News

24/06/2021

Top 10 degli attacchi informatici del 2021

Nel web nessuno è al sicuro, gli attacchi informatici sono sempre più frequenti e le aziende, soprattutto di grandi dimensioni, sono sotto l'occhio dei cybercriminali.

I cybercriminali nel linguaggio comune vengono chiamati hacker ma il termine corretto è cracker. Infatti, l'hacker è colui che usa le proprie capacità e conoscenze per esplorare e apprendere senza arrecari danni a persone e aziende mentre il cracker è colui che agisce in modo illecito per arrecare danni o trarre profitti.

L'avvento di internet e la sua crescita esponenziale hanno aperto nuove frontiere, nuovi mondi e nuovi mercati. Le nuove opportunità che si sono presentate hanno dato origine anche a nuovi crimini, apparentemente invisibili ma con conseguenze di dimensioni colossali.

Già nel 2018 avevamo affrontato il problema in questo nostro articolo. Ma se tre anni fa i cyber attacchi sembravano aver raggiunto dimensioni colossali, possiamo affermare che quello che sta accadendo oggi ha dimensioni molto più ampie.

Infatti, secondo quanto affermato nel Rapporto Clusit 2021, nel 2020 gli attacchi informatici gravi sono stati 1871 e sono cresciuti del 12% a livello globale. Se paragonati al 2017 la crescita è stata del 66%.

Questi numeri dovrebbero far riflettere:

  • le persone sulla vulnerabilità della propria privacy,
  • le aziende sulla vulnerabilità della loro proprietà intellettuale e del loro patrimonio informativo.

In questo articolo parliamo degli attacchi informatici più importanti che sono avvenuti nel primo semestre del 2021. Le aziende colpite sono tra le più importanti multinazionali a livello mondiale e, nonostante gli elevati livelli di sicurezza informatica che adottano, sono state comunque violate.

Alla fine dell'articolo affronteremo alcuni temi importanti che vengono spesso trascurati ma che sono alla base dei più importanti hackeraggi: la sicurezza delle web application.

TOP 10 dei crimini informatici

SolarWinds è una società texana con sede ad Austin che si occupa dello sviluppo di software.
Uno dei suoi prodotti di punta è la piattaforma Orion per il monitoraggio e la gestione di infrastrutture IT per piccole imprese, agenzie governative e istituzioni educative in tutto il mondo.
L'attacco informatico del 17 maggio ha avuto dimensioni ben più ampie, infatti l'obiettivo nel mirino degli hacker era il governo americano e l'amministrazione USA. Ha infatti colpito l'intera «supply-chain»: senza prendere di mira un'unica società. Gli hacker hanno agito colpendo più fornitori del governo americano. Il più famoso di questi è appunto SolarWinds con la sua piattaforma Orion.
Un'altra società coinvolta nell'attacco è la FireEye che si occupa di cybersecurity e che collabora proprio con il governo americano.
Tra i vari dipartimenti americani coinvolti ci sono il Pentagono, il dipartimento del Tesoro, del Commercio, di Stato e dell’Energia.
Gli hacker si sono mossi per scovare altre vulnerabilità ed espandere la propria presenza all’interno del network e sembrerebbe siano stati in grado di creare un accesso persistente. Gli hacker infatti avrebbero inserito delle backdoor, letteralmente "porta sul retro", in modo tale da poter accedere ancora ai sistemi informatici anche quando SolarWinds e le altre società coinvolte saranno state in grado di arginare la falla nel sistema.



Il Colonial Pipeline è il più grande sistema di oleodotti per prodotti petroliferi raffinati negli Stati Uniti. Il gasdotto è lungo 5.500 miglia e può trasportare fino a 3 milioni di barili di carburante al giorno tra il Texas e New York.
L'8 maggio, a seguito di un attacco informatico, si sono fermati 8.850 chilometri di oleodotti.
Si pensa sia stato a causa di un ransomware, ovvero un codice che si installa nel computer nel momento in cui viene scaricato un file infetto e che blocca con una crittografia tutti i contenuti che incontra sulla sua strada.
Il software infettante (malware) ha in questo caso una caratteristica in più: infetta e blocca i sistemi crittografandoli. Questo permette ai cracker di chiedere un riscatto per "togliere il disturbo" da cui deriva il nome ransomware.
Il Colonial Pipeline inizialmente si è rifiutato di pagare il riscatto, ma a causa delle perdite economiche che subiva dall'arresto dell'attività ha ceduto pagando una cifra pari a 75 Bitcoin, circa 5 milioni di dollari.



Toshiba Corporation è una multinazionale conglomerata giapponese con sede a Minato, Tokyo. I suoi prodotti e servizi diversificati includono energia, sistemi di infrastrutture industriali e sociali, ascensori e scale mobili, componenti elettronici, semiconduttori, dischi rigidi, stampanti, batterie, illuminazione e soluzioni IT.
Il 14 maggio la Toshiba ha dichiarato di essere stata hackerata e di aver perso il controllo di circa 740GB di dati personali e informazioni riservate. Il metodo utilizzato è stato sempre di tipo ransomware che blocca e cripta i dati. La minaccia del gruppo di cybercriminali era quella di non restituire i dati e di diffonderli sul web se questa non avesse pagato il riscatto.
Toshiba ha denunciato l'attacco alle autorità europee e sembrerebbe che si sia rifiutata di pagare per la restituzione del prorio capitale informativo, per non sottostare al ricatto del gruppo DarkSide.



Luxottica, azienda italiana con sede ad Agordo in provincia di Belluno è leader mondiale nella produzione e commercializzazione di occhiali e montature, ha ricevuto un attacco ransomware il 20 settembre.
Il bottino è di circa 2GB di dati rubati all'azienda. Dati riguardanti il mercato del Sudafrica.
L'attacco ha causato il blocco totale delle attività produttive di Luxottica negli stabilimenti di Agordo e Sedico, entrambi nel bellunese, e anche di quelle in Cina.
Gli investigatori hanno potuto verificare che gli hacker sono riusciti ad entrare in possesso e a copiare esclusivamente i file e materiali interni, e quindi nessun dato personale rilevante.
Anche Luxottica si è rifiutata di pagare il riscatto nonostante alcuni dati, in particolare quelli del mercato sudafricano, siano stati rubati e quindi persi.



Electronic Arts Inc. è una società di videogiochi americana con sede a Redwood City, California. È al secondo posto, sia in America che in Europa, per fatturato e capitalizzazione dopo Activision Blizzard. Dal maggio 2020 infatti ha superato Take-Two Interactive, e Ubisoft.
Il 10 giugno gli hacker hanno rubato il codice sorgente di FIFA 21 e il Frostbite Engine, trafugando 780GB di dati che poi sono stati messi in vendita.
Oltre al codice sorgente di FIFA 21 e Frostbite Engine, gli hacker hanno rubato anche i DevDit EA, l'insieme di strumenti di sviluppo delle diverse piattaforme di gaming.
Sembrerebbe che i dati e le informazioni personali dei giocatori non siano stati violati e che non ci sia stato nessun rischio per la privacy degli utenti. L'EA, dopo l'attacco, ha dichiarato di avere apportato numerosi miglioramenti alla sicurezza dell'intero sistema informatico aziendale.



Anche JBS, impresa brasiliana con sede a San Paolo, è stata attaccata da un ransomware il 31 maggio.
JBS è la più grande azienda di lavorazione della carne al mondo, produce manzo, pollo e maiale lavorati in fabbrica e vende anche sottoprodotti della lavorazione. L'azienda ha più di 150 stabilimenti produttivi sparsi in 15 diversi paesi.
Anche l'attacco a JBS è di tipo ransomware e ha bloccato la produzione negli stabilimenti statunitensi, canadesi e australiani, mettendo a repentaglio le consegne di un’azienda che ha una quota del 15% circa del mercato Usa delle carni.
JBS ha affermato di aver pagato il riscatto in Bitcoin, circa 11 milioni di dollari in bitcoin ad una banda di hacker russi, per poter riprendere il normale svolgimento delle attività lavorative.



Microsoft Exchange Server è un server di posta e di calendario sviluppato da Microsoft. Il software funziona esclusivamente su sistemi operativi Windows Server. Viene utilizzato da aziende e organizzazioni in tutto il mondo per gestire email e calendari
L'attacco al Microsoft Exchange Server è iniziato a Gennaio ed è stato scoperto a Marzo.
I server incriminati sono stati quelli “on-premises” ovvero quelli locali, e non quelli sul cloud. I cracker entrando nei server hanno ottenuto il completo controllo delle piattaforme. Tale controllo avrebbe permesso ai criminali di leggere le email, cancellarle, trasferirle e di controllare l'intero sistema. Avrebbero potuto installare anche una “web shell”, un programma che consente di mantenere aperto l’accesso al sistema e di prenderne il controllo anche in futuro, dopo che le vulnerabilità sono state arginate.
Microsoft ha risposto all'attacco inserendo una patch, ovvero un aggiornamento correttivo per eliminare le vulnerabilità del sistema.
Secondo quanto dichiarato da Microsoft l'attacco sarebbe collegato al governo della Cina il quale ha smentito ogni responsabilità.



Axios è una società italiana che si occupa di sviluppo software per le strutture scolastiche. Tra i vari prodotti offerti i due principali solo la Segreteria Digitale e il Registro Elettronico.
Proprio quest'ultimo è stato attaccato da un ransomware il 7 di aprile. In questo caso gli hacker hanno pubblicato anche un messaggio sul loro sistema interno con la richiesta di riscatto in bitcoin, per diverse decine di migliaia di euro. Il messaggio era corredato di contatto Telegram con il quale interfacciarsi per il pagamento e la risoluzione dei problemi. In cambio del pagamento i malintenzionati avrebbero mandato un video tutorial per la risoluzione dei problemi e per ripristinare il funzionamento del registro.
Axios, dopo aver presentato una denuncia alla polizia postale, ha deciso di affidarsi a due società esperte di sicurezza informatica le quali hanno constatato che nessun dato era stato cancellato, né uscito dai sistemi dell'azienda.



Kia Corporation , comunemente nota come Kia, è una casa automobilistica multinazionale sudcoreana con sede a Seoul. È il secondo produttore automobilistico della Corea del Sud dopo la società madre Hyundai Motor Company, con vendite di oltre 2,8 milioni di veicoli nel 2019.
La filiale americana KMA, Kia Motors America, con sede a Irvine in California ha subito un attacco ransomware il 18 febbraio.
KMA ha circa 800 concessionari negli Stati Uniti con auto e SUV prodotti a West Point, in Georgia.
La richiesta di riscatto è stata di 20 milioni di dollari e l'attacco è stato fatto da parte della banda DoppelPaymer.
In cambio del riscatto la banda avrebbe promesso di fornire un decryptor, che è uno strumento per "sbloccare" i dati criptati, e di non far trapelare dati rubati.
Sembrerebbe che KIA si sia rifiutata di pagare il riscatto.



AXA è uno storico gruppo assicurativo mondiale, nato nel 1817 in Francia e con sede principale nell'8° arrondissement di Parigi. La società opera nella protezione assicurativa e nell'asset management (gestione degli investimenti e altri servizi finanziari).
Il 16 maggio, il gruppo ransomware Avaddon ha affermato sul proprio sito web di aver rubato circa 3TB di dati sensibili dai server asiatici di AXA, in particolare, per i paesi come Malesia, Thailandia, Hong Kong e Filippine. Inoltre, sembra che sia stato condotto un attacco DDoS (Distributed Denial of Service, in italiano interruzione distribuita del servizio) ai server internazionali AXA.
I dati in possesso del gruppo Avaddon, riguardano documenti medici, reclami, pagamenti, documenti scansionati relativi ai conti bancari, materiale riservato a medici e ospedali, documenti di identificazione, fatture mediche ed altro ancora.
Per il caso AXA non è chiaro se sia stato richiesto e pagato il riscatto chiesto da Avaddon.



Abbiamo aggiunto alla top 10 dei cyber crimini anche l'attacco all'ospedale francese Oloron-Sainte-Marie che, vista la crisi sanitaria globale e il sovraffollamento delle strutture, ha messo a rischio la vita di centinaia di persone in un momento così fragile della nostra storia.



Il Centre Hospitalier Général d'Oloron è il centro ospedaliero con sede a Oloron-Sainte-Marie in Francia. Si tratta di un importante centro ospedaliero dotato di un'infrastruttura informatica di alto livello, attorno alla quale ruotano tutti i servizi dell'ospedale e del pronto soccorso.
Anche questo tipo di attacco informatico è di tipo ransomware e ha paralizzato i sistemi informatici dell'ospedale crittografato tutti i dati rendendoli illeggibili. Il malware ha colpito anche il sistema utilizzato per monitorare le scorte di medicinali e forniture mediche.
Si tratta del terzo ospedale francese ad essere stato hackerato.
I criminali hanno chiesto una somma di 50mila dollari in valuta bitcoin.
Il virus è stato scoperto l'8 marzo dal personale del reparto IT dell'ospedale, che ha messo offline parte della rete della struttura informatica per arginare l'attacco.
Nonostante gli altissimi rischi connessi in caso di mancanza di cure dei pazienti, l'attacco non ha avuto risvolti tragici. Ha comunque causato gravissimi danni alla struttura. Le cartelle digitali criptate e inaccessibili dei pazienti hanno costretto i medici a tornare a lavorare in analogico.
L’indagine è stata prima affidata all’ufficio del procuratore di Pau e poi è stata trasferita alla giurisdizione nazionale contro la criminalità organizzata di Parigi.
Il riscatto non è stato pagato e si stima che per il ripristino della piena funzionalità dei sistemi informatici ci potrebbero volere tre mesi.

Sulla sicurezza informatica

Tutti questi attacchi informatici avvenuti ad aziende di così grandi dimensioni devono far riflettere i responsabili d'azienda: CEO, amministratori, IT manager e Marketing manager che sono designati a proteggere le informazioni aziendali e i dati di clienti, fornitori e dipendenti.

Le aziende fondano il loro successo proprio sulle informazioni e sulla proprietà intellettuale. La possibilità che queste vengano violate comporta gravi rischi per il futuro dell'azienda e dei suoi dipendenti.

Come possono le aziende proteggersi da questi continui attacchi?

Spesso le aziende affidano la propria sicurezza informatica agli elementi più comuni quali gli antivirus, i firewall, l'uso dei proxy e l'aggiornamento continuo dei sistemi operativi che hanno una funzione di difesa perimetrale, ovvero servono per bloccare gli attacchi che avvengono dall'esterno e lungo il perimetro.

Questi strumenti spesso non bastano e una volta che i cybercriminali hanno trovato la falla nel perimetro hanno accesso ai sistemi informativi dell'azienda e ai suoi dati.

Paragonando i sistemi di difesa perimetrale ai musei potremmo includere in questi sistemi le porte d'ingresso blindate e i sistemi di allarme. Ma se i ladri riescono a disattivare l'allarme e scassinare la porta blindata le opere d'arte sono ancora al sicuro? Dipende!

Alcuni musei, a seconda del valore delle opere d'arte esposte, decidono se adottare o meno ulteriori misure di sicurezza interne.

Spesso le aziende sottovalutano il fatto che, oltre alla possibilità di oltrepassare la sicurezza perimetrale, anche i dipendenti "infedeli" hanno accesso diretto ai sistemi informativi aziendali e possono operare indisturbati senza lasciare traccia del loro passaggio.

Sicurezza delle web application

La vulnerabilità dei sistemi di protezione perimetrali e la presenza di dipendenti "infedeli" mettono in evidenza che la sicurezza informatica deve essere analizzata e implementata ad un livello più ampio, includendo tra i fattori chiave lo sviluppo di web application secondo i più elevati standard di sicurezza.

Lo sviluppo di web app aderenti agli standard di sicurezza garantisce uno dei più importanti livelli di garanzia dalle minacce e garantisce che, in caso di violazione della sicurezza perimetrale o della presenza di dipendenti malintenzionati, i dati rimangano al sicuro e la web app continui a funzionare senza interruzioni.

Continuando con l'esempio dei musei, la sicurezza delle web app e i sistemi di sicurezza interni sono paragonabili alla sicurezza interna che protegge le singole sale e le singole opere tramite l'utilizzo di sezioni stagne e di teche.

Ogni azienda e ogni software house adotta diversi gradi di sicurezza nello sviluppo delle loro web application.

Spesso però si trascurano elementi fondamentali quali:

  • l'utilizzo delle linee guida OWASP per sviluppare applicazioni web sicure;
  • la differenziazione del controllante dal controllore facendo svolgere l'attività di debug (ricerca di errori di funzionamento, verifica della corretta implementazione degli algoritmi e controlli di sicurezza) a persone che non hanno sviluppato l'applicazione;
  • l'utilizzo di tool per effettuare scansioni di sicurezza;
  • scansioni di sicurezza effettuate da società terze;
  • l'utilizzo di strumenti di sviluppo sicuri (ad esempio noi come DBMS abbiamo scelto PostgreSQL).

Le web application della tua azienda sono sicure?