Recentemente abbiamo discusso dell’incidente occorso al Comune di Palermo che ha portato alla perdita di un grosso quantitativo di dati personali dei cittadini. A distanza di poco tempo è emerso un nuovo incidente, ancora più grave, ai danni di una Pubblica Amministrazione, nello specifico la Regione Sardegna, che si è vista rubare il contenuto di una banca dati. Dopo diverse ricerche è emerso che l’attacco in questione avrebbe avuto luogo sin dall’inizio del 2022, nello specifico nel mese di febbraio.
Ad essere colpita è stata SardegnaIT, azienda pubblica che controlla tutti gli apparati digitali della regione, che dopo essere stata infettata dal ransomware del gruppo Quantum Locker si è vista sottrarre un archivio di 155 GB con vari tipi di dati al suo interno. Nonostante gli hacker non abbiano mai ufficialmente rivendicato l’accaduto hanno pubblicato una lunga lista di file esfiltrati proprio dal database della Regione Sardegna. Il problema è che per la mole di dati rubata questo è ufficialmente l’attacco cyber più imponente mai subito da una PA del nostro paese.
Tra i dati rubati ci sono documenti d’identità, numeri telefonici e tantissimi scambi interni di informazioni tra dipendenti regionali. Oltretutto, sarebbero state trafugate anche le password d’accesso ai sistemi interni. Prima dell’ufficialità dell’attacco, reso noto non dalla Regione Sardegna ma dal portale indip.it, si poteva già riscontrare la presenza di alcune botnet all’interno delle workstation dei dipendenti, utilizzate per l’accesso ai sistemi interni. Tali botnet sono praticamente il background dal quale gli hacker iniziano poi a sferrare l’attacco vero e proprio.
La particolarità del ransomware di Quantum Locker è la velocità di esecuzione e di mantenimento delle promesse. Una volta infettate, infatti, le vittime hanno solitamente pochissime ore per pagare il riscatto prima di vedere pubblicati tutti i dati presi in ostaggio. Per proteggersi da questo tipo di minaccia come da tutti gli altri ransomware è importante impostare un percorso di recupero e ripristino dei file rubati. Per farlo si possono scegliere soluzioni di backup di alto livello da utilizzare ad intervalli non troppo distanti tra loro. Avere i backup disponibili nella stessa rete colpita è però un altra pratica da evitare. Questo perché in quel caso ci sarebbero altissime probabilità che vengano presi anch’essi in ostaggio rendendoli di fatto inutilizzabili. Le soluzioni migliori in questo caso sono quelle in Cloud.
L’aggiornamento frequente dei sistemi, compreso quello degli antivirus, è una delle migliori pratiche di protezione congiuntamente ai corsi di sicurezza online. Essi servono ad educare i propri dipendenti a tenere un atteggiamento sempre prudente nelle attività online. Una delle best practices in tal senso, come spesso ripetiamo, è evitare di aprire gli allegati inviati via email da caselle che non conosciamo o comunque di fidarsi poco se tali documenti non sono attesi. Ad ogni modo, per evitare tutti i problemi sugli endpoint e sulle caselle mail esistono tantissimi servizi specializzati come EPP (EndPoint Protection), EDR (Endpoint Detect & Response) ed Antivirus/Antispam.