Rapporto Clusit – 2016 anno nero: vittime e caratteristiche dei più gravi cyber attacchi

È stato presentato lo scorso 22 febbraio il Rapporto Clusit 2017 sulla sicurezza ICT in Italia, frutto del lavoro di un centinaio di esperti e con il contributo di soggetti pubblici e privati che hanno condiviso con Clusit -l’Associazione Italiana per la Sicurezza Informatica- informazioni, dati e le proprie esperienze sul campo. L’analisi condotta a livello globale ha messo in evidenza un dato allarmante relativamente all’annata appena trascorsa: il 2016 è stato l’anno peggiore di sempre in termini di evoluzione delle “cyber minacce” e del conseguente impatto. Nello specifico sono stati individuati ben 1050 incidenti classificati come gravi ossia con un impatto significativo per le vittime in termini di danno economico, di reputazione e diffusione di dati sensibili. Il rapporto è sviluppato su scala mondiale e, nostro malgrado, per la prima volta l’Italia si trova nella top ten globale per numero di vittime.

Oltre alla descrizione dei settori maggiormente colpiti, nonché delle tecniche di attacco, il rapporto descrive i dieci attacchi più significativi verificatisi nel 2016, selezionati anche in base alla varietà di situazioni/istituzioni che hanno colpito.

1. Hollywood Presbyterian Medical Center. Si è trattato di un attacco basato su ransomware che ha costretto l’ospedale a pagare un riscatto di 17 mila dollari per ottenere dai criminali la chiave di decifratura dei propri dati. La detenzione del primo posto è giustificata dal fatto che attacchi simili con infrastrutture ospedaliere sono stati piuttosto frequenti nel 2016 data la vulnerabilità dei soggetti in questione: strutture poco protette, facili da colpire ed allo stesso tempo critiche, propense a pagare cifre anche relativamente ingenti per ripristinare velocemente la propria operatività
2. FriendFinder Networks. Una piattaforma di dating online che ha subito il furto di oltre 412 milioni di account di suoi clienti. L’attacco è stato realizzato mediante una vulnerabilità di tipo Local File Inclusion con l’aggravante che la maggior parte delle password era conservata in chiaro, cioè non crittografate sul database del sito, oppure sotto forma di semplice hash SHA-1, algoritmo non sicuro.
3. Banca del Bangladesh. Il danno stimato in questo incidente è di 81 milioni di dollari: non solo il sistema della banca è stato compromesso, ma sono state introdotte nel sistema Swift delle transazioni fraudolente con l’ordine di trasferire fondi per 1 miliardo di dollari, delle quali fortunatamente solo una prima tranche da 81 milioni è andata a buon fine.
4. Adups Technology. La società cinese ha subito la modifica del firmware per device Android installato su 700 milioni di macchine commercializzate in diversi Paesi del mondo, con la conseguente raccolta di informazioni relative a Imei, Imsi, Max address, version number, operatore telefonico, Sms ed elenco chiamate. Un’attività durata oltre 6 mesi prima di essere scoperta.
5. Sistema di trasporto pubblico di San Francisco. Ennesimo attacco ransomware che ha infettato circa 2 mila sistemi tra server, client, e macchine adibite a funzioni di biglietteria. Il riscatto richiesto è stato di 73 mila dollari senza contare il principale danno consistito nella necessaria apertura dei tornelli per la circolazione gratuita degli utenti nell’impossibilità di emettere titoli di viaggio fino alla risoluzione dell’incidente.
6. Campagna presidenziale americana. L’attacco è consistito nella pubblicazione da parte di Wikileaks di 19252 email relative al Comitato Nazionale del Partito Democratico, alcune delle quali piuttosto compromettenti e con una conseguente influenza sull’esito delle elezioni. Le email sono state sottratte da un hacker anche se tutte le principali agenzie di intelligence americane hanno dichiarato di aver prove dell’intervento russo dietro a tale vicenda.
7. Yahoo e i suoi utenti. Si tratta della violazione di account più importante della storia con oltre un miliardo di account violati. Il data breach in questione ha riguardato nomi, indirizzi email, numeri di telefono, date di nascita, password criptate e in alcuni casi anche domande di sicurezza con le relative risposte, che poi sono stati messi in vendita per circa 300 mila dollari.
8. Dyn, provider di servizi Dns. Siamo di nuovo negli Stati Uniti dove, gli utenti della costa est si sono trovati impossibilitati a raggiungere la maggior parte dei più popolari siti e piattaforme internet per un giorno. Si tratta di un attacco DDoS messo a segno mediante centinaia di migliaia di device IoT compromessi da remoto e usati come vettori di attacco.
9. Tesco Bank. A subire questo attacco sono stati circa 20 mila clienti della banca britannica, derubati del loro denaro nell’arco di un week end.
10. Ministero degli Esteri Italiano. Anche l’Italia rientra in questa spiacevole classifica relativamente all’attacco subito dalla Farnesina nella primavera 2016, che avrebbe provocato la compromissione di alcuni sistemi non classificati.