da The Conversation

— questo post è stato creato da Riccardo Forno, Università del Maryland, Contea di Baltimora

I sistemi informatici del governo nella contea di Hall, in Georgia, compreso un database delle firme degli elettori, erano colpito da un attacco ransomware all'inizio di questo autunno nel primo attacco ransomware noto all'infrastruttura elettorale durante le elezioni presidenziali del 2020. Per fortuna, i funzionari della contea hanno riferito che il processo di voto per i suoi cittadini non è stato interrotto.

Per favore condividi questo articolo – Vai all'inizio della pagina, sul lato destro, per i pulsanti dei social media.

L'attacco segue sulla scia di a attacco ransomware il mese scorso su eResearchTechnology, una società che fornisce software utilizzato negli studi clinici, compresi gli studi per test, trattamenti e vaccini COVID-19. Meno di una settimana dopo la rivelazione dell'attacco in Georgia, il Avvertì l'FBI che i criminali informatici hanno scatenato un'ondata di attacchi ransomware contro i sistemi informativi ospedalieri.

Attacchi come questi sottolineano le sfide che gli esperti di sicurezza informatica affrontano quotidianamente e che incombono sulle imminenti elezioni. Come un professionista e ricercatore di cybersecurity, posso attestare che non esiste un proiettile d'argento per sconfiggere le minacce informatiche come il ransomware. Piuttosto, difendersi contro di loro si riduce alle azioni di migliaia di personale IT e milioni di utenti di computer in organizzazioni grandi e piccole in tutto il paese, abbracciando e applicando le buone pratiche informatiche di base e le procedure IT che sono state promosse per anni.

Gli attacchi ransomware spesso colpiscono i sistemi informatici del governo locale, il che rappresenta una sfida per la protezione delle elezioni. PRImageFactory/iStock tramite Getty Images

Che cosa è ransomware?

Il ransomware è una forma di software dannoso, o malware, che in genere crittografa i file del computer della vittima, tiene i file in ostaggio e quindi richiede un pagamento per inviare la chiave di decrittazione che sblocca i file. I singoli pagamenti di ransomware di solito vanno da poche centinaia a poche migliaia di dollari, con l'aspettativa che un importo in dollari relativamente basso motiverà la vittima a pagare rapidamente l'attaccante per porre fine all'incidente.

Gli attacchi ransomware iniziano spesso tramite e-mail come un tipico phishing messaggio che pretende di provenire da qualcuno di cui la potenziale vittima si fida, come un collega o un amico. Tuttavia, i tipi emergenti di ransomware sfruttano le vulnerabilità di sicurezza esistenti o scoperte di recente – in altre parole, si introducono – per ottenere l'accesso al sistema senza richiedere alcuna interazione da parte dell'utente.

Una volta che un sistema informatico è compromesso, ci sono molte cose che un attacco ransomware può fare. Ma il risultato più comune è la crittografia dei dati di un utente per conservarli per il pagamento di un riscatto. In altri casi, il ransomware crittografa i dati di una vittima e il creatore del ransomware minaccia di rilasciare informazioni personali o sensibili su Internet a meno che non venga pagato il riscatto.

Un tipico attacco ransomware prende il controllo dei file del computer di una vittima e li trattiene per ottenere un riscatto. So5146/Wikimedia, CC BY-SA

Mentre gli attacchi ransomware possono colpire qualsiasi utente o organizzazione di Internet, gli aggressori tendono a prendere di mira entità note per avere difese di sicurezza informatica meno robuste, tra cui ospedali, sistemi sanitari e computer del governo statale o locale. Ma l'assistenza sanitaria rimane un obiettivo allettante del ransomware: nel 2019, 759 operatori sanitari negli Stati Uniti sono stati colpiti. Nel complesso, gli attacchi ransomware costano agli utenti e alle aziende oltre $ 7 miliardi di dollari nel 2019 a seguito di riscatti pagati o di costi sostenuti per riprendersi dagli attacchi.

Il pedaggio del ransomware

Il primo incidente di ransomware di alto profilo è stato lanciato dalla Corea del Nord nel 2017. Utilizzando un malware chiamato "Voglio piangere”, gli aggressori hanno paralizzato il servizio sanitario nazionale britannico. Gli ospedali hanno perso l'accesso ai loro sistemi informatici e le cure di routine e di emergenza sono state interrotte. Ma quella era un'anteprima delle cose a venire: nel 2020, un paziente in Germania è morto dopo essere stato deviato in un altro ospedale a causa di un incidente di ransomware.

Nel 2020, durante la pandemia di COVID-19, un attacco ransomware paralizzato oltre 250 strutture mediche gestito da Universal Health Services con sede in America. Presso eResearchTechnology, il personale che conduceva studi clinici COVID-19 era bloccato fuori dai loro dati e incapace di condurre affari per quasi due settimane.

E non sono solo le organizzazioni sanitarie. La città di Atlanta era paralizzato da ransomware nel 2018. Baltimora era allo stesso modo paralizzato nel 2019. In entrambi i casi, i servizi della città – dalla riscossione delle tasse e licenze commerciali alle transazioni immobiliari – non erano disponibili per i cittadini. Anche numerose città più piccole in tutto il mondo sono state colpite da attacchi ransomware.

Tuttavia, anche le organizzazioni con buone politiche e procedure IT lo trovano estremamente costoso per indagare e recuperare dagli attacchi ransomware, indipendentemente dal fatto che paghino o meno il riscatto. Ad esempio, il backup dei dati di routine di un'organizzazione può anche includere inavvertitamente codice ransomware. Ciò significa che le vittime devono garantire non stanno ripristinando l'infezione ransomware quando ricostruiscono i loro sistemi dopo un attacco. A seconda delle procedure di backup della vittima, l'individuazione di un backup privo di ransomware può richiedere molto tempo.

Ransomware ed elezioni 2020

Le elezioni del 2016 hanno sottolineato l'importanza di garantire la sicurezza e l'integrità delle informazioni relative alle operazioni governative, comprese le elezioni. Sfortunatamente, per molti governi statali e locali, le preoccupazioni relative al ransomware sono solo un'altra in a lunga serie di problemi con cui i team di sicurezza informatica devono fare i conti durante i periodi di budget e personale limitati.

Molto è già stato scritto sullo stato vulnerabile e fragile dei sistemi elettorali americani, che vanno dai sistemi operativi obsoleti installati sulle macchine per il voto a reti e sistemi insicuri che scambiano e archiviano tabulazioni dei voti, fino a garantire la protezione dei database di registrazione degli elettori.

A rendere questa situazione più difficile è che molti governi locali non sanno cosa sta succedendo sulle loro reti. UN sondaggio a livello nazionale condotto dai ricercatori dell'Università del Maryland, nella contea di Baltimora, nel 2016 ha riferito che quasi il 30% dei funzionari del governo locale non saprebbe se un attacco informatico li stava colpendo. Questa mancanza di consapevolezza significa che un attacco potrebbe essere ben avviato e causare il caos prima che i team di sicurezza se ne rendano conto, figuriamoci rispondere.

Il voto è vulnerabile agli attacchi informatici in diversi punti, dalle liste di registrazione degli elettori ai database delle firme degli elettori e ai computer che tabulano i voti. Foto AP / Tony Dejak

Nonostante una crescente consapevolezza della minaccia, il ransomware ha il potenziale per influenzare negativamente le elezioni del 2020. Sfortunatamente, se ormai gli uffici elettorali statali e locali non hanno implementato solide protezioni di sicurezza informatica, è probabilmente troppo tardi per fare qualcosa di significativo dato che il voto è a buon punto. Quindi non sorprende che gli uffici elettorali di tutta l'America stiano prendendo in considerazione potenziali scenari da incubo che includono attacchi informatici che potrebbero interrompere le attività elettorali.

Carburante per la disinformazione

Le elezioni si basano sulla fiducia: fiducia nei meccanismi e nelle procedure di voto, fiducia nei dati di voto e fiducia nell'intero processo elettorale. Ma la fiducia in tutti questi elementi è sotto attacco attivo dagli avversari entrambi a casa e dall'estero utilizzando una varietà di tecniche di influenza e disinformazione che sono diventati più raffinato dal 1991.

Per fortuna, è improbabile che gli attacchi ransomware paralizzino l'intera elezione degli Stati Uniti dato il natura decentralizzata delle giurisdizioni e dei sistemi di voto. Tuttavia, anche pochi attacchi riusciti potrebbero contribuire alle campagne di disinformazione che minano la fiducia nell'esito delle elezioni.

[Competenza nella tua casella di posta. Iscriviti alla newsletter di The Conversation e ricevi le revisioni degli esperti sulle notizie di oggi, ogni giorno.]

Come ridurre il rischio

A questo punto, dal momento che le elezioni sono già in corso, i governi statali e locali dovrebbero aumentare il monitoraggio dei loro sistemi informatici e implementare controlli di sicurezza ancora più severi su tutti i dispositivi o computer che potrebbero toccare in qualsiasi modo le reti legate alle elezioni. Anche la condivisione di informazioni in tempo reale sulle minacce e la collaborazione con il DHS, l'FBI e l'Ufficio del direttore delle squadre di sicurezza elettorale dell'intelligence nazionale, insieme agli uffici elettorali di altri stati, contribuiranno a tenere informati i funzionari elettorali. Inoltre, principali fornitori di tecnologia e Esercito americano stanno adottando misure attive per interrompere le minacce alla sicurezza informatica, incluso il ransomware, che potrebbero colpire il processo elettorale.

Microsoft ha intrapreso un'azione legale questo mese per interrompere un'importante botnet, una rete digitale di criminalità informatica che utilizzava più di 1 milione di computer zombi per diffondere ransomware. Foto di AP/Michel Spingler

Come per la maggior parte dei problemi di sicurezza informatica, la minaccia ransomware può essere ridotta al minimo implementando le migliori pratiche di buon senso, molte delle quali sono state consigliato da decenni ma spesso non vengono seguiti. Questi includono il mantenimento dei sistemi aggiornati, la garanzia che il software di sicurezza sia installato e aggiornato, il monitoraggio delle attività di rete e l'implementazione di politiche e procedure IT appropriate per includere pratiche di backup resilienti. Per i singoli utenti, pensare prima di fare clic su un collegamento e-mail, anche da persone che conosci, è un'eccellente autodifesa per ridurre le probabilità di successo di molti ransomware o attacchi di phishing.

Nessuna di queste pratiche è specifica per la minaccia ransomware o la sicurezza elettorale. Ma per questa e altre minacce informatiche, la cosa migliore da fare è continuare a implementare e applicare quelle best practice di protezione delle informazioni basate sul buon senso e vecchie di decenni che possono aiutare a proteggersi dalla gamma sempre più ampia di minacce informatiche, incluso il ransomware.

Riccardo Forno, Docente senior, ricercatore in sicurezza informatica e Internet, Università del Maryland, Contea di Baltimora

Questo articolo è ripubblicato da The Conversation sotto una licenza Creative Commons. Leggi il articolo originale.

.