dichiarato a Tuscaloosa News che l'organizzazione ha pagato gli hacker. DCH Health System ha dichiarato in una dichiarazione che è stata ottenuta una chiave di decrittazione e che i team stanno lavorando per ripristinare i suoi sistemi.

La CNN ha contattato DCH Health System in merito alla notizia di aver pagato gli hacker ma di non aver ricevuto risposta.

"L'assistenza sanitaria è un'area particolarmente delicata per i ransomware", ha detto alla CNN Liska, la ricercatrice che monitora gli attacchi. “Molti sistemi sanitari sono bloccati dai fornitori, quindi i sistemi sanitari spesso non possono essere patchati nello stesso modo in cui altri settori possono patchare. Ciò significa che le organizzazioni sanitarie devono adottare altre misure per proteggersi. "

Proprio come i casi di rapimento nella vita reale, l'FBI afferma che le vittime non dovrebbero pagare il riscatto. Ciò incoraggia solo una continua attività criminale. Inoltre, non vi è alcuna garanzia che i file verranno decodificati e che i file interessati possano essere danneggiati, rendendoli irrecuperabili.

"I sistemi infetti da ransomware possono anche essere infettati da altri tipi di malware che rimangono nascosti sul sistema anche se la vittima decide di pagare il riscatto", ha detto un portavoce dell'FBI. "Pertanto, l'FBI raccomanda che invece di pagare il riscatto di un hacker, le vittime eseguano una riparazione completa di tutti i sistemi infetti per includere la pulizia dei loro computer e il ripristino da backup offline."

Per molte aziende, il costo dell'assunzione di specialisti, la sostituzione di apparecchiature e la cancellazione dei loro computer non è una soluzione pratica, poiché i costi possono superare il pagamento del riscatto di un ampio margine.

Intere città possono essere prese di mira

In un altro attacco all'inizio di quest'anno, la città di Baltimora è stata presa di mira e gli hacker hanno richiesto circa $ 76,000. Il sindaco Bernard C. Young si è rifiutato di arrendersi e la città ha speso milioni per gestire le ricadute.

Il consigliere di Baltimora Isaac Schleifer informazioni condivise da una riunione di bilancio della città e l'impatto previsto in anticipo dell'attacco ransomware è stimato in $ 18.2 milioni. L'ufficio di tecnologia informatica della città ha già speso quasi $ 4.6 milioni per gli sforzi di recupero, con una spesa aggiuntiva di $ 5.4 milioni entro la fine dell'anno. La città prevede che le entrate potenziali perse (o ritardate) raggiungeranno il totale di $ 8.2 milioni.

Il più grande pagamento noto in un attacco di ransomware quest'anno è stato dalla città di Riviera Beach in Florida, secondo Liska. I funzionari hanno approvato un pagamento $ 600,000 in Bitcoin a un hacker che ha rilevato i computer del governo locale.

Punire i responsabili non è facile

Dagli hacker solitari ai gruppi di hacking sponsorizzati dallo stato, il ransomware sta diventando uno strumento più comunemente usato nei crimini informatici e può essere eseguito da qualsiasi parte del mondo.

Una grande giuria federale ha accusato Faramarz Shahi Savandi, 34 e Mohammad Mehdi Shah Mansouri, 27, dell'Iran dello scorso anno per un programma internazionale di hacking ed estorsione di computer che coinvolge ransomware contro la città di Atlanta.

I due uomini sono stati accusati di cospirazione per commettere frodi e attività connesse in relazione ai computer, cospirazione per commettere frodi via cavo, danni intenzionali a un computer protetto e trasmettere una richiesta in relazione al danneggiamento di un computer protetto.

E qui sta un altro problema: se gli Stati Uniti non sono in grado di localizzare ed estradare gli aggressori, potrebbero non essere mai puniti per i loro crimini.

Il Dipartimento del Tesoro degli Stati Uniti ha ulteriormente sanzionato la Corea del Nord a settembre dopo che gli Stati Uniti hanno trovato prove che il "Gruppo Lazarus", "Bluenoroff" e "Andariel" erano "agenzie, strumenti o entità controllate del governo della Corea del Nord" responsabili di "cyber malevole attività su infrastrutture critiche. "

Il "Gruppo Lazarus" è responsabile del massiccio attacco ransomware WannaCry 2.0 in 2017, secondo l'FBI. L'attacco ha colpito centinaia di migliaia di computer in tutto il mondo, secondo il consigliere per la sicurezza della Casa Bianca, Tom Bossert.

Il principale sospettato in questo caso è Park Jin Hyok, che presumibilmente è un programmatore di computer che fa parte del "Gruppo Lazarus", secondo l'FBI. Mentre un mandato di arresto federale è stato emesso per Park, potrebbe non vedere mai l'interno di una prigione americana per i suoi crimini.

Tutti dovrebbero essere in allerta

Il Centro di reclamo per crimini su Internet dell'FBI ha riportato vittime 1,493 con perdite stimate a $ 3,621,857 in 2018. Mentre il conteggio delle vittime è sceso dal suo picco in 2016 delle vittime di 2,673, le perdite sono solo aumentate.

"L'FBI si preoccupa ogni volta che vediamo un aumento del numero di vittime e perdite monetarie associate a una minaccia", ha detto un portavoce dell'FBI. "Chiaramente abbiamo visto questa tendenza con il ransomware e stiamo lavorando con i nostri partner internazionali, l'industria privata e altre agenzie governative per assicurare alla giustizia gli attori associati al ransomware."

Mentre il ransomware rimane un crimine motivato dal punto di vista finanziario, Liska ha avvertito che a volte può essere fatto come un attacco di distrazione condotto da criminali informatici o attaccanti dello stato nazionale.

Gli aggressori possono rimanere nella rete di una vittima per settimane, rubando segretamente dati e informazioni. Quindi, al fine di coprire le loro tracce, lanciano un attacco ransomware per distrarre i team di risposta agli incidenti poiché l'altra attività dell'attaccante potrebbe passare inosservata.

Con gli occhi su 2020, Liska ha affermato che questo tipo di attacco è particolarmente preoccupante. "I registri degli elettori e altri sistemi elettorali potrebbero essere vulnerabili agli attacchi di ransomware e gli attori degli stati nazionali hanno aggiunto tutti i ransomware al loro arsenale di strumenti", ha affermato.

Tina Burnside della CNN, Kevin Collier, Pierre Meihan, Faith Karimi, Eli Watkins e Zachary Cohen hanno contribuito a questa storia.



Fonte

ad-bottom
ad-bottom
ad-bottom
ad-bottom

NON CI SONO COMMENTI