Nuovo attacco Ramsonware in Italia: attenzione alle fatture via pec
Sempre più spesso sentiamo parlare dei ramsonware, un particolare tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro.
Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo.
I ramsonware e la pec
Nei primi giorni del mese di luglio, i ricercatori di Eset Italia hanno individuato un massiccio attacco ransomware tramite PEC pericolose con allegati in grado di infettare il sistema. In questa specifica campagna creata ad hoc per l’Italia, i cybercriminali stanno diffondendo delle Pec su larga scala riconducibili ad aziende “fantasma” in cui si fa riferimento a presunte fatture allegate in formato Pdf.
L’apertura di questi file innesca una payload che infetta il sistema ospite con un pericoloso ransomware in grado di codificare tutti i documenti della vittima rendendoli di conseguenza inaccessibili, se non previo pagamento del cosiddetto “riscatto”.
Di seguito è riportato il tipico messaggio distribuito dai criminali a cui nella maggior parte dei casi viene allegato un file PDF infetto:
“Buongiorno Allegata alla presente email Vi trasmettiamo copia Pdf di cortesia della fattura in oggetto. Documento privo di valenza fiscale ai sensi dell’art. 21 Dpr 633/72. L’originale e disponibile all’indirizzo telematico da Lei fornito oppure nella Sua area riservata dell’Agenzia delle Entrate”.
La pec non è sempre sicura quanto si pensi
Solitamente le PEC vengono utilizzate per comunicazioni sensibili e spesso riservate, tanto da venir considerate l’unica soluzione informatica accettata per la corrispondenza dalla pubblica amministrazione e dagli enti governativi. Tale prerogativa fa sì che gli utenti si sentano più tranquilli nel considerare attendibili questi messaggi, portandoli ad eseguirne senza preoccupazioni i file allegati.
Eset Italia consiglia di porre la massima attenzione anche ai messaggi PEC, di non aprire assolutamente il file “.pdf” o altri tipi di allegato se il mittente è sconosciuto o palesemente “falso”. Se al contrario il mittente fosse noto ma il contenuto della comunicazione risultasse sospetto o simile a quello appena riportato, è opportuno chiedere direttamente conferma di quanto inviato.
Come proteggersi?
Prima di tutto, occorre avere un particolare occhio critico e porre particolare attenzione alle mail che si ricevono, meglio chiedere una conferma in più in caso di dubbio.
Inoltre, come in altri casi simili è necessario:
- Proteggere adeguatamente gli indirizzi email utilizzando una valida soluzione antimalware che integri un motore antispam;
- Cambiare, se non si è già provveduto a farlo, le password dei propri account creandone di complesse e abilitando dove possibile l’autenticazione a due fattori;
- Non utilizzare mai la stessa password per più servizi;
- Provvedere periodicamente al backup del sistema e in particolare dei documenti e dei file più importanti;
- Mantenere costantemente aggiornati il sistema operativo e la soluzione di sicurezza installata.
Un attacco ransomware ad Axios mette K.O. il 40% delle scuole italiane
La piattaforma fornisce il supporto per il registro elettronico a una buona parte degli istituti italiani. Lavori in corso per ripristinare il servizio.
Non solo Covid: a intralciare il percorso formativo degli studenti italiani adesso ci si mettono anche i ransomware. Vittima dell’attacco Axios Italia, azienda che fornisce il supporto per il “registro elettronico” a una consistente percentuale (40%) degli istituti scolastici italiani.
I problemi per Axios sono cominciati lo scorso sabato 3 aprile, quando la società è rimasta vittima di quello che, in un primo momento, è stato classificato come un “malfunzionamento tecnico”. Un tempismo perfetto, che coincide con la ripresa dell’attività didattica (anche in presenza) prevista per la giornata di oggi, 7 aprile.
Tempismo così “perfetto” da essere altrettanto sospetto. Scorrendo i comunicati dell’azienda pubblicati sul suo sito Internet, infatti, si scopre che il “malfunzionamento” è tutt’altro che casuale: si tratta invece di un attacco ransomware che ha bloccato tutti i sistemi, ricadendo a cascata sulle scuole che utilizzano il registro digitale di Axios.
A quanto si legge, l’azienda ha invitato gli insegnanti a utilizzare il “registro di emergenza”, un file in formato .DOC che consente la stampa di un documento per annotare tutte le informazioni normalmente registrate attraverso il registro elettronico.
L’impatto dell’attacco, però, va molto oltre la semplice registrazione delle presenze degli alunni. Il registro elettronico, infatti, viene utilizzato anche per altri scopi, come fornire informazioni agli studenti sulle attività scolastiche (per esempio i compiti da svolgere durante le vacanze pasquali) e ai genitori, che possono visualizzare voti, assenze ed eventuali note disciplinari.
Insomma: il blocco dei registri provocato da un singolo attacco ransomware sta provocando non pochi problemi a milioni di persone. Stando a quanto comunicato da Axios, il servizio dovrebbe riprendere regolarmente domattina.
AgID emana le misure minime di sicurezza ICT per le PA
La circolare trasforma le misure minime di sicurezza pubblicate sul sito di AGID lo scorso anno in uno strumento di compliance: in pratica, ogni Pubblica Amministrazione rientrante nella definizione ex. art. 1 c.2 d.Lgs. 165/2001 dovrà attestare il livello di adozione delle misure minime di sicurezza e conservare tale attestazione da trasmettere al CERT-PA (l’acronimo di Computer Emergency Response Team Pubblica Amministrazione) in caso di incidente informatico.
La responsabilità di attuazione delle misure minime è in capo al responsabile dei sistemi informativi (definito all’art. 10 del D.Lgs. 39/1993) o, in sua assenza, al dirigente allo scopo designato.
L’allegato 1 della circolare riporta le misure minime di sicurezza adottate da AgiD, mentre l’allegato 2 è il modulo di implementazione con cui il responsabile deve attestare il livello di adozione delle misure minime.
Il modulo deve essere compilato dal responsabile e dal responsabile legale della struttura, oltre che marcato temporalmente (NB si parla di marcatura temporale, non di riferimento temporale, per cui il numero di protocollo non è idoneo; la marcatura temporale viene apposta direttamente sul documento).
La scadenza di prima adozione di tale adempimento è il 31/12/2017; c’è da osservare che, essendo il sistema informatico soggetto a continue evoluzioni, la misura di adozione potrebbe essere aggiornata anche in data successiva a tale scadenza ( prime verifiche dal 10 Gennaio 2018 ). Sarà pertanto necessario implementare un processo opponibile a terzi di versioning di tale documento.
E’ interessante rilevare che le misure di sicurezza, analizzate nel nostro precedente articolo di settembre 2016, si sviluppano su 3 livelli:
– “Minimo”, al di sotto il quale nessuna amministrazione può scendere;
– “Standard”, che costituisce la base di riferimento nella maggior parte dei casi;
– “Alto”, che potrebbe essere un obiettivo a cui tendere.
Il responsabile quindi dovrà adottare almeno le misure di livello minimo e tendere a rendere il sistema sicuro a seconda della propria situazione contingente: quello che nel codice della privacy (D. Lgs. 196/2003) si definisce “misure idonee di sicurezza”.
Questo adempimento è propedeutico alla comunicazione, in caso di eventuale incidente informatico, a CERT-PA del documento sottoscritto allegato alla segnalazione dell’incidente stesso. E’ importante rilevare che, in caso di data breach (cioè di violazioni di sicurezza) di dati personali, è obbligatoria la segnalazione al garante della Privacy: quando il nuovo regolamento eurpeo di protezione dei dati personali verrà interamente applicato (la scadenza ultima è maggio 2018), il Garante svolgerà delle ispezioni presso l’ente che ha subito l’attacco – al fine di verificare le misure di sicurezza adottate – ed eventualmente comminare delle sanzioni, che possono essere molto salate.
L’obiettivo degli enti dovrebbe essere quello di non ripetere adempimenti simili, implementando un Sistema di Gestione della Sicurezza in grado di ottemperare in maniera efficiente a tutti gli obblighi di legge.
Fonte: circolare AgID 1/2017 pubblicata in Gazzetta Ufficiale