Motivazioni dietro l’attacco ransomware contro la Seattle Public Library: un’analisi approfondita
Attacco ransomware alla Seattle Public Library
L’attacco ransomware alla Seattle Public Library dello scorso fine settimana non è il primo a colpire i sistemi delle biblioteche pubbliche.
Recentemente, anche le biblioteche di Toronto e Londra hanno subito gravi violazioni della sicurezza informatica, paralizzando l’infrastruttura tecnica e causando interruzioni significative ai servizi che sono durate diversi mesi.
Gli attacchi ransomware sono aumentati notevolmente l’anno scorso.
Solitamente consistono in hacker che sfruttano credenziali o vulnerabilità del software, rendendo i dati inaccessibili o minacciando di divulgarli e richiedendo poi pagamenti esorbitanti dalle vittime.
Recenti attacchi di alto profilo hanno colpito la casa d’aste Christie’s e sistemi sanitari come Ascension e Change Healthcare.
Biblioteche pubbliche: un bersaglio curioso
Le biblioteche pubbliche sono un bersaglio “curioso” dato che difficilmente dispongono di risorse significative per pagare i riscatti richiesti, ha detto Joshua Steinman, CEO della startup di cybersecurity di Seattle Galvanick ed ex leader della cyber policy alla Casa Bianca.
Tuttavia, le entità governative sono attraenti per gli attacchi ransomware perché forniscono servizi pubblici importanti e la perdita di tempo può fare una differenza vitale.
Corey Nachreiner, chief security officer presso WatchGuard Technologies, con sede a Seattle, ha aggiunto: “Se non altro, presumo che gli attori delle minacce ransomware abbiano pensato che questo obiettivo avrebbe avuto una buona probabilità di pagare un riscatto, come altre organizzazioni legate al governo.
Tuttavia, a volte gli attori delle minacce mirano solo a un’organizzazione che possono violare con successo.”
Le sfide della sicurezza per le biblioteche
Le biblioteche e i distretti scolastici generalmente non dispongono di team di sicurezza informatica ben finanziati e non possono difendersi efficacemente dalle minacce individuali, ha spiegato Sunil Gottumukkala, CEO della startup di cybersecurity di Seattle Averlon.
Secondo un rapporto pubblicato lo scorso anno dal Center for Internet Security, il ransomware è una delle minacce cibernetiche più comuni e consequenziali che colpiscono stati e località.
Dettagli dell’attacco alla Seattle Public Library
In un post sul suo Shelf Talk Blog, la Seattle Public Library ha dettagliato l’attacco informatico che è iniziato nelle prime ore del mattino di sabato, mentre l’organizzazione si preparava a mettere offline i suoi sistemi per una manutenzione programmata durante il fine settimana festivo.
L’attacco ha influenzato l’accesso ai computer per il personale e il pubblico, ai cataloghi online e ai sistemi di prestito, e-book e audiolibri, Wi-Fi in sede e al sito web della biblioteca, che è stato ripristinato mercoledì mattina.
“La Biblioteca ha rapidamente coinvolto specialisti forensi di terze parti, contattato le forze dell’ordine e messo completamente offline i nostri sistemi per interrompere e valutare meglio la natura e gli impatti dell’evento”, ha comunicato la Biblioteca nel suo post.
Gli edifici restano aperti nelle 27 sedi della Biblioteca a Seattle, con libri stampati e altri materiali fisici ancora disponibili per il prestito tramite moduli cartacei.
Supporto e comunicazione
Ana-Maria Critchley, senior manager delle comunicazioni e delle relazioni con gli stakeholder per la Toronto Public Library, ha detto a WebRaider che la sua organizzazione è stata in contatto con la Seattle Public Library per esprimere il proprio supporto.
“Sebbene ogni attacco informatico sia diverso e richieda una risposta su misura, è chiaro che le organizzazioni del settore pubblico sono sempre più prese di mira,” ha dichiarato Critchley.
“Per le biblioteche pubbliche, dedicate all’equità, all’accesso all’informazione e all’apertura per tutti, questo rappresenta un attacco all’essenza stessa della società civile.”
Migliorare le difese di sicurezza
Gli attacchi recenti potrebbero essere un segnale per altri sistemi bibliotecari di rafforzare le proprie difese di sicurezza.
Nachreiner ha spiegato che gli attori delle minacce ransomware comunemente sfruttano le classiche email di phishing per cercare di ingannare gli utenti finali facendoli accidentalmente condividere un nome utente e una credenziale di accesso.
Essi possono anche trovare un servizio di rete non aggiornato esposto online e sfruttarlo per ottenere l’accesso, oppure individuare vulnerabilità nel software di accesso remoto.
“Una volta che un hacker è dentro la tua rete e oltrepassa la maggior parte delle difese, generalmente non è difficile per loro accedere al resto dei tuoi computer,” ha detto Nachreiner.
“A volte possono ottenere credenziali sulla tua rete interna e usare quelle credenziali per accedere ad altri sistemi.
Possono anche utilizzare i tuoi strumenti legittimi di distribuzione software per installare ransomware su tutti i dispositivi.”
Importanza della sicurezza per le biblioteche
La British Library ha pubblicato dettagli su come è stata attaccata, tracciando il probabile punto di intrusione iniziale a un sistema di accesso di terze parti che è stato accessibile tramite credenziali di account compromessi.
“La minaccia di attacchi informatici aggressivi e distruttivi è più alta di quanto non sia mai stata, e le organizzazioni dietro questi attacchi sono sempre più avanzate nelle loro tecniche e spietate nella loro volontà di distruggere interi sistemi tecnici,” ha scritto Roly Keating, CEO della British Library, in un post sul blog a marzo.
“Questo è di particolare importanza per le biblioteche e tutte quelle istituzioni che condividono la nostra missione di raccogliere e rendere accessibili conoscenza e cultura in forma digitale e preservarla per i posteri.
Anche se il motivo dell’attacco alla British Library sembra essere stato puramente monetario, ha funzionato di fatto come un attacco all’accesso alla conoscenza.”
Gottumukkala ha consigliato alle organizzazioni di assicurarsi che ci sia un piano di recupero e ricostruzione che viene testato periodicamente; abilitare l’autenticazione a due fattori; e mantenere i sistemi critici aggiornati.
Jim Alkove, CEO della startup di cybersecurity di Seattle Oleria, ha detto che le organizzazioni dovrebbero assicurarsi che i loro utenti abbiano accesso e permessi solo per i requisiti del loro lavoro, e nulla di più.
“A causa dei sistemi legacy di gestione delle identità e degli accessi, combinati con flussi di lavoro relativamente statici e ad alta intensità manuale, molte organizzazioni lottano con accessi utente significativamente sovraperimetrati,” ha affermato.
“Mentre quell’accesso sovraperimetrato non fornisce un vero valore all’organizzazione o all’utente, offre una superficie di attacco inutilmente ampia per un malintenzionato che accede a tale account.”
