dad

La scuola nel mirino dei criminal hacker, il rapporto del CISA statunitense

di |

Gli Usa hanno lanciato un allarme riguardo a una nuova tendenza di attacco dei criminal hacker che sta sempre più prendendo di mira il settore scolastico di ogni ordine e grado (scuole materne, primarie e secondarie) con ransomware, furto di dati e interruzione dei servizi della didattica a distanza.

Il CISA (Cybersecurity and Infrastructure Security Agency) in modo congiunto con l’FBI (Federal Bureau of Investigation ) e l’MS-ISAC (Multi-State Information Sharing and Analysis Center) hanno lanciato un allarme riguardo a una nuova tendenza di attacco dei criminal hacker che sta sempre più prendendo di mira il settore scolastico di ogni ordine e grado (scuole materne, primarie e secondarie) con ransomware, furto di dati e interruzione dei servizi della didattica a distanza.  

Il passaggio repentino delle scuole, per forza maggiore, all’apprendimento a distanza (la DAD in Italia), avendo creato delle serie lacune nella sicurezza informatica e aumentato le vulnerabilità, ha portato gli attori di queste minacce a considerare sia la forte crescita dell’utenza di piattaforme didattiche online che il potenziale guadagno derivante da un’appropriazione indebita d’informazioni e dati di studenti e corpo docente come delle opportunità altamente redditizie e sfruttabili in attacchi di vario genere.

Sebbene il rapporto si riferisca a quanto emerso negli Stati Uniti, l’acutizzarsi di tale fenomeno a causa principalmente di fattori correlati alla pandemia COVID-19 è riscontrabile in tutti i Paesi anche durante l’attuale anno accademico in corso.

Lo scenario delle minacce osservato

È dal mese di dicembre 2020 che FBI, CISA e MS-ISAC continuano a ricevere rapporti da istituti d’istruzione primaria e secondaria in merito ad attacchi malware e DDoS da parte di attori cyber malevoli che hanno creato non pochi disservizi alla didattica e alla privacy di studenti, docenti e personale amministrativo.

Shlayer (con incidenza del 39%) e ZeuS (con incidenza del 22%) sono stati i malware più diffusi e rilevati durante quest’anno fino al mese di settembre.

In particolare:

  • Shlayer è un trojan downloader e dropper (l’unico malware tra i primi 10 che prende di mira i sistemi MacOS) che viene distribuito principalmente attraverso siti Web dannosi, dirottamenti e malvertising.
  • ZeuS è un trojan che si presenta con diverse varianti e prende di mira i sistemi operativi Microsoft Windows per carpire informazioni e inviarle a presidi di comando e controllo.
  • Altri ceppi di malware rilevati appartengono alle famiglie Agent Tesla (incidenza del 9%), NanoCore (8%), CoinMiner (6%), Gh0st (5%), Kovter Cerber (4%) e IRC Bot e Dridex (3%).

Anche gli attacchi ransomware hanno registrato una presenza rilevante. Adottando le tattiche già collaudate e sfruttate contro il settore aziendale e industriale, i criminal hacker hanno rubato e minacciato di divulgare dati riservati degli studenti e del personale docente salvo il pagamento di un riscatto, oltre che rallentare l’accesso ai servizi didattici (incluso l’apprendimento a distanza) o rendere gli stessi sistemi inaccessibili.

Secondo i dati dell’MS-ISAC, gli incidenti ransomware che hanno coinvolto scuole primarie e secondarie sarebbero aumentati a ridosso dell’inizio dell’anno scolastico 2020 e sulla base di fonti OSINT e segnalazioni di terze parti i cinque ransomware più comuni, identificati tra gennaio e settembre, sarebbero stati Ryuk, Maze, Nefilim, AKO e Sodinokibi / REvil.

Numerose anche le segnalazioni ricevute da FBI, CISA e MS-ISAC che indicano interruzioni delle funzionalità delle piattaforme a supporto della didattica a distanza, limitando o impedendo le operazioni quotidiane degli studenti, perpetrate attraverso attacchi DDoS o interferenze in real-time da parte d’intrusi nelle sessioni di videoconferenza includendo molestie verbali, visualizzazione di immagini e atti di doxing.

I rischi ulteriori

Oltre a queste segnalazioni gli stessi organi di vigilanza e contrasto al cyber crime (FBI, CISA e MS-ISAC), avvertono di non sottovalutare comunque tutti gli ulteriori altri stratagemmi e canali possibili sfruttabili dai criminal hacker in questo contesto:

  • I metodi di ingegneria sociale e phishing contro studenti, genitori, docenti, personale IT o altre persone coinvolte nell’apprendimento a distanza, allo scopo di indurre le vittime a rivelare informazioni e credenziali personali.
  • Le tecniche di spoofing dei domini e di attacchi omografici, con i quali i criminali informatici registrano domini con nomi simili a siti Web legittimi.
  • I servizi RDP (Remote Desktop Protocol) poco sicuri ed esposti, con i quali è possibile ottenere accessi abusivi a una rete, per esfiltrare informazioni sensibili, raccogliere credenziali e distribuire un’ampia varietà di malware (ransomware compresi). 
  • Il mancato aggiornamento del software. L’EOL (End-of-Life) dei software viene puntualmente sfruttato per ottenere accessi illegittimi, il defacement di siti Web etc. Una volta che un prodotto raggiunge l’EOL, i clienti non ricevono più aggiornamenti di sicurezza, supporto tecnico e patch. I sistemi vulnerabili possono essere così sfruttati per ostacolare la capacità operativa di un’organizzazione.

Conclusioni

Come rimarcato dallo stesso CISA, tutti questi fattori di rischio e problemi riscontrati dovranno essere presi in considerazione e risolti incoraggiando tutte le istituzioni scolastiche a mantenere i piani di continuità nelle emergenze come nei casi di attacchi informatici, per ridurre al minimo le interruzioni delle attività didattiche e amministrative, consapevole anche del fatto che sarà sicuramente impegnativo da parte di tutti far fronte alle limitazioni di risorse finanziarie e cercare nel contempo un buon compromesso tra le misure di mitigazione del rischio da adottare e gli investimenti effettivi da destinare alla sicurezza informatica.

Il rapporto pubblicato suggerisce anche un elenco di contromisure da attuare per prevenire l’esposizione a tali minacce informatiche.

Che il Google down globale di ieri (accidentale o doloso che sia stato) che ha, di fatto, interrotto anche la regolare attività in DAD nelle nostre scuole possa rappresentare un ulteriore monito.

Leggi le altre notizie sull’home page di Key4biz