I 5 attacchi ransomware più devastanti del 2021... almeno finora

I devastanti attacchi ransomware del 2021

Nel 2021, il volume degli attacchi ransomware è aumentato del 150% rispetto al 2020 e, secondo l'FBI, a metà del 2021 erano in circolazione 100 diversi tipi di ransomware. Le dimensioni degli attacchi sono diverse e variano da piccoli e molto mirati a massicci e diffusi. Nel luglio del 2021, i senatori Dick Durbin e Chuck Grassley hanno informato il Senato che il 50%-75% di tutti gli attacchi ransomware sono stati effettuati contro le piccole imprese. La maggior parte non viene segnalata, ecco perché è possibile imparare di più dagli attacchi di dimensioni maggiori, ad esempio quello contro SolarWinds, che ha colpito centinaia di organizzazioni.

Il ransomware è un codice software progettato per bloccare (o bloccare l'accesso a) un sistema informatico, una rete, dei file e/o dati fino a quando la vittima non paga una determinata somma di denaro: il riscatto.

Finora, nel 2021, non sono mancati attacchi ransomware di grandi dimensioni e devastanti. Abbiamo individuato i primi 5 in termini di importanza, basandoci sul significato che rivestono per la sicurezza della società in vista del 2022. A tal proposito, solo perché un attacco ha avuto come conseguenza il pagamento di un ingente riscatto, non lo rende devastante o potenzialmente devastante per la società.

I 5 attacchi ransomware più devastanti del 2021 aggiornati al 1 novembre

1. Attacco DarkSide alla Colonial Pipeline Company

All'inizio di maggio, la Colonial Pipeline Company ha appreso di essere stata vittima di un attacco ransomware, che ha rapidamente interrotto la fornitura di carburante in un'ampia porzione del sud-est degli Stati Uniti, con una potenziale diffusione a nord, fino a New York. L'attacco ransomware a Colonial Pipeline è stato di gran lunga l'attacco di più alto profilo del 2021. Non c'è da meravigliarsi: siamo una società automobilistica e gli americani hanno bisogno del loro carburante. La Colonial eroga il 50% del carburante della East Coast.

Ciò che ha reso l'attacco particolarmente pericoloso è stata la reazione dei consumatori. La gente si è fatta prendere dal panico e ha comprato tutta la benzina che poteva conservare. Inoltre, alcune persone l'hanno conservata in contenitori non sicuri, come bidoni e sacchetti di plastica, che possono esplodere e bruciare se contengono carburante.

La lettura dei resoconti sul metodo di attacco, che non richiedeva un alto grado di sofisticatezza, è stata sconvolgente. La Colonial non aveva implementato delle misure di sicurezza adeguate, come l'autenticazione a più fattori (MFA). Gli aggressori sono riusciti a introdursi nella VPN dell'azienda piuttosto facilmente poiché tutto ciò di cui avevano bisogno consisteva nel provare qualche password.

I gruppi di hacker si sono sentiti stimolati dalla facilità con cui è stata violata una parte così vitale dell'infrastruttura nazionale. E ora credono che nel 2022 potrebbero riuscire ad abbattere altre infrastrutture di importanza critica senza grandi sforzi.

Riscatto pagato: 4,4 milioni di dollari

2. Attacco REvil a JBS USA

Più tardi, a maggio, JBS, il più grande fornitore di carne bovina al mondo, è stato colpito da un attacco ransomware del gruppo ransomware REvil. A causa dell'attacco, la divisione americana, JBS USA, ha dovuto interrompere completamente le operazioni. Ovviamente, la carne di manzo è scomparsa dagli scaffali di molti negozi degli Stati Uniti, poiché la violazione ha colpito la catena di approvvigionamento originaria di JBS USA.

L'incidente REvil-JBS rivela la vulnerabilità della catena di approvvigionamento alimentare degli Stati Uniti di fronte a un attacco molto più ampio e aggressivo. È facile immaginare che un attacco coordinato, simultaneo, sponsorizzato dal governo, nei confronti dei più importanti fornitori di alimenti, potrebbe innescare una situazione di grave penuria di cibo in tutta la nazione.

Sebbene JBS abbia affermato che i suoi "robusti sistemi IT e server di backup crittografati" hanno contribuito a garantire un ripristino rapido, questa non sembra essere l'intera causa del ripristino. Più tardi, nel mese di giugno, JBS ha rivelato di aver effettivamente pagato un riscatto significativo per evitare la compromissione dei dati aziendali, dei clienti e dei dipendenti.

Riscatto pagato: $11 milioni

3. Attacco ransomware di natura non nota alle scuole pubbliche di Buffalo

Il 12 marzo, un attacco ransomware (da parte di criminali sconosciuti) ha colpito il sistema scolastico pubblico di Buffalo, nello stato di New York. Attualmente, il sistema serve 34.000 studenti. Mentre il sovrintendente delle scuole di Buffalo ha minimizzato l'impatto dell'attacco, un'indagine ha stabilito che i documenti mancanti includevano decenni di materiale didattico, documenti degli studenti e circa 5.000 domande di ammissione alle scuole per il mese di settembre. Inoltre, i sistemi essenziali per il funzionamento del distretto, come quelli legali e contabili, erano stati paralizzati, secondo i dettagli pubblicati e un video sull'argomento di WGRZ.

Questo incidente evidenzia una serie di circostanze inquietanti che riguardano un numero esagerato di scuole in tutta la nazione. Gli istituti scolastici sono semplicemente carenti di personale per quanto riguarda la sicurezza informatica, in particolare la cybersecurity. Ad agosto 2021, il volume dei cyberattacchi è diventato più della metà.

Riscatto pagato: sconosciuto

4. Attacco di Evil Corp a CNA

Il 21 marzo, CNA Financial, una delle maggiori compagnie assicurative degli Stati Uniti, è stata colpita da un attacco ransomware che ha causato una grave interruzione della rete. Dopo sei settimane, la rete dell'azienda è rimasta tutt'altro che pienamente operativa, anche se i dirigenti dell'azienda hanno affermato in una dichiarazione di aver intrapreso "un'azione immediata disconnettendo in modo proattivo i [propri] sistemi" dalla rete CNA.

La cosa più inquietante di questo incidente, riguarda il fatto che CNA disponeva di un ambiente di sicurezza più sofisticato rispetto a quello della maggior parte delle organizzazioni. Eppure, è stata comunque violata. Ironicamente, l'azienda offre un'assicurazione contro gli attacchi informatici. L'incidente svela inoltre un crescente panorama di minacce: le operazioni di accesso remoto. In questo caso, gli hacker hanno criptato 15.000 dispositivi, compresi i computer di molti dipendenti che lavoravano in remoto.

Non siamo sicuri al 100% che dietro l'attacco ci fosse Evil Corp. Tuttavia, gli hacker hanno usato un malware chiamato Phoenix Locker, che è il ransomware di Evil Corp, chiamato 'Hades'. La Evil Corp, che ha sede in Russia, non è soggetta alle sanzioni degli Stati Uniti e la CNA ha dichiarato che gli hacker non hanno subito sanzioni dagli Stati Uniti.

Riscatto pagato: $40 milioni

5. Wizard Spider sull'esecutivo del servizio sanitario irlandese (HSE)

Il 14 maggio, il sistema sanitario irlandese gestito dal governo per i servizi sanitari pubblici, ha dovuto chiudere tutti i sistemi IT per evitare la diffusione di malware. Sfortunatamente, si era già infiltrato in alcune parti della rete durante l'attacco ransomware. HSE ha dovuto attendere fino al 30 giugno per il ripristino dei sistemi di registrazione online delle tessere sanitarie.

Gli hacker hanno avuto accesso alle informazioni sui pazienti e sul personale e hanno fatto trapelare dati sui 100.000 dipendenti di HSE e su milioni di pazienti. Un aspetto molto grave è dato dal fatto che le cartelle cliniche, le note e i dati sulle terapie e sui trattamenti facciano parte dei dati compromessi. Una dichiarazione rilasciata da HSE riportava che gli hacker di lingua russa hanno diffuso alcuni dei dati compromessi sul 'dark web' e che le persone ne sono state colpite. Nell'aggiornamento sull'incidente di sicurezza informatica di luglio, HSE ha dichiarato che i servizi sanitari erano ancora pesantemente compromessi a causa dell'attacco.

Ovviamente, le conseguenze delle violazioni del sistema sanitario hanno un impatto enorme sulla società. Sia in termini di informazioni compromesse che di psicosi nazionale. Chi mai crederebbe che un gruppo straniero e ostile sia a conoscenza di tutto ciò che riguarda la propria storia medica e possa pubblicarla apertamente perché tutti la vedano?

Nonostante la gravità della violazione, HSE ha dichiarato che NON pagherà alcun riscatto.

Come Splashtop può aiutarti a evitare attacchi ransomware

Molte aziende si affidano a VPN e RDP per consentire il lavoro a distanza, il che potrebbe esporle a minacce informatiche più ampie. Negli ultimi anni, Gartner e molti esperti di sicurezza hanno raccomandato alle aziende di abbandonare l'accesso VPN a livello di rete. Suggeriscono un passaggio a soluzioni di accesso remoto basate sull'identità a livello di applicazione che adottino un framework zero-trust.

Splashtop fornisce una soluzione di accesso remoto sicuro nativa per il cloud che protegge la rete dagli hacker. In che modo? La nostra soluzione non permette mai alle persone di entrare nella tua rete. È la nostra ricetta segreta.

Splashtop monitora continuamente le ultime minacce informatiche. Ci impegniamo a proteggere i nostri clienti. A tal fine, abbiamo creato un Security Advisory Council e lanciato un Security Feed per aiutare i professionisti IT e gli MSP a rimanere aggiornati sulle ultime vulnerabilità.

Tieniti aggiornato sulle ultime notizie in materia di sicurezza con il nostro Security Feed di Splashtop.


Contenuti correlati:

Banner di prova gratuito nella parte inferiore del blog