A inizio maggio 2019, la città di Baltimora ha subito un attacco informatico. Tutti i sistemi del comune sono stati infettati da un nuovo ransomware, chiamato RobbinHood, e gli autori dell’attacco hanno richiesto un riscatto di 13 bitcoin per decriptare i sistemi. La città si è rifiutata di pagare, e pare che abbia dovuto spendere oltre 5 milioni per rifare tutti i sistemi. Lo stesso tipo di minaccia era stata usata per attaccare Greenville, la città della Carolina del Nord, lo scorso aprile.
Questi due incidenti hanno fatto notizia quando sono stati resi pubblici, soprattutto a causa della gravità degli attacchi. Ora gli hacker che si celano dietro a RobbinHood sembrano usarli per il proprio tornaconto. Joakim Kennedy, ricercatore nel campo della sicurezza informatica, ha infatti scoperto una nuova variante del malware, in base alla quale la richiesta di riscatto si insinua tramite un suggerimento alla vittima, ovvero quello di cercare notizie su Google dei casi di Baltimora e Greenville. Solo in quel momento si manifesta l’attacco con un messaggio che spiega come non ci sia modo di decriptare gratuitamente i file danneggiati.
Inoltre, la nota fa sapere alla vittima che un hacker si è introdotto nella rete da tempo indagando sui suoi punti deboli e che il riscatto richiesto deve essere pagato entro quattro giorni: “Se non si paga nei tempi specificati, il prezzo aumenterà di $10.000 ogni giorno… Non chiamare l’FBI o altre organizzazioni di sicurezza”. Oltre a vantarsi del loro successo passato, i cyber criminali sottolineano anche il fatto che non esista uno strumento pubblico di decrittografia per recuperare i file colpiti; ciò significa che è impossibile ripristinarli senza la chiave privata degli hacker.
I danni causati da un attacco RobbinHood
Quando consideriamo i danni che un attacco RobbinHood può causare, non sorprende che l’incidente di Baltimora abbia ottenuto così tanta attenzione, o che gli hacker vogliano sfruttarlo per cercare di ottenere più soldi. Nonostante il riscatto richiesto fosse di 76.000 dollari, la città ne ha pagati 4,6 milioni per recuperare tutti i dati sui computer colpiti e i sistemi sono rimasti fuori servizio per quasi un mese. Tuttavia, il comune stima che entro la fine dell’anno spenderà 5,4 milioni di dollari in più, per un totale di 10 milioni di dollari. Questa cifra non include le potenziali perdite di entrate dovute al mancato pagamento di multe, tasse e altre spese legate al periodo nel quale i sistemi erano fuori servizio. Alcune fonti parlano di una somma ancora più elevata: 18 milioni di dollari.
Imparare dagli errori di Baltimora
Se è vero che RobbinHood ha causato molti danni ai sistemi di Baltimora, è anche vero che le azioni della città, sia prima che dopo l’incidente, sono state criticate e hanno contribuito all’aumento dei costi. La prima valutazione riguarda il fatto che Baltimora – a differenza di Atlanta, che ha subito un attacco ransomware nel 2018 – non aveva alcuna assicurazione per coprire i costi di un cyber attacco, nonostante gli avvertimenti del capo della sicurezza. Il comune della città non aveva nemmeno un piano di formazione sulla sicurezza informatica per i suoi dipendenti e, sebbene fossero stati fatti dei backup, non è chiaro se fossero sufficienti per poter recuperare il sistema. Inoltre, il sindaco non ha confermato l’esistenza di un piano di disaster recovery per aiutare a gestire gli attacchi ransomware.
Evitare i costi del riscatto
Sfortunatamente le affermazioni degli hacker sono vere: per il momento non esiste una chiave di decrittazione pubblica per RobbinHood. Tuttavia, questo non significa che pagare il riscatto sia la giusta soluzione poiché, come spiegano gli esperti di cybersecurity, questo non fa che aumentare il problema, incoraggiando i criminali informatici a continuare a effettuare attacchi.
In questi casi, una delle misure di protezione più importanti è la creazione di backup per ripristinare la situazione il più presto possibile. È necessario avere anche un piano di risposta agli incidenti per sapere come comportarsi se la propria azienda viene colpita da una minaccia di questo tipo. Insieme a tali consigli, vale la pena ricordare che il ransomware ha una vasta gamma di TTP per accedere ai sistemi IT delle aziende. Per questo motivo è fondamentale sapere esattamente cosa sta succedendo in ogni momento, riducendo così la superficie di attacco.
Questo è uno dei principi su cui si basa la soluzione Panda Adaptive Defense di Panda Security, in grado di classificare il 100% dei processi in esecuzione e di fornire una visibilità totale di tutte le attività. In questo modo, i sistemi IT possono adattarsi automaticamente all’evoluzione degli attacchi.
Quando si è verificato l’incidente di Baltimora, molti media hanno riferito che il ransomware fosse entrato nei sistemi attraverso la vulnerabilità EternalBlue, anche se è stato poi smentito da alcuni ricercatori. Qualunque sia stata la causa, resta il fatto che molti attacchi informatici sfruttano le vulnerabilità per accedere alle reti aziendali.
Per rispondere a questo tipo di incidenti, Panda Security ha integrato in Panda Adaptive Defense anche un modulo aggiuntivo, Panda Patch Management, che monitora e dà priorità agli aggiornamenti in modo da essere sicuri di avere sempre la migliore protezione contro le minacce. In questo modo, si potranno gestire le patch necessarie per la propria azienda, senza dover investire più tempo o risorse in essa. Grazie a questa soluzione quindi si potrà completare il sistema di protezione per proteggere le proprie risorse contro gli attacchi hacker come RobbinHood.
