ilAgenzia per la sicurezza informatica della Catalogna ha identificato un aumento degli incidenti ransomware nei confronti dei municipi di tutto il paese nelle ultime settimane. Questo tipo di attacco mira a bloccare i sistemi dell'entità crittografando le loro informazioni, richiedendo un riscatto per il loro ripristino o per il recupero dei dati. Questo riscatto è solitamente di importo elevato ed è richiesto in criptovalute (di solito bitcoin).
Il "modus operandi" più recente per compiere questi attacchi è quello di effettuare intrusioni manuali nei sistemi informatici del consiglio comunale. In genere sfruttano l'accesso a Internet esposto e i sistemi di lavoro remoto (telelavoro), come VPN, RDP o Citrix, utilizzando credenziali precedentemente rubate o sfruttando le vulnerabilità di queste stesse tecnologie. Una volta sulla rete interna, se necessario, rubano utenti privilegiati utilizzando software dannosi, per diffondere il ransomware definitivo dal controller di dominio stesso o dai server di virtualizzazione.
Per questi motivi, le principali raccomandazioni che dovrebbero essere applicate sono le seguenti:
- Consigliatoutilizzare l'autenticazione a più fattori (MFA) a sistemi e applicazioni pubblicamente esposti, al fine di ridurre la possibilità che gli aggressori accedano inizialmente alla rete attraverso l'uso di credenziali precedentemente compromesse.
- Aumentare la consapevolezza del personale sulla sicurezza informatica rende difficile per gli aggressori entrare nella rete delle organizzazioni. Gli attori hanno meno capacità di distribuire ransomware se non possono accedere alla rete.
- È anche è essenziale mantenere aggiornati tutti i sistemi e le applicazioni, in particolare quelli pubblicamente esposti (servizi VPN, sistemi operativi di macchine relativi al telelavoro, ecc.).
Nonostante l'applicazione delle suddette misure preventive, nessuna rete è sicura al 100%. Quando i criminali informatici sono riusciti a collegarsi online, ci sono una serie di buone pratiche che ostacoleranno il loro movimento laterale e l'escalation dei privilegi. L'obiettivo degli aggressori è controllare il maggior numero possibile di sistemi e il modo più comune per ottenerli è tramite un account di amministratore di dominio o tramite il controller di dominio stesso.
- Solo il personale amministrativo delle TIC dovrebbe averloaccesso agli account amministratore. Pertanto, il numero di account amministratore dovrebbe essere ridotto al minimo, applicando il principio del privilegio minimo, riducendo la possibilità che un utente malintenzionato ottenga un account privilegiato.
- Inoltre, personale amministrativo ICT non devono accedere con account amministratore ad altri computer e workstation di uso comune. Qualsiasi computer dell'organizzazione potrebbe essere compromesso e l'attaccante potrebbe estrarre le credenziali utilizzate su di esso (ad esempio utilizzando Mimikatz) e ottenere l'accesso a un account amministratore.
- Una strategia di segmentazione della rete è un'altra buona pratica che ostacolerebbe il movimento laterale.
Infine, e come regola d'oro di fronte alle minacce ransomware, è della massima importanza disporre di una buona strategia di backup in atto.
- L'impatto di un attacco ransomware riuscito è notevolmente ridotto quandoun backup recente isolato dalla rete (air-gapped) o in una posizione fuori sede. In questo scenario, invece della totale perdita di informazioni o dell'elevato costo economico del pagamento del riscatto, è probabile che si riduca alla temporanea indisponibilità del servizio durante la gestione dell'infezione e il recupero dei dati.
L'Agenzia catalana per la sicurezza informatica, grazie a CATALONIA-CERT, ha un'elevata capacità di risposta che le consente di agire in modo coordinato, nel tempo e nella forma per ridurre al minimo l'impatto degli incidenti di sicurezza informatica che si verificano su tutto il territorio. In caso di incidente, contattaci telefonicamente al numero 900 112 444 o via e-mail all'indirizzo cert@ciberseguretat.cat.
Lo scorso anno, l'Agenzia per la sicurezza informatica della Catalogna ha definito uno specifico servizio di sicurezza informatica per l'amministrazione locale, che mira a offrire nuove capacità di protezione e risposta alle minacce e agli incidenti di sicurezza informatica e quindi prevenire gli attacchi come quelli oggetto di questo comunicato stampa. Questo servizio dovrebbe essere operativo all'inizio del secondo trimestre del 2021, tuttavia è stata creata la seguente casella di posta. security.aall@ciberseguretat.cat per risolvere eventuali dubbi o problematiche in merito.