evoluzione minacce informatiche

L’evoluzione delle minacce informatiche nella PA italiana: a cosa stare più attenti

Nell’ambito della pubblica amministrazione (PA), il tema della cyber security presenta ormai carattere di urgenza. Negli ultimi anni, infatti, l’evoluzione delle minacce informatiche verso la PA italiana è stata esponenziale e ha causato ingenti danni. 

Il rischio di attacchi cyber da parte di hacker è in costante aumento in ambito pubblico. La situazione delle PA italiane è tutt’altro che positiva, fra i Paesi del G7, l’Italia occupa l’ultima posizione nel rapporto tra spesa per la cyber security e Prodotto Interno Lordo.

A conferma di questa evoluzione il documento di sicurezza nazionale del Dipartimento delle informazioni per la sicurezza (DIS) evidenzia un incremento, negli ultimi due anni, del 20% dei cyber attacchi. Di questi, l’80% è rivolto verso le PA.

Solo lo scorso anno, il 68% degli attacchi informatici ha colpito le PA. Probabilmente, proprio per la natura del loro ruolo, che implica un’interazione sempre maggiore e diretta con i dati sensibili, informazioni private e servizi primari sul territorio. Ciò le rende appetibili per gli Hacker e le espone direttamente alle minacce informatiche.

Inoltre, quello che segna un’evoluzione nelle minacce informatiche verso la PA, in quest’ultimo anno, è l’obiettivo dell’attacco. Non più solo estorcere denaro ed esfiltrare dati, ma creare soprattutto disservizi e paralisi delle funzioni pubbliche per colpire lo Stato. 

Evoluzione delle minacce informatiche verso la PA italiana: attenzione ai ransomware

Come anticipato, ciò che più fa gola ai cyber criminali nelle PA sono proprio la complessità e la particolarità delle tipologie di informazioni trattate. Essendo complessa e dispersa anche l’organizzazione dell’infrastruttura IT nelle PA, spesso gli hacker trovano degli asset esposti che consentono l’accesso agli hacker. Ma non solo, spesso ad essere sfruttate sono le vulnerabilità umane.

Ma quali sono le minacce informatiche che hanno maggiormente colpito le PA italiane nell’ultimo anno? Il primato nella tipologia di minaccia informatica contro una pubblica amministrazione è sicuramente l’attacco ransomware

Il ransomware è un malware che se inserito in un dispositivo informatico, ne cripta i dati contenuti all’interno, mediante l’uso di algoritmi di crittografia originariamente creati per la sicurezza di comunicazioni legittime.

L’attaccante mantiene la chiave pubblica sul sistema dell’utente, trattenendo a sé la chiave privata, e a quel punto può chiedere un riscatto (ransom) al proprietario, solitamente in criptovalute, per rendere non tracciabili i movimenti. 

Come si diffonde il ransomware nella PA?

I metodi con cui i cyber criminali diffondo ransomware sono molteplici, i più frequenti ed usati negli attacchi verso le PA italiane sono:

  • e-mail di phishing;
  • banner pubblicitari;
  • software da scaricare e che al loro interno hanno già un malware;
  • siti compromessi su cui navigano le vittime.

Una volta nel sistema, il cyber criminale pone la vittima di fronte ad una scelta: pagare il riscatto e riguadagnare tutti i dati sottratti e gli accessi ai sistemi, o non cedere al ricatto ed essere impedito nello svolgimento delle sue normali attività lavorative.

Spesso, per mettere pressione alla vittima, l’attaccante intima un termine allo scadere del quale parte dei dati sono pubblicati nel dark web (tecnica, questa, della cd. doppia estorsione).

Per aumentare ulteriormente la pressione sulla pubblica amministrazione attaccata, si può far combaciare l’attacco ransomware con uno di tipo DoS (Denial of Service). Ovvero, in DoS che sovraccarica il server del sito, convogliando una grande quantità di richieste che non è in grado di sopportare, impedendo dunque alle richieste di utenti legittimi di poter essere gestite.

Chiarito cosa sono e come si diffondono i ransomware, diventa chiaro perché le PA italiane sono oggetto di queste minacce informatiche. L’evoluzione delle minacce informatiche con il conflitto russo-ucraino ha assunto un obiettivo ulteriore a quello del riscatto. Ovvero, quello di paralizzare le funzioni pubbliche per intimidire gli stati attaccati. Questa è l’evoluzione delle minacce informatiche che nell’ultimo anno ha paralizzato e messo in difficoltà molteplici PA, tra Comuni, Regioni e strutture sanitarie.

I recenti attacchi ransomware alle PA Italiane: Regioni, Comuni e strutture sanitarie

La pubblica amministrazione italiana negli ultimi due anni è stata insistentemente oggetto di cyber attacchi. Molti i casi di data breach e di down dei siti istituzionali. Con l’obiettivo è non solo esfiltrare dati per indurre le PA a pagare i riscatti ma anche per generare caos nelle funzioni dello Stato. Di seguito alcuni esempi eclatanti di attacchi alla PA italiana.

Attacco ransomware alla Regione Sardegna

La Regione Sardegna già nei primi mesi del 2022 ha subito un attacco ransomware alle infrastrutture IT in cui un grande quantitativo di dati è stato rubato.

Nel proseguire dei mesi e precisamente a giugno, la cyber gang QuantumLocker ha rivendicato l’attacco pubblicando nel dark web migliaia di dati sensibili esfiltrati di dipendenti ed utenti della direzione generale. 

Ma non solo, l’oggetto della divulgazione sono dati anagrafici (documenti di identità, curriculum vitae, numeri di cellulare), dati sanitari, informazioni sul proprio stato patrimoniale e finanziario. Complessivamente si tratta di migliaia di file pari circa a 155 gigabytes.

Sul dark web, sarebbero finiti anche verbali di verifiche e sopralluoghi relativi ad abusi edilizi con migliaia di foto allegate, cartelle esattoriali, informazioni sul demanio marittimo.

Questo attacco è considerato tra i più gravi furti di dati a scapito di una pubblica amministrazione italiana. L’evoluzione della minaccia in questo caso specifico si nota nel tempo in cui si è protratto l’attacco.

Attacco ransomware al Comune di Palermo

Il Comune di Palermo i primi di giugno del 2022 ha subito un grave attacco ransomware alle sue infrastrutture tecnologiche con conseguente furto dati e blocco del sito istituzionale per circa 10 giorni. L’attacco è stato rivendicato dalla cyber gang Vice Society. Ha dato un ultimatum al Comune per il pagamento del riscatto in bitcoin per evitare la pubblicazione dei dati sul dark web.

Prima dello scadere del tempo, migliaia di dati sensibili sono stati diffusi e messi in vendita nel dark web. Anche qui, oltre al danno ad utenti e dipendenti per la diffusione dei dati, le funzionalità del Comune hanno subito una paralisi di 10 giorni.

Attacco ransomware all’ ASL di Torino

L’Azienda Sanitaria Locale della città di Torino ad agosto 2022 per diversi giorni ha affrontato l’emergenza informatica legata ad un attacco ransomware subito dalla propria infrastruttura.

Con danni e disagi importanti per i cittadini che non hanno potuto effettuare o prenotare prestazioni sanitarie su 4 plessi ospedalieri colpiti: Giovanni Bosco, Maria Vittoria, Martini e Oftalmico.

In attacchi di questo è evidente l’evoluzione delle minacce informatiche negli ultimi anni, i criminali hanno sfrutta emergenze come quelle da Covid-19 e la guerra tutt’oggi in atto per alimentare caos e paura. Forzare lo Stato, le PA e le organizzazioni con lo scompiglio a pagare il riscatto.


Cyber-Threat-Intelligence WP