Redazione RHC : 19 Aprile 2024 22:22
Il recente attacco informatico alla British Library da parte del ransomware Rhysida ha evidenziato la necessità di rafforzare le difese digitali contro minacce sempre più sofisticate. Questo articolo fornisce un’analisi del modus operandi di Rhysida, un ransomware noto per la sua estorsione: vengono richiesti pagamenti per scongiurare la vendita o la pubblicazione dei dati rubati. Attraverso una serie di attacchi mirati in tutto il mondo, compresi alcuni in Italia, Rhysida ha causato danni significativi e portato a estorsioni finanziarie.
Una delle principali vulnerabilità sfruttate dal ransomware Rhysida è la mancanza di autenticazione multifattoriale (MFA) nelle infrastrutture IT delle aziende. Inoltre, l’articolo racconta come il gruppo di cyber criminali che ha creato Rhysida lo abbia poi fatto diventare un “ransomware as a service” (Raas).
Infine, vengono suggeriti strumenti e pratiche per rafforzare le difese informatiche.
Può un attacco informatico targato ransomware Rhyshida dar del filo da torcere a una delle biblioteche più importanti del mondo? Ecco che cosa è successo nel cuore della Gran Bretagna e del patrimonio librario mondiale.
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Londra, 2023. Catalogo digitale della British Library. È una notte da brividi di fine autunno (per ogni storia che si rispetti, sarebbe buia e tempestosa, ma questa è una storia vera, e allora immaginiamo che lo sia altrettanto). Al 96 di Euston Road, la Magna Carta se la passa benino e più di seicento chilometri di scaffali di carta dormono sogni da libri.
Ma il loro doppio digitale inizia a tremare.
Il database che raccoglie dati di utenti e dipendenti, oltre a un catalogo di 170 milioni di opere, subisce un attacco: l’aggressore è il ransomware Rhyshida.
L’attacco informatico ha colpito il catalogo online della biblioteca, che veniva consultato tutti i giorni da appassionati e appassionate, studiosi e studiose. Ora, a causa del furto virtuale ma, nelle conseguenze, tangibilissimo, il servizio è interrotto e non sono ancora chiari i tempi in cui verrà ripristinato.
I cyber attacchi di questo tipo prevedono sempre un’estorsione ai danni dell’ente o dell’azienda che li subisce: così è stato anche nel caso della British Library. Le sono stati chieste 600.000 sterline di riscatto, pari a circa 700.000 euro.
L’istituzione britannica si è rifiutata di pagare e l’ulteriore ritorsione dei cyber criminali non ha tardato ad abbattersi. I dati rubati sono stati pubblicati nel dark web e sembra che il 10% del capitale di informazioni sia stato venduto a un unico compratore.
Le conseguenze dell’attacco ransomware hanno coinvolto sia fruitori sia dipendenti della biblioteca.
Infatti, per aggirare l’ostacolo dell’intrusione avvenuta, l’unica possibilità è stata tornare al vecchio metodo di ricerca dei testi manuale attraverso registri cartacei. Questo significa che ogni operazione richiede più tempo e i rallentamenti si riflettono su chiunque abbia bisogno dei servizi della biblioteca, per lavoro, studio ed esigenze personali.
In più, l’enorme mole di dati rubati attraverso l’attacco ransomware Rhyshida comprendono anche dati personali delle persone che utilizzano la biblioteca oppure lavorano al suo interno.
Ma perché la British Library, per arginare al danno ingente causato dall’attacco, non ha pagato il riscatto?
Tutto è dovuto alle politiche sull’informatica UK: due istituzioni autorevoli in tema di sicurezza informatica nel Regno Unito – il National Cyber Security Center (NCSC) e l’Information Commissioner’s Office (ICO) – hanno pubblicato una lettera nel 2022 in cui invitano a non pagare i riscatti.
D’altra parte, si stima che il 39% delle imprese britanniche abbia subito un cyber attacco e di queste solo il 13% abbia soddisfatto la richiesta di estorsione.
Il ripristino del catalogo online della più importante delle biblioteche di Londra è molto caro. Il Financial Times ha stimato che i costi che dovranno essere sostenuti dall’istituzione ammontano a quasi sette sterline, quindi dieci volte la somma del riscatto.
Si tratta di circa il 40% delle risorse finanziarie della biblioteca, che non è beneficiaria di fondi governativi.
I ransomware appartengono alla grande categoria dei malware, cioè dei programmi informatici malevoli. Sono, quindi, applicazioni dannose che infettano, letteralmente, i dispositivi, pc, desktop, tablet, smartphone e addirittura smart TV.
Il loro modo di agire consiste nel bloccare l’accesso a tutti i suoi contenuti o a una parte di questi. In questo modo, gli hacker possono perpetrare la loro richiesta di riscatto.
I ransomware sono usati contro istituzioni e imprese con l’obiettivo di portare avanti un’estorsione: il nome che li designa deriva dalla parola inglese “ransom” che significa proprio “riscatto”.
I vettori d’infezione di un ransomware sono diversi: insomma, le possibilità di beccarselo non sono basse, se la guardia non è alta. Una modalità classica dell’avvio del cyber attacco è l’uso di email di phishing che sembrano contenere file innocui e sono invece, per così dire, le “uova” del malware.
Altri meccanismi alla base di un attacco informatico causato da ransomware sono:
Le infrastrutture informatiche di aziende ed enti offrono il fianco agli attacchi dei cyber criminali se presentano vulnerabilità nel sistema operativo o nei software utilizzati.
Come capire se un device è stato infettato da un ransomware? Un attacco informatico si manifesta proprio come un’infezione, con dei “sintomi” più o meno caratteristici. Quando il malware responsabile è un ransomware, i segni preoccupanti sono:
Il temibile antagonista digitale della storia dell’attacco subito dalla British Library prende il nome dal gruppo di hacker che lo ha creato: la cyber banda criminale Rhyshida. Agisce secondo la modalità ransomware-as-a-service e funziona come un ransomware a doppia estorsione: richiede pagamenti usando la minaccia di rendere pubblici o vendere i dati di cui si appropria.
Per infettare i device utilizza password compromesse passando da servizi remoti come VPN e RDP. Un punto debole molto sfruttato da questo tipo di malware è la mancanza dell’autenticazione a due fattori (MFA).
Prevenire è meglio che curare, anche nel caso delle infezioni da malware, come quella del ransomware Rhyshida ai danni della British Library. Per mettere in atto una buona protezione, occorre intervenire, innanzitutto, su due fattori:
CoreTech mette a disposizione due strumenti che lavorano proprio su questi due fronti delicati: il server cloud Stellar e il software di backup in cloud 1Backup. Con il primo la sicurezza informatica si fa “stellar” che custodisce dati e informazioni essenziali all’attività di un’impresa o un’istituzione: le risorse sono esternalizzate in un server cloud, così che, in caso di perdita o inaccessibilità, è sempre possibile recuperarle e garantire la business continuity.
Il secondo è la “scorta” vitale che assicura la ridondanza del dato l’accessibilità sempre e dovunque, sempre grazie alla tecnologia della nuvola.
RedazioneIl 20 settembre scorso abbiamo riportato di un attacco informatico che ha paralizzato diversi aeroporti europei tra cui Bruxelles, Berlino e Londra-Heathrow. Si è trattato di un attacco alla supply c...
Il sistema penitenziario rumeno si è trovato al centro di un importante scandalo digitale: i detenuti di Târgu Jiu hanno hackerato la piattaforma interna dell’ANP e, per diversi mesi, hanno gestit...
Le autorità del Wisconsin hanno deciso di andare oltre la maggior parte degli altri stati americani nel promuovere la verifica obbligatoria dell’età per l’accesso a contenuti per adulti. L’AB ...
Il 10 ottobre 2025 le autorità lettoni hanno condotto una giornata di azione che ha portato all’arresto di cinque cittadini lettoni sospettati di gestire un’articolata rete di frodi telematiche. ...
Il CERT-AGID ha rilevato una nuova variante del phishing ai danni di PagoPA. La campagna, ancora a tema multe come le precedenti, sfrutta questa volta un meccanismo di open redirect su domini legittim...
