Il recente attacco informatico alla British Library da parte del ransomware Rhysida ha evidenziato la necessità di rafforzare le difese digitali contro minacce sempre più sofisticate. Questo articolo fornisce un’analisi del modus operandi di Rhysida, un ransomware noto per la sua estorsione: vengono richiesti pagamenti per scongiurare la vendita o la pubblicazione dei dati rubati. Attraverso una serie di attacchi mirati in tutto il mondo, compresi alcuni in Italia, Rhysida ha causato danni significativi e portato a estorsioni finanziarie.
Una delle principali vulnerabilità sfruttate dal ransomware Rhysida è la mancanza di autenticazione multifattoriale (MFA) nelle infrastrutture IT delle aziende. Inoltre, l’articolo racconta come il gruppo di cyber criminali che ha creato Rhysida lo abbia poi fatto diventare un “ransomware as a service” (Raas).
Infine, vengono suggeriti strumenti e pratiche per rafforzare le difese informatiche.
Può un attacco informatico targato ransomware Rhyshida dar del filo da torcere a una delle biblioteche più importanti del mondo? Ecco che cosa è successo nel cuore della Gran Bretagna e del patrimonio librario mondiale.
Londra, 2023. Catalogo digitale della British Library. È una notte da brividi di fine autunno (per ogni storia che si rispetti, sarebbe buia e tempestosa, ma questa è una storia vera, e allora immaginiamo che lo sia altrettanto). Al 96 di Euston Road, la Magna Carta se la passa benino e più di seicento chilometri di scaffali di carta dormono sogni da libri.
Ma il loro doppio digitale inizia a tremare.
Il database che raccoglie dati di utenti e dipendenti, oltre a un catalogo di 170 milioni di opere, subisce un attacco: l’aggressore è il ransomware Rhyshida.
L’attacco informatico ha colpito il catalogo online della biblioteca, che veniva consultato tutti i giorni da appassionati e appassionate, studiosi e studiose. Ora, a causa del furto virtuale ma, nelle conseguenze, tangibilissimo, il servizio è interrotto e non sono ancora chiari i tempi in cui verrà ripristinato.
I cyber attacchi di questo tipo prevedono sempre un’estorsione ai danni dell’ente o dell’azienda che li subisce: così è stato anche nel caso della British Library. Le sono stati chieste 600.000 sterline di riscatto, pari a circa 700.000 euro.
L’istituzione britannica si è rifiutata di pagare e l’ulteriore ritorsione dei cyber criminali non ha tardato ad abbattersi. I dati rubati sono stati pubblicati nel dark web e sembra che il 10% del capitale di informazioni sia stato venduto a un unico compratore.
Le conseguenze dell’attacco ransomware hanno coinvolto sia fruitori sia dipendenti della biblioteca.
Infatti, per aggirare l’ostacolo dell’intrusione avvenuta, l’unica possibilità è stata tornare al vecchio metodo di ricerca dei testi manuale attraverso registri cartacei. Questo significa che ogni operazione richiede più tempo e i rallentamenti si riflettono su chiunque abbia bisogno dei servizi della biblioteca, per lavoro, studio ed esigenze personali.
In più, l’enorme mole di dati rubati attraverso l’attacco ransomware Rhyshida comprendono anche dati personali delle persone che utilizzano la biblioteca oppure lavorano al suo interno.
Ma perché la British Library, per arginare al danno ingente causato dall’attacco, non ha pagato il riscatto?
Tutto è dovuto alle politiche sull’informatica UK: due istituzioni autorevoli in tema di sicurezza informatica nel Regno Unito – il National Cyber Security Center (NCSC) e l’Information Commissioner’s Office (ICO) – hanno pubblicato una lettera nel 2022 in cui invitano a non pagare i riscatti.
D’altra parte, si stima che il 39% delle imprese britanniche abbia subito un cyber attacco e di queste solo il 13% abbia soddisfatto la richiesta di estorsione.
Il ripristino del catalogo online della più importante delle biblioteche di Londra è molto caro. Il Financial Times ha stimato che i costi che dovranno essere sostenuti dall’istituzione ammontano a quasi sette sterline, quindi dieci volte la somma del riscatto.
Si tratta di circa il 40% delle risorse finanziarie della biblioteca, che non è beneficiaria di fondi governativi.
I ransomware appartengono alla grande categoria dei malware, cioè dei programmi informatici malevoli. Sono, quindi, applicazioni dannose che infettano, letteralmente, i dispositivi, pc, desktop, tablet, smartphone e addirittura smart TV.
Il loro modo di agire consiste nel bloccare l’accesso a tutti i suoi contenuti o a una parte di questi. In questo modo, gli hacker possono perpetrare la loro richiesta di riscatto.
I ransomware sono usati contro istituzioni e imprese con l’obiettivo di portare avanti un’estorsione: il nome che li designa deriva dalla parola inglese “ransom” che significa proprio “riscatto”.
I vettori d’infezione di un ransomware sono diversi: insomma, le possibilità di beccarselo non sono basse, se la guardia non è alta. Una modalità classica dell’avvio del cyber attacco è l’uso di email di phishing che sembrano contenere file innocui e sono invece, per così dire, le “uova” del malware.
Altri meccanismi alla base di un attacco informatico causato da ransomware sono:
Le infrastrutture informatiche di aziende ed enti offrono il fianco agli attacchi dei cyber criminali se presentano vulnerabilità nel sistema operativo o nei software utilizzati.
Come capire se un device è stato infettato da un ransomware? Un attacco informatico si manifesta proprio come un’infezione, con dei “sintomi” più o meno caratteristici. Quando il malware responsabile è un ransomware, i segni preoccupanti sono:
Il temibile antagonista digitale della storia dell’attacco subito dalla British Library prende il nome dal gruppo di hacker che lo ha creato: la cyber banda criminale Rhyshida. Agisce secondo la modalità ransomware-as-a-service e funziona come un ransomware a doppia estorsione: richiede pagamenti usando la minaccia di rendere pubblici o vendere i dati di cui si appropria.
Per infettare i device utilizza password compromesse passando da servizi remoti come VPN e RDP. Un punto debole molto sfruttato da questo tipo di malware è la mancanza dell’autenticazione a due fattori (MFA).
Prevenire è meglio che curare, anche nel caso delle infezioni da malware, come quella del ransomware Rhyshida ai danni della British Library. Per mettere in atto una buona protezione, occorre intervenire, innanzitutto, su due fattori:
CoreTech mette a disposizione due strumenti che lavorano proprio su questi due fronti delicati: il server cloud Stellar e il software di backup in cloud 1Backup. Con il primo la sicurezza informatica si fa “stellar” che custodisce dati e informazioni essenziali all’attività di un’impresa o un’istituzione: le risorse sono esternalizzate in un server cloud, così che, in caso di perdita o inaccessibilità, è sempre possibile recuperarle e garantire la business continuity.
Il secondo è la “scorta” vitale che assicura la ridondanza del dato l’accessibilità sempre e dovunque, sempre grazie alla tecnologia della nuvola.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cyber Italia
Cyber News
Cultura
Cultura