News

16/12/2021

Top 10 degli attacchi informatici del secondo semestre 2021


Il 2021, ormai giunto al termine, ha portato con sé moltissimi cambiamenti soprattutto nel mondo digitale.

I cambiamenti positivi portano anche cambiamenti negativi e spesso inaspettati. Se il 2021 è stato l'anno che ha visto un'impennata dei processi di digitalizzazione, è stato anche l'anno che ha visto crescere in modo esponenziale gli attacchi informatici.

A fine giugno di quest'anno avevamo pubblicato il rapporto sulla top 10 degli attacchi informatici del primo semestre 2021.

Già nel 2018 avevamo affrontato il tema nel nostro articolo sulla carenza di sicurezza informatica, ma nessuno si aspettava una crescita esponenziale degli hackeraggi di tale dimensione.

Siamo giunti alla fine dell'anno e in soli sei mesi gli attacchi di pirateria informatica sono stati moltissimi. Non è stato facile selezionare i cyber crimini più importanti da inserire nella nostra top 10 di questo secondo semestre.

È giusto fare una precisazione spiegando che il termine hacker ha un'accezione positiva in quanto si tratta di un soggetto che agisce in modo etico per scopi benevoli; viene anche soprannominato White Hat (cappello bianco). Il cracker è invece un cyber criminale che agisce con intenti malevoli e viene soprannominato Black Hat (cappello nero). Nel linguaggio comune si utilizza il termine hacker senza distinzione, pertanto lo utilizzeremo anche noi in questo articolo per semplificare la lettura.

Nel web nessuno è al sicuro, così avevamo iniziato l'articolo di giugno e a distanza di sei mesi non possiamo che confermarlo se non con un'unica nota: tra gli utenti del web sta crescendo la consapevolezza dei rischi che corrono ogni giorno online. Questa consapevolezza non è però sufficiente, per questo motivo è importante che le persone siano a conoscenza della vulnerabilità della propria privacy e che le aziende siano consce della vulnerabilità della loro proprietà intellettuale e del loro patrimonio informativo.

Per approfondire i numeri sugli attacchi informatici consigliamo la lettura del Rapporto Clusit 2021.

Alla fine dell'articolo affronteremo alcuni temi importanti che vengono spesso trascurati ma che sono alla base dei più importanti hackeraggi: la sicurezza delle web application.

TOP 10 attacchi informatici del secondo semestre 2021

IKEA, colosso svedese leader nel settore dell'arredamento e oggettistica per la casa, è stata vittima di un attacco informatico venerdì 26 novembre.
L'attacco ha interessato il sistema di posta elettronica ad uso interno dell'azienda. Nello specifico sono stati sfruttate le vulnerabilità ProxyLogon e ProxyShell dei server di posta adottati. Si tratta del server di posta Microsoft Exchange Server. Proprio il server di posta Microsoft Exchange Server aveva già subito un attacco importante nel primo semestre del 2021 che avevamo documentato nel nostro rapporto precedente.
La tipologia di attacco è di tipo phishing, una truffa telematica molto diffusa, tramite la quale vengono rubati dati e informazioni personali degli utenti. Infiltratosi all'interno del sistema di email, il malintenzionato riesce ad impersonare un utente interno rispondendo ad una precedente email ricevuta, che quindi risulta proveniente da un indirizzo di posta conosciuto. Generalmente con queste email malevole l'hacker richiede dati e informazioni personali quali account e password per accedere ai sistemi informatici e prenderne il controllo. Tale metodologia prende il nome di Stolen internal reply-chain emails.
Nell'attacco cyber sono state coinvolte altre aziende partner di Ikea.



La SIAE - Società Italiana degli Autori ed Editori - è un ente pubblico italiano che ha il compito di tutelare ed intermediare il diritto d'autore.
L'attacco è avvenuto il 20 ottobre da parte del gruppo di hacker Everest, specializzato in ransomware. Il ransomware è un codice malevolo che viene installato nel computer della vittima quando quest'ultima scarica un file infetto. Tale codice permette di rubare i dati e crittografare quelli presenti localmente, rendendoli non disponibili. I criminali in genere ricattano le vittime chiedendo un riscatto per non rendere pubblici i dati sottratti e per restituirli al legittimo proprietario affinché siano nuovamente fruibili.
Il termine ransomware prende il nome da ransom che significa riscatto e comprende spesso un CryptoLocker che cifra tutti i dati per renderli inutilizzabili all'utente.
Nel caso specifico della SIAE, il gruppo ha intercettato 60 gigabyte di dati per un totale di circa 5.200 file contenenti informazioni riservate sia della società che degli artisti senza però cifrarli per renderli inutilizzabili. Lo scopo di questo attacco è stato solo quello di chiedere un riscatto per non rendere pubbliche le informazioni rubate. La SIAE si è rifiutata di pagare il riscatto di 3 milioni di dollari, quindi il gruppo Everest ha pubblicato 1,95 gigabyte di dati, ha chiesto un riscatto ai singoli artisti per 10 mila euro in bitcoin e ha messo in vendita l'intero ammontare di file/dati nel proprio sito web a 500 mila dollari. Sembrerebbe che nemmeno gli artisti stessi siano ceduti al riscatto.



PolyNetwork è una società di Finanza Decentralizzata (Decentralized Finance - DeFi) che si occupa di trading online.
La finanza decentralizzata è un sistema monetario informatico costruito senza intermediari finanziari. La DeFi utilizza smart contract (protocolli informatici che garantiscono il rispetto di un contratto) su blockchain pubbliche per rendere i prodotti finanziari delle operazioni trasparenti e sicure.
L'hackeraggio avvenuto il 10 agosto ai danni di PolyNetwork è di tipo exploit. L'exploit è un programma informatico o una sequenza di comandi che sfruttando una vulnerabilità di un software ne ottiene il suo controllo.
Il furto, che supera i 610 milioni di dollari, è il più grande mai avvenuto nella storia delle criptovalute.
Fin da subito l'hacker, soprannominato Mr. White Hat dalla stessa PolyNetwork che pubblicamente lo ha invitato a riconsegnare il bottino tramite un post su Twitter, ha iniziato la restituzione del denaro.
Mr. White Hat è il nome comunemente utilizzato per definire gli hacker etici, che operano in buona fede per scovare le vulnerabilità dei sistemi. Infatti l'hacker stesso ha dichiarato di averlo fatto soltanto per dimostrare che la piattaforma non è sicura. La PolyNetwork ha offerto all'hacker una ricompensa di 50 mila dollari per risolvere la vulnerabilità senza divulgarla, ma quest'ultimo l'ha rifiutata, preferendo che la somma fosse donata agli sviluppatori interni.
Nel frattempo SlowMist, società cinese di cybersecurity, è intervenuta in sostegno di PolyNetwork, dichiarando di avere identificato l'indirizzo IP, l'email e le impronte digitali dell'hacker.
PolyNetwork, date le "buone intenzioni" dell'hacker, non solo ha deciso di non proseguire per vie legali, ma gli ha anche offerto un posto di lavoro come Chief Security Advisor (consigliere capo per la sicurezza). Non sappiamo se l'offerta di lavoro sia stata accettata.



Anche BitMart è una piattaforma di trading di criptovalute. È particolarmente apprezzata per la sua facilità di utilizzo, per le tariffe competitive e per il suo livello di sicurezza 2FA, ovvero l'autenticazione a due fattori. Inoltre, sempre per ragioni di sicurezza, la piattaforma archivia il 99% dei fondi in portafogli freddi offline per garantirne maggiore protezione.
Tutto questo però non è bastato per bloccare l'attacco informatico, scoperto dalla società di sicurezza blockchain PeckShield, avvenuto il 6 dicembre. La violazione è avvenuta anche in questo caso tramite un exploit, che sfruttando una falla di sicurezza ha preso controllo della piattaforma.
Durante l'hackeraggio sono stati sottratti 196 milioni di dollari in criptovaluta, intaccando nello specifico i portafogli, meglio conosciuti come wallet, BSC (Binance Smart Chain) ed ETH (Ethereum).
Gli hacker hanno quindi venduto il bottino, facendo crollare il valore dei cripto asset.
BitMart ha dichiarato che tutti gli utenti e investitori saranno rimborsati per le perdite subite.



Media Markt, in Italia MediaWorld, è una catena di distribuzione, di origine tedesca con sede a Düsseldorf, specializzata nell'elettronica e negli elettrodomestici di consumo.
Tra il 7 e l'8 di novembre, a pochi giorni di distanza dal Black Friday, Media Markt è stata colpita da un duro attacco di tipo ransomware, che ha messo in crisi l'intero sistema informatico dell'azienda e anche della divisione italiana MediaWorld. I negozi sono rimasti aperti, riuscendo a svolgere la maggior parte delle attività, ad esclusione, ad esempio, del reso e del ritiro dei prodotti.
L'attacco è stato architettato dal giovane gruppo Hive fondato a giugno 2021, già noto nel settore per i suoi ransomware. Il gruppo, prendendo il controllo del loro sito web, ha preso contatto con lo staff di Media Markt richiedendo un riscatto che, secondo le prime dichiarazioni, ammontava a 50 milioni di dollari, ovviamente in criptovaluta. L'1 dicembre, il gruppo ha rivendicato l'attacco nel proprio sito con una richiesta di riscatto che ammontava invece a 240 milioni di dollari.
Non è stato reso pubblico se l'azienda abbia o meno pagato il riscatto.



CGIL (Confederazione Generale Italiana del Lavoro) è uno dei maggiori sindacati italiani.
Il 9 ottobre la sede nazionale di Roma è stata assediata da alcuni manifestanti durante un corteo "No Green Pass" e nelle stesse ore è stata vittima anche di un hackeraggio. Si pensa pertanto che la matrice dell'attacco informatico sia la stessa dell'assedio alla sede centrale.
Si è trattato di un attacco di tipo Ddos (Distributed denial-of-service). Questa tipologia di attacco consiste nell'invio di un numero eccessivo di richieste di accesso, causando il sovraccarico dei server e rendendo irraggiungibile il sito web. Si tratta di un attacco che ha l'obiettivo di disturbare l'attività svolta online, senza che vengano rubati dati o danneggiate le infrastrutture informatiche.
Questi continui tentativi di accesso hanno portato offline il sito CGIL diverse volte nell'arco della giornata.
Le analisi svolte hanno riscontrato picchi di 130 mila tentativi di connessione provenienti soprattutto da paesi esteri quali Stati uniti, Germania, Cina, Repubblica Ceca, Indonesia.
Il disagio si è protratto per diversi giorni e il caso è stato denunciato sia alla polizia postale per l'attacco informatico sia alla Digos per l'assalto alla sede.



San Carlo Gruppo Alimentare S.p.A. è un'azienda specializzata nella produzione di patatine, grissini, crostini, popcorn, pangrattato, toast, piadine e tramezzini.
L'attacco è stato architettato il 26 ottobre dal gruppo ransomware denominato Conti, noto per attaccare senza scrupoli strutture sanitarie, pronti soccorso, e forze dell'ordine. Il gruppo di hacker gestisce un proprio sito sul dark web chiamato "leak site" sul quale rende pubblici gli hackeraggi e i dati rubati.
Nel caso del gruppo San Carlo, gli hacker hanno rubato e bloccato una lista di file ed informazioni per una dimensione di circa 60 MegaByte. I file sottratti riguardavano informazioni aziendali e dei propri collaboratori come ad esempio passaporti, carte di identità, fatture e documenti riservati. Tali informazioni sono state rese pubbliche ed è stato richiesto un riscatto per la restituzione dei file e della piena funzionalità del sistema informativo aziendale. La San Carlo ha dichiarato di non essere intenzionata a pagare il riscatto, in quanto è in possesso di tutti i back-up per ripristinare l'intero sistema.



GoDaddy Inc. è una società statunitense con più di 7 mila dipendenti, quotata in borsa, con sede a Tempe in Arizona.
È il registrar di nomi di dominio più grande del mondo, molto conosciuta anche per i propri servizi di web hosting.
Si tratta pertanto di una tra le società che vantano i più alti livelli di sicurezza informatica al mondo, ma nonostante questo la società è stata presa di mira con successo numerose volte dagli hacker. Il 22 novembre GoDaddy ha presentato un esposto al Securities and Exchange Commission (SEC) degli Stati Uniti per denunciare una serie di violazioni avvenute per un periodo prolungato. L'attacco infatti ha avuto origine il 6 settembre ed è stato bloccato solo il 17 novembre, giorno in cui l'azienda ha scoperto l'hackeraggio.
L'attacco sembrerebbe avvenuto tramite una password compromessa, che ha consentito al cyber criminale l'accesso ai server di gestione dell’infrastruttura per gli hosting di siti web WordPress.
Si è trattato di un data breach: una violazione dei dati di milioni di persone. Infatti, sono stati rubati dati di 1,2 milioni di clienti tra cui i nomi utente, le password sFTP e diversi dati interni ai database dei clienti stessi. La società è ricorsa ai ripari revocando tutte le password compromesse, ma i danni e i rischi associati sono di ampia entità.



Le Regione Lazio è stata vittima di un attacco informatico in data 30 luglio. Alcuni sistemi informativi sono stati violati compromettendo l'utilizzo di alcuni servizi e applicazioni a disposizione dei cittadini.
L'attacco ha reso necessario il blocco tutti i sistemi informatici, tra cui quello della campagna vaccinale per Covid-19. La piattaforma destinata alle prenotazioni infatti è stata offline per diversi giorni, fino alla sua riattivazione il giorno 5 agosto.
L'attacco è stato di tipo ransomware e dall'analisi dell'IP risulta essere stato messo in atto da RansomExx, un gruppo noto per i suoi attacchi a governi di diverse nazioni.
Nonostante il Presidente della Regione Lazio, Nicola Zingaretti, avesse dichiarato che nessun riscatto era stato chiesto e nessun dato fosse stato compromesso, in rete era apparso un messaggio da parte del presunto hacker con un invito ad essere contattato.
Secondo quanto emerso, sembrerebbe il che il malware sia partito dal computer di un dipendente che lavorava in smartworking. Computer al quale erano stati assegnati dei privilegi che hanno permesso all'hacker di operare con un account di tipo admin e criptare quindi i dati del database. In seguito è emerso che i dati sanitari non fossero stati criptati ma semplicemente cancellati e grazie ad un back-up sono stati ripristinati in breve tempo. Non è stato possibile invece recuperare dieci anni di documenti regionali che garantirebbero la piena operatività della regione.



Clementoni è un'azienda italiana con sede a Recanati che si occupa della produzione di giocattoli educativi.
L'attacco è arrivato il 4 dicembre, nel pieno del periodo di shopping natalizio, da parte del gruppo ransomware Conti che aveva colpito anche la San Carlo qualche mese prima.
L'attacco è stato rivendicato dal gruppo Conti all'interno del proprio sito già il 6 di dicembre. Il gruppo ha dichiarato di aver rubato dati per 111 GB, un numero importante di informazioni. Non si sa però di che dati si tratti, l'unica cosa certa è che la Clementoni ha ricevuto la classica richiesta di riscatto per tornare in possesso di tutti i dati ed evitare la loro divulgazione online.
Il gruppo Conti, come altri gruppi ransomware, utilizza la tecnica della doppia estorsione "pay-now-or-get-breached" "pagate ora o sarete violati", ovvero intimano la vittima a pagare il riscatto per tornare in possesso dei dati e affinché non vengano divulgati. La tecnica della doppia estorsione ha preso piede da quando le aziende hanno iniziato a dotarsi di back-up per far fronte a tali rischi. Infatti, grazie all'utilizzo di back-up da parte di un numero sempre maggiore di aziende, la semplice criptatura dei dati non risulta più efficace al fine dell'indisponibilità degli stessi. Il ricatto di pubblicazione dei dati è la nuova frontiera per ottenere il riscatto.
La Clementoni ha ripreso le sue normali attività ma non è chiaro se ci sia riuscita tramite i propri informatici o pagando il riscatto, anche se di questo non è noto l'importo.



Anche questa volta abbiamo aggiunto alla nostra top 10 dei cyber crimini un ultimo attacco: quello avvenuto alla nostra vicina Azienda ULSS 6 Euganea.



L'AULSS 6 Euganea è l'azienda ospedaliera di Padova e fa parte della regione Veneto.
L'attacco, avvenuto nella notte di venerdì 3 dicembre, ha paralizzato l'intero sistema sanitario locale causando problemi anche all'interno dei punti prelievo e i centri vaccinali. Il malware ha bloccato improvvisamente tutti i sistemi informativi.
Attraverso un comunicato stampa l'azienda ha dichiarato che "Il personale informatico dell’Azienda ha prontamente messo in sicurezza i sistemi isolando le macchine infette, al fine di contenere al meglio l’effetto virale. Si è quindi provveduto alla preparazione di una nuova  infrastruttura di emergenza con l’obiettivo di riattivare gradualmente i servizi. Fin dalla mattinata di venerdì i punti vaccinali hanno potuto funzionare, in quanto sono stati collegati in modalità provvisoria. Contestualmente è stata prontamente attivata una task force di oltre sessanta tecnici informatici aziendali e collaboratori esterni, che ha iniziato ad operare su tutti i presidi (ospedali, distretti socio-sanitari ecc.), per la bonifica delle macchine".
Su altri fronti quali Pronto soccorso e Terapie intensive le attività si sono svolte tramite supporto cartaceo.

Le informazioni riportate sopra sono frutto dell'analisi e del confronto di varie fonti attendibili quali Clusit - Asociazione Italiana per la Sicurezza Informatica, Cyber Security 360, Sicurezza.net - Eseprti in Cybersecurity, HDblog - L'informazione in alta defininizione, AGI - Agenzia Giornalistica Italia, Il Sole 24 Ore, Ansa, il Fatto Quotidiano, Il Riformista ecc.

Vai alla Top 10 degli attacchi informatici del primo semestre 2021



Di seguito abbiamo riportato le considerazioni della scorsa classifica.

Sulla sicurezza informatica

Tutti questi attacchi informatici avvenuti ad aziende di così grandi dimensioni devono far riflettere i responsabili d'azienda: CEO, amministratori, IT manager e Marketing manager che sono designati a proteggere le informazioni aziendali e i dati di clienti, fornitori e dipendenti.

Le aziende fondano il loro successo proprio sulle informazioni e sulla proprietà intellettuale. La possibilità che queste vengano violate comporta gravi rischi per il futuro dell'azienda e dei suoi dipendenti.

Come possono le aziende proteggersi da questi continui attacchi?

Spesso le aziende affidano la propria sicurezza informatica agli strumenti più comuni quali gli antivirus, i firewall, l'uso dei proxy e l'aggiornamento continuo dei sistemi operativi, che hanno una funzione di difesa perimetrale, ovvero servono per bloccare gli attacchi che avvengono dall'esterno e lungo il perimetro.

Questi strumenti spesso non bastano. Una volta che i cybercriminali hanno trovato la falla nel perimetro, hanno accesso ai sistemi informativi dell'azienda e ai suoi dati.

Paragonando i sistemi di difesa perimetrale ai musei, potremmo includere in questi sistemi le porte d'ingresso blindate e i sistemi di allarme. Ma se i ladri riescono a disattivare l'allarme e scassinare la porta blindata, le opere d'arte sono ancora al sicuro? Dipende!
Alcuni musei, a seconda del valore delle opere d'arte esposte, decidono se adottare o meno ulteriori misure di sicurezza interne.

Spesso le aziende sottovalutano il fatto che, oltre alla possibilità di oltrepassare la sicurezza perimetrale, anche i dipendenti "infedeli" hanno accesso diretto ai sistemi informativi aziendali e possono operare indisturbati senza lasciare traccia del loro passaggio.
Anche i dipendenti fedeli, ma non consapevoli dei rischi che corrono, ad esempio aprendo alcune mail, navigando in siti web non affidabili o semplicemente salvando le proprie credenziali sui famosi Post-it, possono creare vie d'accesso ai sistemi informatici delle aziende.

Sicurezza delle web application

La vulnerabilità dei sistemi di protezione perimetrali e la presenza di dipendenti "infedeli" e non consapevoli mettono in evidenza che la sicurezza informatica deve essere analizzata e implementata ad un livello più ampio, includendo tra i fattori chiave lo sviluppo di web application secondo i più elevati standard di sicurezza.

Lo sviluppo di web app aderenti agli standard di sicurezza garantisce uno dei più importanti livelli di garanzia dalle minacce e assicura che, in caso di violazione della sicurezza perimetrale o della presenza di dipendenti malintenzionati o non consapevoli, i dati rimangano al sicuro e la web app continui a funzionare senza interruzioni.

Continuando con l'esempio dei musei, la sicurezza delle web app e i sistemi di sicurezza interni sono paragonabili alla sicurezza interna che protegge le singole sale e le singole opere tramite l'utilizzo di sezioni stagne e di teche.

Ogni azienda e ogni software house adotta diversi gradi di sicurezza nello sviluppo delle loro web application.

Spesso però si trascurano elementi fondamentali quali:

  • l'utilizzo delle linee guida OWASP per sviluppare applicazioni web sicure;
  • la differenziazione del controllante dal controllore facendo svolgere l'attività di debug (ricerca di errori di funzionamento, verifica della corretta implementazione degli algoritmi e controlli di sicurezza) a persone che non hanno sviluppato l'applicazione;
  • l'utilizzo di tool per effettuare scansioni di sicurezza;
  • scansioni di sicurezza effettuate da società terze;
  • l'utilizzo di strumenti di sviluppo e componenti software di qualità (ad esempio noi utilizziamo il DBMS PostgreSQL in quanto lo riteniamo più sicuro rispetto a MySQL);
  • l'utilizzo di protocolli di comunicazione criptati https all'interno delle reti locali e delle intranet.

Le web application della tua azienda sono sicure?