Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco informatico alla British Library: il ransomware Rhysida colpisce ancora

Redazione RHC : 19 Aprile 2024 22:22

Il recente attacco informatico alla British Library da parte del ransomware Rhysida ha evidenziato la necessità di rafforzare le difese digitali contro minacce sempre più sofisticate. Questo articolo fornisce un’analisi del modus operandi di Rhysida, un ransomware noto per la sua estorsione: vengono richiesti pagamenti per scongiurare la vendita o la pubblicazione dei dati rubati. Attraverso una serie di attacchi mirati in tutto il mondo, compresi alcuni in Italia, Rhysida ha causato danni significativi e portato a estorsioni finanziarie. 

Una delle principali vulnerabilità sfruttate dal ransomware Rhysida è la mancanza di autenticazione multifattoriale (MFA) nelle infrastrutture IT delle aziende. Inoltre, l’articolo racconta come il gruppo di cyber criminali che ha creato Rhysida lo abbia poi fatto diventare un “ransomware as a service” (Raas). 
 Infine, vengono suggeriti strumenti e pratiche per rafforzare le difese informatiche.

Attacco informatico alla British Library: il ransomware Rhysida 

Può un attacco informatico targato ransomware Rhyshida dar del filo da torcere a una delle biblioteche più importanti del mondo? Ecco che cosa è successo nel cuore della Gran Bretagna e del patrimonio librario mondiale.

FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber

Affrettati!

Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:

  • NIS2 : Network and Information system 2 scontato del 25%
  • Dark Web & Cyber Threat Intelligence scontato del 50%

  • Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Londra, 2023. Catalogo digitale della British Library. È una notte da brividi di fine autunno (per ogni storia che si rispetti, sarebbe buia e tempestosa, ma questa è una storia vera, e allora immaginiamo che lo sia altrettanto). Al 96 di Euston Road, la Magna Carta se la passa benino e più di seicento chilometri di scaffali di carta dormono sogni da libri.

    Ma il loro doppio digitale inizia a tremare.

    Il database che raccoglie dati di utenti e dipendenti, oltre a un catalogo di 170 milioni di opere, subisce un attacco: l’aggressore è il ransomware Rhyshida.

    Che cosa è successo: le furfantesche imprese del ransomware Rhyshida

    L’attacco informatico ha colpito il catalogo online della biblioteca, che veniva consultato tutti i giorni da appassionati e appassionate, studiosi e studiose. Ora, a causa del furto virtuale ma, nelle conseguenze, tangibilissimo, il servizio è interrotto e non sono ancora chiari i tempi in cui verrà ripristinato.

    I cyber attacchi di questo tipo prevedono sempre un’estorsione ai danni dell’ente o dell’azienda che li subisce: così è stato anche nel caso della British Library. Le sono stati chieste 600.000 sterline di riscatto, pari a circa 700.000 euro.

    L’istituzione britannica si è rifiutata di pagare e l’ulteriore ritorsione dei cyber criminali non ha tardato ad abbattersi. I dati rubati sono stati pubblicati nel dark web e sembra che il 10% del capitale di informazioni sia stato venduto a un unico compratore.

    Il danno e la beffa per utenti e dipendenti della British Library

    Le conseguenze dell’attacco ransomware hanno coinvolto sia fruitori sia dipendenti della biblioteca.

    Infatti, per aggirare l’ostacolo dell’intrusione avvenuta, l’unica possibilità è stata tornare al vecchio metodo di ricerca dei testi manuale attraverso registri cartacei. Questo significa che ogni operazione richiede più tempo e i rallentamenti si riflettono su chiunque abbia bisogno dei servizi della biblioteca, per lavoro, studio ed esigenze personali.

    In più, l’enorme mole di dati rubati attraverso l’attacco ransomware Rhyshida comprendono anche dati personali delle persone che utilizzano la biblioteca oppure lavorano al suo interno.

    Informatica UK: che cosa prevede la Gran Bretagna in casi del genere

    Ma perché la British Library, per arginare al danno ingente causato dall’attacco, non ha pagato il riscatto?

    Tutto è dovuto alle politiche sull’informatica UK: due istituzioni autorevoli in tema di sicurezza informatica nel Regno Unito – il National Cyber ​​Security Center (NCSC) e l’Information Commissioner’s Office (ICO) – hanno pubblicato una lettera nel 2022 in cui invitano a non pagare i riscatti.

    D’altra parte, si stima che il 39% delle imprese britanniche abbia subito un cyber attacco e di queste solo il 13% abbia soddisfatto la richiesta di estorsione.

    La spesa per ripristinare il servizio

    Il ripristino del catalogo online della più importante delle biblioteche di Londra è molto caro. Il Financial Times ha stimato che i costi che dovranno essere sostenuti dall’istituzione ammontano a quasi sette sterline, quindi dieci volte la somma del riscatto.

    Si tratta di circa il 40% delle risorse finanziarie della biblioteca, che non è beneficiaria di fondi governativi.

    Se dico “ransomware”, di che cosa sto parlando?

    I ransomware appartengono alla grande categoria dei malware, cioè dei programmi informatici malevoli. Sono, quindi, applicazioni dannose che infettano, letteralmente, i dispositivi, pc, desktop, tablet, smartphone e addirittura smart TV.

    Il loro modo di agire consiste nel bloccare l’accesso a tutti i suoi contenuti o a una parte di questi. In questo modo, gli hacker possono perpetrare la loro richiesta di riscatto.

    I ransomware sono usati contro istituzioni e imprese con l’obiettivo di portare avanti un’estorsione: il nome che li designa deriva dalla parola inglese “ransom” che significa proprio “riscatto”.

    In che modo i ransomware infettano i dispositivi

    I vettori d’infezione di un ransomware sono diversi: insomma, le possibilità di beccarselo non sono basse, se la guardia non è alta. Una modalità classica dell’avvio del cyber attacco è l’uso di email di phishing che sembrano contenere file innocui e sono invece, per così dire, le “uova” del malware.

    Altri meccanismi alla base di un attacco informatico causato da ransomware sono:

    • download dal web poco raccomandabili;
    • furto di credenziali di accesso;
    • infezioni da parte di altri tipi di malware.

    Le infrastrutture informatiche di aziende ed enti offrono il fianco agli attacchi dei cyber criminali se presentano vulnerabilità nel sistema operativo o nei software utilizzati.

    Attacco ransomware: come si manifesta e quali sono le fasi

    Come capire se un device è stato infettato da un ransomware? Un attacco informatico si manifesta proprio come un’infezione, con dei “sintomi” più o meno caratteristici. Quando il malware responsabile è un ransomware, i segni preoccupanti sono:

    • messaggi di accesso negato;
    • strani cambiamenti dell’immagine del desktop;
    • il dispositivo risulta proprio inaccessibile;
    • rilevazione di scanner di rete sospetti;
    • ricezione di email di dubbia provenienza;
    • segno inequivocabile: la ransomware note, cioè la richiesta di riscatto.

    Il ransomware Rhyshida

    Il temibile antagonista digitale della storia dell’attacco subito dalla British Library prende il nome dal gruppo di hacker che lo ha creato: la cyber banda criminale Rhyshida. Agisce secondo la modalità ransomware-as-a-service e funziona come un ransomware a doppia estorsione: richiede pagamenti usando la minaccia di rendere pubblici o vendere i dati di cui si appropria.

    Per infettare i device utilizza password compromesse passando da servizi remoti come VPN e RDP. Un punto debole molto sfruttato da questo tipo di malware è la mancanza dell’autenticazione a due fattori (MFA).

    Prevenire gli attacchi informatici: ecco come fare

    Prevenire è meglio che curare, anche nel caso delle infezioni da malware, come quella del ransomware Rhyshida ai danni della British Library. Per mettere in atto una buona protezione, occorre intervenire, innanzitutto, su due fattori:

    • garanzia di business continuity (continuità del servizio);
    • accessibilità e ridondanza del dato per aver sempre a disposizione un’efficace strategia di disaster recovery.

    CoreTech mette a disposizione due strumenti che lavorano proprio su questi due fronti delicati: il server cloud Stellar e il software di backup in cloud 1Backup. Con il primo la sicurezza informatica si fa “stellar” che custodisce dati e informazioni essenziali all’attività di un’impresa o un’istituzione: le risorse sono esternalizzate in un server cloud, così che, in caso di perdita o inaccessibilità, è sempre possibile recuperarle e garantire la business continuity.

    Il secondo è la “scorta” vitale che assicura la ridondanza del dato l’accessibilità sempre e dovunque, sempre grazie alla tecnologia della nuvola.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.