Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 19 Aprile 2024 22:22
Il recente attacco informatico alla British Library da parte del ransomware Rhysida ha evidenziato la necessità di rafforzare le difese digitali contro minacce sempre più sofisticate. Questo articolo fornisce un’analisi del modus operandi di Rhysida, un ransomware noto per la sua estorsione: vengono richiesti pagamenti per scongiurare la vendita o la pubblicazione dei dati rubati. Attraverso una serie di attacchi mirati in tutto il mondo, compresi alcuni in Italia, Rhysida ha causato danni significativi e portato a estorsioni finanziarie.
Una delle principali vulnerabilità sfruttate dal ransomware Rhysida è la mancanza di autenticazione multifattoriale (MFA) nelle infrastrutture IT delle aziende. Inoltre, l’articolo racconta come il gruppo di cyber criminali che ha creato Rhysida lo abbia poi fatto diventare un “ransomware as a service” (Raas).
Infine, vengono suggeriti strumenti e pratiche per rafforzare le difese informatiche.
Può un attacco informatico targato ransomware Rhyshida dar del filo da torcere a una delle biblioteche più importanti del mondo? Ecco che cosa è successo nel cuore della Gran Bretagna e del patrimonio librario mondiale.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Londra, 2023. Catalogo digitale della British Library. È una notte da brividi di fine autunno (per ogni storia che si rispetti, sarebbe buia e tempestosa, ma questa è una storia vera, e allora immaginiamo che lo sia altrettanto). Al 96 di Euston Road, la Magna Carta se la passa benino e più di seicento chilometri di scaffali di carta dormono sogni da libri.
Ma il loro doppio digitale inizia a tremare.
Il database che raccoglie dati di utenti e dipendenti, oltre a un catalogo di 170 milioni di opere, subisce un attacco: l’aggressore è il ransomware Rhyshida.
L’attacco informatico ha colpito il catalogo online della biblioteca, che veniva consultato tutti i giorni da appassionati e appassionate, studiosi e studiose. Ora, a causa del furto virtuale ma, nelle conseguenze, tangibilissimo, il servizio è interrotto e non sono ancora chiari i tempi in cui verrà ripristinato.
I cyber attacchi di questo tipo prevedono sempre un’estorsione ai danni dell’ente o dell’azienda che li subisce: così è stato anche nel caso della British Library. Le sono stati chieste 600.000 sterline di riscatto, pari a circa 700.000 euro.
L’istituzione britannica si è rifiutata di pagare e l’ulteriore ritorsione dei cyber criminali non ha tardato ad abbattersi. I dati rubati sono stati pubblicati nel dark web e sembra che il 10% del capitale di informazioni sia stato venduto a un unico compratore.
Le conseguenze dell’attacco ransomware hanno coinvolto sia fruitori sia dipendenti della biblioteca.
Infatti, per aggirare l’ostacolo dell’intrusione avvenuta, l’unica possibilità è stata tornare al vecchio metodo di ricerca dei testi manuale attraverso registri cartacei. Questo significa che ogni operazione richiede più tempo e i rallentamenti si riflettono su chiunque abbia bisogno dei servizi della biblioteca, per lavoro, studio ed esigenze personali.
In più, l’enorme mole di dati rubati attraverso l’attacco ransomware Rhyshida comprendono anche dati personali delle persone che utilizzano la biblioteca oppure lavorano al suo interno.
Ma perché la British Library, per arginare al danno ingente causato dall’attacco, non ha pagato il riscatto?
Tutto è dovuto alle politiche sull’informatica UK: due istituzioni autorevoli in tema di sicurezza informatica nel Regno Unito – il National Cyber Security Center (NCSC) e l’Information Commissioner’s Office (ICO) – hanno pubblicato una lettera nel 2022 in cui invitano a non pagare i riscatti.
D’altra parte, si stima che il 39% delle imprese britanniche abbia subito un cyber attacco e di queste solo il 13% abbia soddisfatto la richiesta di estorsione.
Il ripristino del catalogo online della più importante delle biblioteche di Londra è molto caro. Il Financial Times ha stimato che i costi che dovranno essere sostenuti dall’istituzione ammontano a quasi sette sterline, quindi dieci volte la somma del riscatto.
Si tratta di circa il 40% delle risorse finanziarie della biblioteca, che non è beneficiaria di fondi governativi.
I ransomware appartengono alla grande categoria dei malware, cioè dei programmi informatici malevoli. Sono, quindi, applicazioni dannose che infettano, letteralmente, i dispositivi, pc, desktop, tablet, smartphone e addirittura smart TV.
Il loro modo di agire consiste nel bloccare l’accesso a tutti i suoi contenuti o a una parte di questi. In questo modo, gli hacker possono perpetrare la loro richiesta di riscatto.
I ransomware sono usati contro istituzioni e imprese con l’obiettivo di portare avanti un’estorsione: il nome che li designa deriva dalla parola inglese “ransom” che significa proprio “riscatto”.
I vettori d’infezione di un ransomware sono diversi: insomma, le possibilità di beccarselo non sono basse, se la guardia non è alta. Una modalità classica dell’avvio del cyber attacco è l’uso di email di phishing che sembrano contenere file innocui e sono invece, per così dire, le “uova” del malware.
Altri meccanismi alla base di un attacco informatico causato da ransomware sono:
Le infrastrutture informatiche di aziende ed enti offrono il fianco agli attacchi dei cyber criminali se presentano vulnerabilità nel sistema operativo o nei software utilizzati.
Come capire se un device è stato infettato da un ransomware? Un attacco informatico si manifesta proprio come un’infezione, con dei “sintomi” più o meno caratteristici. Quando il malware responsabile è un ransomware, i segni preoccupanti sono:
Il temibile antagonista digitale della storia dell’attacco subito dalla British Library prende il nome dal gruppo di hacker che lo ha creato: la cyber banda criminale Rhyshida. Agisce secondo la modalità ransomware-as-a-service e funziona come un ransomware a doppia estorsione: richiede pagamenti usando la minaccia di rendere pubblici o vendere i dati di cui si appropria.
Per infettare i device utilizza password compromesse passando da servizi remoti come VPN e RDP. Un punto debole molto sfruttato da questo tipo di malware è la mancanza dell’autenticazione a due fattori (MFA).
Prevenire è meglio che curare, anche nel caso delle infezioni da malware, come quella del ransomware Rhyshida ai danni della British Library. Per mettere in atto una buona protezione, occorre intervenire, innanzitutto, su due fattori:
CoreTech mette a disposizione due strumenti che lavorano proprio su questi due fronti delicati: il server cloud Stellar e il software di backup in cloud 1Backup. Con il primo la sicurezza informatica si fa “stellar” che custodisce dati e informazioni essenziali all’attività di un’impresa o un’istituzione: le risorse sono esternalizzate in un server cloud, così che, in caso di perdita o inaccessibilità, è sempre possibile recuperarle e garantire la business continuity.
Il secondo è la “scorta” vitale che assicura la ridondanza del dato l’accessibilità sempre e dovunque, sempre grazie alla tecnologia della nuvola.
RedazioneUn nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi...
