Il CISA (Cybersecurity and Infrastructure Security Agency) in modo congiunto con l’FBI (Federal Bureau of Investigation ) e l’MS-ISAC (Multi-State Information Sharing and Analysis Center) hanno lanciato un allarme riguardo a una nuova tendenza di attacco dei criminal hacker che sta sempre più prendendo di mira il settore scolastico di ogni ordine e grado (scuole materne, primarie e secondarie) con ransomware, furto di dati e interruzione dei servizi della didattica a distanza.
Il passaggio repentino delle scuole, per forza maggiore, all’apprendimento a distanza (la DAD in Italia), avendo creato delle serie lacune nella sicurezza informatica e aumentato le vulnerabilità, ha portato gli attori di queste minacce a considerare sia la forte crescita dell’utenza di piattaforme didattiche online che il potenziale guadagno derivante da un’appropriazione indebita d’informazioni e dati di studenti e corpo docente come delle opportunità altamente redditizie e sfruttabili in attacchi di vario genere.
Sebbene il rapporto si riferisca a quanto emerso negli Stati Uniti, l’acutizzarsi di tale fenomeno a causa principalmente di fattori correlati alla pandemia COVID-19 è riscontrabile in tutti i Paesi anche durante l’attuale anno accademico in corso.
Lo scenario delle minacce osservato
È dal mese di dicembre 2020 che FBI, CISA e MS-ISAC continuano a ricevere rapporti da istituti d’istruzione primaria e secondaria in merito ad attacchi malware e DDoS da parte di attori cyber malevoli che hanno creato non pochi disservizi alla didattica e alla privacy di studenti, docenti e personale amministrativo.
Shlayer (con incidenza del 39%) e ZeuS (con incidenza del 22%) sono stati i malware più diffusi e rilevati durante quest’anno fino al mese di settembre.
In particolare:
- Shlayer è un trojan downloader e dropper (l’unico malware tra i primi 10 che prende di mira i sistemi MacOS) che viene distribuito principalmente attraverso siti Web dannosi, dirottamenti e malvertising.
- ZeuS è un trojan che si presenta con diverse varianti e prende di mira i sistemi operativi Microsoft Windows per carpire informazioni e inviarle a presidi di comando e controllo.
- Altri ceppi di malware rilevati appartengono alle famiglie Agent Tesla (incidenza del 9%), NanoCore (8%), CoinMiner (6%), Gh0st (5%), Kovter Cerber (4%) e IRC Bot e Dridex (3%).
Anche gli attacchi ransomware hanno registrato una presenza rilevante. Adottando le tattiche già collaudate e sfruttate contro il settore aziendale e industriale, i criminal hacker hanno rubato e minacciato di divulgare dati riservati degli studenti e del personale docente salvo il pagamento di un riscatto, oltre che rallentare l’accesso ai servizi didattici (incluso l’apprendimento a distanza) o rendere gli stessi sistemi inaccessibili.
Secondo i dati dell’MS-ISAC, gli incidenti ransomware che hanno coinvolto scuole primarie e secondarie sarebbero aumentati a ridosso dell’inizio dell’anno scolastico 2020 e sulla base di fonti OSINT e segnalazioni di terze parti i cinque ransomware più comuni, identificati tra gennaio e settembre, sarebbero stati Ryuk, Maze, Nefilim, AKO e Sodinokibi / REvil.
Numerose anche le segnalazioni ricevute da FBI, CISA e MS-ISAC che indicano interruzioni delle funzionalità delle piattaforme a supporto della didattica a distanza, limitando o impedendo le operazioni quotidiane degli studenti, perpetrate attraverso attacchi DDoS o interferenze in real-time da parte d’intrusi nelle sessioni di videoconferenza includendo molestie verbali, visualizzazione di immagini e atti di doxing.
I rischi ulteriori
Oltre a queste segnalazioni gli stessi organi di vigilanza e contrasto al cyber crime (FBI, CISA e MS-ISAC), avvertono di non sottovalutare comunque tutti gli ulteriori altri stratagemmi e canali possibili sfruttabili dai criminal hacker in questo contesto:
- I metodi di ingegneria sociale e phishing contro studenti, genitori, docenti, personale IT o altre persone coinvolte nell’apprendimento a distanza, allo scopo di indurre le vittime a rivelare informazioni e credenziali personali.
- Le tecniche di spoofing dei domini e di attacchi omografici, con i quali i criminali informatici registrano domini con nomi simili a siti Web legittimi.
- I servizi RDP (Remote Desktop Protocol) poco sicuri ed esposti, con i quali è possibile ottenere accessi abusivi a una rete, per esfiltrare informazioni sensibili, raccogliere credenziali e distribuire un’ampia varietà di malware (ransomware compresi).
- Il mancato aggiornamento del software. L’EOL (End-of-Life) dei software viene puntualmente sfruttato per ottenere accessi illegittimi, il defacement di siti Web etc. Una volta che un prodotto raggiunge l’EOL, i clienti non ricevono più aggiornamenti di sicurezza, supporto tecnico e patch. I sistemi vulnerabili possono essere così sfruttati per ostacolare la capacità operativa di un’organizzazione.
Conclusioni
Come rimarcato dallo stesso CISA, tutti questi fattori di rischio e problemi riscontrati dovranno essere presi in considerazione e risolti incoraggiando tutte le istituzioni scolastiche a mantenere i piani di continuità nelle emergenze come nei casi di attacchi informatici, per ridurre al minimo le interruzioni delle attività didattiche e amministrative, consapevole anche del fatto che sarà sicuramente impegnativo da parte di tutti far fronte alle limitazioni di risorse finanziarie e cercare nel contempo un buon compromesso tra le misure di mitigazione del rischio da adottare e gli investimenti effettivi da destinare alla sicurezza informatica.
Il rapporto pubblicato suggerisce anche un elenco di contromisure da attuare per prevenire l’esposizione a tali minacce informatiche.
Che il Google down globale di ieri (accidentale o doloso che sia stato) che ha, di fatto, interrotto anche la regolare attività in DAD nelle nostre scuole possa rappresentare un ulteriore monito.
