Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Le aziende falliscono per un ransomware. Piccola e media impresa, fate attenzione!

Massimiliano Brolli : 5 Ottobre 2021 05:40

Molto spesso su RHC parliamo di attacchi informatici e di ransomware.

Ma questa volta, vogliamo fare di più. Vogliamo parlare delle aziende che non ce l’hanno fatta, quelle aziende che dopo un attacco informatico non sono riuscite a ripartire e sono state costrette a chiudere il loro business. Aziende grandi e medie che non avevano compreso quanto la sicurezza informatica, in un mondo così globalizzato, doveva essere una priorità, allo stesso livello del business stesso.

Vogliamo raccontare le storie di quelle aziende che, dopo aver subito un attacco informatico, hanno dovuto chiudere i battenti, attirando l’attenzione dei media. Tuttavia, la realtà è che la maggior parte delle imprese colpite – spesso piccole e sconosciute – fallisce in silenzio, senza neppure una menzione sui giornali. Sono proprio queste aziende, prive di risorse per riprendersi, che rappresentano la parte più drammatica e invisibile di questa crisi.

Infatti, secondo la National Cyber ​​Security Alliance degli Stati Uniti, il 60 percento delle piccole imprese fallisce sei mesi dopo un attacco informatico. Questo è stato affermato da Lamar Smith, presidente dell’House Science, Space and Technology Committee, in una conferenza del 2011, quando venne approvato il NIST Small Business Cybersecurity Act.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Anche se questo messaggio non è stato da tutti accolto (anche vista la “drammaticità” in esso contenuta), è importante dire che un attacco informatico, è qualcosa che divide il tempo in una azienda tra il “prima” e il “dopo”. E ora vedremo il perchè.

    Aziende che hanno fallito dopo un attacco cyber

    Ci sono molte aziende che hanno fallito per un attacco informatico, vuoi per il furto della proprietà intellettuale o per il blocco delle rispettive infrastrutture. C’è una infinità di piccole aziende che falliscono oggi per un ransomware che non fanno notizia, anche se generano disoccupazione e il rammarico per non aver fatto prima, quello che occorreva fare.

    Ora vi raccontiamo alcuni casi scuola che ci hanno insegnato che la sicurezza informatica è qualcosa di imprescindibile oggi, che deve essere contemplata all’interno dei piani strategici, degli organigrammi, delle risorse umane, come una tra le attività più importanti da implementare a protezione del business.

    2023 – St. Margaret’s Health (SMH)

    L’organizzazione americana della sanità St. Margaret’s Health (SMH) ha chiuso il 13 Giugno del 2023 definitivamente le sue strutture in Perù e Spring Valley, Illinois. La chiusura riguarda ospedali. La SMH ha affermato che un attacco ransomware avvenuto nel 2021 è stato in parte responsabile della chiusura. L’attacco ransomware si è verificato alla fine di febbraio 2021 e ha provocato un’interruzione della rete di computer in un ospedale di Spring Valley, con un impatto su tutte le operazioni web, incluso il portale dei pazienti. La filiale in Perù allora non ha sofferto affatto, poiché ha funzionato in un sistema separato. L’incidente, secondo i rappresentanti dell’organizzazione sui social media dell’epoca, ha influito sulla capacità dell’ospedale di fatturare i pazienti e ricevere pagamenti tempestivi per i servizi resi. E questi sistemi sono stati spenti per tre interi mesi.

    2020 – Vastaamo

    Vastaamo era una clinica di psicoterapia privata finlandese fondata nel 2008. Il 21 ottobre 2020, Vastaamo ha annunciato che il suo database dei pazienti era stato rubato. I pirati informatici avevano chiesto 40 bitcoin, all’epoca circa 450mila euro, minacciando di pubblicare i dati trafugati. Gli estorsori hanno iniziato a pubblicare centinaia di cartelle cliniche al giorno su un sito della rete onion per aumentare la pressione per le loro richieste. I dati dei pazienti trapelati contenevano i nomi completi dei pazienti, gli indirizzi di casa, i numeri di previdenza sociale e gli appunti dei terapisti e dei medici per ogni sessione. Fallita l’estorsione alla società, i pirati informatici hanno inviato alle vittime un’e-mail chiedendo loro di pagare 200 euro in 24 ore per evitare che i loro dati fossero pubblicati online. Alla fine l’azienda ha dichiarato fallimento.

    2019 – The Heritage Company

    Era una azienda di telemarketing che operava da 61 anni nel Regno Unito che dopo un attacco ransomware, non è riuscita a riprendersi, agitando il mondo intero dopo l’annuncio di fallimento a pochi giorni prima di Natale del 2019, lasciando circa 300 dipendenti disoccupati. Mentre l’azienda annunciava la decisione tramite un post su Facebook, il CEO Sandra Franecke ha ammesso che l’attacco ransomware che aveva colpito la società due mesi prima aveva causato perdite enormi.

    2019 – Wood Ranch Medical

    Si trattava di un operatore sanitario americano, il quale ha dovuto chiudere i suoi servizi a causa di un attacco informatico nel 2019. La struttura ha subito un attacco ransomware nell’agosto 2019, bloccando i dati dei pazienti. Secondo i rapporti, l’attacco ha causato danni irreparabili ai sistemi rendendo di fatto impossibile il recupero dei file. Alla fine Wood Ranch Medical ha annunciato la chiusura permanente dei suoi servizi fino al 17 dicembre 2019.

    2017 – FlexiSpy

    Anche gli esperti di sicurezza possono avere dei problemi con i pirati informatici. Questo è accaduto a FlexiSpy, che ha dovuto chiudere dopo che gli hacker hanno fornito ai giornalisti di Motherboard i 13.000 dettagli sugli account degli utenti hackerati di questa azienda, oltre a tutti i dati cancellati dal server dell’azienda. Anche un’altra società simile chiamata Retina-X è stata chiusa dallo stesso gruppo di hacker e questo ci fa ricordare agli italiani di Hacking-Team.

    2014 – Code Space

    Code Spaces, era un servizio di hosting del codice sorgente che offriva una suite di strumenti di gestione dei progetti ai suoi utenti, che ha dovuto chiudere a seguito di un devastante hack che ha cancellato una grande quantità di dati, backup e configurazioni server. Tutto questo è avvenuto dopo che i pirati informatici hanno avviato un attacco DDoS accompagnato da un’intrusione nel pannello di controllo Amazon EC2 di Code Spaces. Anche dopo l’attacco, l’azienda non è stata in grado di risolvere il problema e rimborsare i clienti rimasti senza il servizio per cui avevano pagato. Ciò ha portato ad un enorme danno di credibilità e a enormi problemi finanziari per l’azienda sul mercato e, infine, alla chiusura completa dei suoi servizi.

    2011 – DigiNotar

    DigiNotar era un’autorità di certificazione olandese di proprietà di VASCO Data Security International, Inc. Il 3 settembre 2011, dei criminali informatici sono penetrati nei sistemi interni di DigiNotar emettendo certificati di sicurezza falsi in modo da poter impersonare società web. Si ritiene che i certificati siano stati utilizzati per intercettare gli account di posta elettronica di Google per circa 300.000 persone. Dopo che era diventato chiaro che una violazione della sicurezza aveva portato all’emissione fraudolenta di certificati, il governo olandese ha assunto la gestione operativa dei sistemi di DigiNotar. Nello stesso mese, la società è stata dichiarata fallita.

    Ma quali sono le prime cose da fare?

    La cyber-security è una materia complessa, suddivisa in moltissime “sotto-specializzazioni”; ma come tutte le cose complesse, se uno vuole iniziare, potrebbe essere difficile identificare un approccio semplice.

    In effetti, molti si potrebbero sentire disorientati su quali possano essere le prime cose da porre in atto per poter presidiare o migliorare il proprio cyberspace e in questo capitolo vogliamo fornirvi un indirizzo, che potrà non essere definitivo, ma sicuramente un inizio di un percorso. Cosa occorre quindi fare per poter avviare un programma cyber?

    Semplificando al massimo, possiamo dividere questo capitolo in 2 sotto capitoli e sono:

    • Programma di short term
    • Programma di long term

    Non ci dilunghiamo sul programma di long term, in quanto si tratta di avviare un vero programma cyber a tutti gli effetti, ma vogliamo invece fornire una chiave di lettura sul primo programma, quello più rapido, quello più in contingency.

    Il programma di short term

    Il programma di short term equivale ad effettuare una ricognizione sulle falle sullo strato esterno, per mitigare la minaccia di un eventuale pirata informatico che voglia abusare dei nostri sistemi per acquisire proprietà intellettuale, lanciare ransomware o sfruttare le nostre infrastrutture per altri scopi.

    Quindi dimentichiamoci per il momento del GDPR, della securiry by design, i requisiti di sicurezza, l’intelligence delle minacce, il SOC e tutta la letteratura sulla cybersecurity ben fatta.

    Quella la lasciamo al long term. Ora vogliamo solo ridurre di un bel po’ le minacce che incombono sulla nostra infrastruttura.

    Vediamo le cose da fare:

    1. Effettuare delle scansioni (vulnerability Assessment infrastrutturale) su tutti gli IP esposti su internet con uno strumento best in class. Una volta eseguita, mettere in atto tutte le remediation critiche;
    2. Rimuovere tutti i servizi di amministrazione da internet (RDP, SSH, Sftp…), non avete scuse. Fatelo;
    3. Impostare password complesse per gli account di amministrazione;
    4. Effettuare delle scansioni (vulnerability assessment web), su tutte le entry point web con uno strumento best in class. Va bene per il momento anche senza autenticazione (pre-auth). Una volta eseguita, mettere in atto tutte le remediation critiche;
    5. Assicurati che tutti i software in esecuzione sulla rete aziendale (e soprattutto sui servizi esposti su internet) siano aggiornati;
    6. Effettuare i backup su base giornaliera (o a secondo delle esigenze) sui server più importanti e scollegate i backup dalla rete “fisicamente”;
    7. Implementare dei sistemi di IPS (Intrusion prevention System) a copertura di tutti gli IP che risultano esposti su internet, applicando delle policy di default.

    Se non avete mai fatto questo, è ora di pensarci seriamente.

    Ma questo non è assolutamente il punto di arrivo, ma bensì appena la valutazione iniziale ed iniziatelo seriamente a fare in quanto le aziende falliscono. E la prossima potrebbe essere la tua.

    Massimiliano Brolli
    Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

    ​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...