Un attacco ransomware con doppia richiesta di riscatto ha spinto l'Università dello Utah a sborsare quasi mezzo milione di dollari agli attaccanti per proteggere informazioni sensibili.
Nel mese di luglio il College of Social and Behavioral Science (CSBS) dell'Università dello Utah è caduto vittima di un attacco ransomware. Ha pagato ai cyber criminali oltre 457.000 dollari. Parte del riscatto è stata coperta dall'assicurazione informatica.
La cifra non è astronomica come quella
sborsata dall'Università della California per un episodio analogo, ma è comunque rilevante. E conferma l'esigenza sempre più inderogabile per gli atenei e in generale il settore dell'education di
proteggere adeguatamente le proprie infrastrutture dagli attacchi informatici.
Non ci sono informazioni ufficiali sul tipo di ransomware usato per l'attacco. Tuttavia, l'ateneo ha confermato l'accaduto e il fatto che l'infezione ha colpito solo una minima dei dati memorizzati sui suoi server. Si tratta in particolare delle informazioni relative a dipendenti e studenti. Informazioni che peraltro è stato possibile ripristinare sfruttando i
backup funzionanti di cui l'università disponeva.
Allora perché pagare? Perché i cyber criminali a quanto pare hanno applicato un
doppio riscatto: uno per fornire la chiave di cifratura dei dati (che ovviamente non era necessaria in questo caso), l'altra
per non diffondere pubblicamente le informazioni sul web.
È questo indizio che restringe la rosa dei possibili gruppi dietro all'attacco. Il doppio riscatto è stato ideato per la prima volta dal
gruppo Maze, come rimedio per guadagnare comunque, anche in presenza di eventuali backup. È risaputo però che i gruppi che vantano di essere dietro a Maze sono almeno tre, tutti di lingua russa. Con il tempo questa idea ha avuto
più di un'imitazione, quindi è impossibile determinare con certezza chi è dietro all'attacco.
Nel caso dell'Università dello Utah ha giocato un ruolo importante nel prendere decisioni anche la presenza di un'
assicurazione informatica: un investimento che sempre più aziende stanno valutando per contenere i danni di eventuali attacchi. Come sottolineano molti
esperti di cyber security, infatti, la domanda oggi non è più se si verificherà un attacco, ma quando. In quest'ottica disporre di un'assicurazione può abbassare notevolmente i costi e fare la differenza per una ripresa del lavoro economicamente sostenibile.
Nella
nota ufficiale diffusa dall'ateneo si legge che "
dopo un'attenta valutazione, l'università ha deciso di concerto con il suo fornitore di assicurazione informatica di pagare gli attaccanti […] per assicurarsi che le informazioni rubate non venissero pubblicate su Internet".
"
I server del CSBS – prosegue la nota -
sono stati immediatamente isolati dal resto dell'infrastruttura e da Internet. L'università ha denunciato quanto accaduto alle forze dell'ordine, e ha iniziato a indagare coinvolgendo un consulente esterno con esperienza nella gestione di questo tipo di situazioni ".
Password e sistemi di prevenzione
L'università ha esortato studenti e dipendenti a
cambiare le proprie password, scegliendo
chiavi complesse, che dovranno essere cambiate regolarmente per ostacolare quanto più possibile il lavoro dei cyber criminali.
Sottolinea inoltre di avere fatto in passato investimenti sostanziali in tecnologia per monitorare e proteggere la comunità universitaria contro gli attacchi, compresi quelli ransomware. Le reti e l'infrastruttura IT vengono monitorati 24 ore al giorno e l'ambiente IT è continuamente controllato per identificare eventuali vulnerabilità.
La struttura però, per stessa ammissione dei gestori, ha ancora delle vulnerabilità, dovute alla
natura decentralizzata dell'ateneo e alle complesse esigenze di calcolo. A seguito dell'attacco verranno adottati ulteriori provvedimenti, fra cui il trasferimento di tutti i sistemi universitari in un ambiente centralizzato più sicuro e protetto.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News!
Seguici