Nell’ultimo anno negli Stati Uniti oltre 1600 tra scuole, college e università sono state vittime di attacchi hacker che hanno minato la sicurezza dei dati personali. È questo il preoccupante quadro presentato dalla Emsisoft, società neozelandese che si occupa di sicurezza informatica. Il fenomeno non tende a placarsi, ma anzi è in crescita visti i già oltre 500 attacchi registrati nei primi tre mesi del 2021.
Tra le violazioni su più larga scala c’è quella che ha sfruttato una vulnerabilità riconducibile ad Ancellor, un’azienda di sviluppo software per terze parti. Centinaia di istituzioni – tra cui la Stanford University School of Medicine – hanno subìto danni da questo attacco che ha provocato la pubblicazione online di dati sensibili. Prima di prodursi in questa vigliacca violazione della privacy i pirati del web hanno inviato centinaia di e-mail di minaccia ai proprietari di quelle informazioni per tentare di ottenere un riscatto.
L’attività dei cyber-criminali è stata favorita dalla natura della violazione. Il software incriminato infatti serviva proprio per il trasferimento e la condivisione sicura dei dati, il bug trovato ha dunque spalancato le porte al vorace risucchio dei malintenzionati. Le sottrazioni indebite si sono avute tra i mesi di dicembre ’20 e gennaio ’21, ma molte organizzazioni hanno dichiarato che solo recentemente sono venute a conoscenza del fatto, con le prevedibili gravi ripercussioni in termini di ritardi nell’attività di contrasto. Le informazioni personali su membri dello staff e studenti hanno incluso dati sanitari, bancari e di studi in corso di revisione pronti per essere pubblicati sulle più importanti riviste scientifiche.
Il fenomeno ha persino travalicato i confini delle istituzioni universitarie, arrivando a colpire in senso più ampio la pubblica amministrazione. L’ufficio di revisione dei conti dello Stato di Washington ha rilevato per lo stesso problema software il furto dei dati contenuti in circa 1.5 milioni di domande di disoccupazione. Forse questo episodio è da ritenere il più grave tra quelli generati dalla vulnerabilità di Ancellor, sia per il particolarmente ampio bacino d’utenza sia per la dettagliatissima collezione di dati normalmente contenuti in simili documenti. Le domande di accesso ai sussidi devono infatti includere oltre che l’anagrafica anche informazioni sulla situazione lavorativa e sulla condizione economica del richiedente, il quale pertanto diventa più esposto ad attacchi mirati.
Come si diceva in apertura, data l’ampiezza del problema è chiaro che Ancellor non sia purtroppo l’unica azienda ad aver causato gravi danni ad istituzioni e agenzie governative americane, che negli ultimi tre anni si può dire abbiano vissuto una vera e propria epidemia di ransomware. La maggior parte degli attori di questi attacchi hanno base operativa nei paesi dell’est Europa dove trovano un rifugio sicuro veicolato da governi spesso “poco attenti” a simili movimenti sotterranei.
Una volta attivato un ransomware, queste vere e proprie associazioni a delinquere procedono a richieste economiche per niente contenute pena la cancellazione dei dati, la loro pubblicazione o – in caso di segreti industriali e dati di carte di credito – alla vendita sul dark web. Come abbiamo più volte evidenziato su infosec.news il business che c’è dietro queste attività non conosce crisi ed è sempre in crescita. Un dato tra tutti: mediamente nel 2020 i riscatti pagati a seguito di un attacco hanno raggiunto la quota di 312mila dollari, quasi triplicati dai 115mila del 2019.
Se gli USA sono in queste condizioni è lecito chiedersi cosa succederà in Italia nei prossimi anni visto che – come affermato dal ministro Colao nell’ultima audizione in commissione – “il 95% delle infrastrutture dati della Pubblica Amministrazione italiana è privo dei requisiti minimi di sicurezza e affidabilità per fornire servizi e gestire dati”. È arrivato il momento che le istituzioni pubbliche prendano seri provvedimenti di prevenzione e contrasto.
