Numerosi portali web della Chiesa italiana, come i portali delle Diocesi di Taranto, Andria, Pavia, Torino, Trento e di molte altre non sono raggiungibili a causa di un cyber attack.
Cosa è accaduto
Nella notte tra domenica e lunedì infatti la società IDS-UNITELM (che fornisce servizio informatico per molte diocesi italiane) ha subìto un attacco informatico che ha colpito i servizi informatici della CEI.
I server non coinvolti sono stati messi prudenzialmente offline ed i tecnici stanno lavorando per ripristinare i servizi.
“Siamo certi – comunicano da IDS-UNITELM – che comprenderete la delicatezza del momento e provvederemo a tenervi informati sui tempi di ripresa del servizio che al momento non siamo in grado di stimare. Grazie per la comprensione e la pazienza”.
I sistemi coinvolti fanno parte del Progetto Pweb che stato ideato per consentire alle parrocchie italiane di gestire in autonomia e con assoluta semplicità il proprio sito web, attraverso una piattaforma online dedicata funzionante ormai da 10 anni.
La notizia
Come riporta il sito Il Disinformatico di Paolo Attivissimo gli aggressori hanno criptato circa 800 macchine virtuali dell’ICSC (Istituto Centrale Sostentamento Clero) gestite da IDS & Unitelm, che fornisce i servizi diocesani.
Il problema principale è che sarebbero stati criptati anche i backup di queste macchine virtuali, e soprattutto i programmi gestionali. Non ci sono invece indicazioni di fughe di dati.
Sono quindi in tilt quasi tutte le attività informatiche degli istituti diocesani, e molti dei siti diocesani di tutta Italia (quelli con il nome diocesi.[nome-città].it e altri) sono irraggiungibili.
Per esempio sono offline o “in manutenzione” quella di Taranto, Andria, Pavia , Torino, Messina, tutti gestiti da IDS tramite Glauco.it. Anche Chiesadibologna mostra la stessa schermata di manutenzione.
A conferma di quanto avvenuto un comunicato della Chiesa di Milano che riporta:
Tra la sera di domenica 15 novembre e la mattina di lunedì 16 i DataCenter della società presso cui sono ospitati i siti del network Chiesadimilano.it e il server di posta elettronica della Diocesi di Milano hanno avuto un grave problema informatico.
Potete verificare le altre diocesi bloccate l’elenco delle diocesi italiane è qui su Wikipedia.
È probabile che il malware usato sia DarkSide: il nuovo ransomware che richiede riscatti da milioni di dollari
Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro.
Gli attacchi alla Chiesa
Ma gli attacchi alla Santa Sede non sono storia nuova. In un interessante articolo su infosec.news, Umberto Rapetto spiega le ragioni dell’attacco alla Chiesa Cattolica di Hong Kong.
è forse fin troppo ovvio l’interesse di Pechino a spiare quel che pensano, dicono e scrivono gli alti prelati che si scambiano opinioni, danno disposizioni ed indirizzi, si confrontano e inviano documenti attraverso i moderni sistemi di comunicazione.
L’intelligence cinese ha così ritenuto opportuno e indispensabile andare a curiosare nei computer e nelle reti a disposizione del Vaticano e dei suoi rappresentanti.
La tipologia dell’attacco (lo “spearphishing”) rende secondaria l’identificazione puntuale del “cecchino”, anche perché ci si trova dinanzi a tecniche consolidate che non hanno segreti per chi mastica da anni queste cose. Ci si trova, infatti, dinanzi ad una massiccia azione di “phishing” (ovvero l’invio di messaggi fraudolenti attraverso la posta elettronica) indirizzata non ad una platea indiscriminata ma ad uno specifico contesto organizzativo (solitamente una azienda e nella fattispecie la Chiesa Cattolica). Le mail che costituiscono i proiettili contengono “allegati” oppure “link” che avvelenano i dispositivi (pc, tablet e smartphone) dei destinatari. La mitragliata virtuale determina l’esfiltrazione di documenti e dati riservati memorizzati dalle vittime e certo non destinati alla divulgazione, conclude Rapetto.
Il Ransomware
Gli attacchi di riscatto informatico, il Ransomware appunto, stanno crescendo molto rapidamente.
I più recenti hanno colpito colossi come la Software AG, () , una delle più grandi società di software al mondo, dove il gruppo di pirati informatici Clop ha chiesto più di 20 milioni di dollari all’azienda tecnologica tedesca per ripristinare i sistemi informatici.
Poco tempo prima il ransomware Ragnar Locker aveva paralizzato gran parte della infrastruttura IT della compagnia marittima francese CMA CGM, colpendo molti dei suoi uffici cinesi e bloccando il sistema di prenotazione.
Ma quello che ha fatto più scalpore (per via dei nomi di famosi artisti) è l’attacco informatico allo studio legale di New York Grubman Shire Meiselas & Sacks, che rappresenta artisti di alto profilo come Lady Gaga, Madonna, U2, Mariah Carey e Bruce Springsteen. In quell’occasione un gruppo di cracker, utilizzando il ransomware REvil, ha rubato 750 GB di dati dai computer dello studio minacciano di pubblicare i documenti riservati rubati se non sarà pagato loro il riscatto richiesto.
Non sono state risparmiate neanche le organizzazioni sanitarie, anzi sono sempre più prese di mira dagli attacchi informatici perché i dati personali in loro possesso rappresentano una miniera d’oro per i cyber criminali.
Come difendersi
Il CERT-PA, acronimo di Computer Emergency Response Team Pubblica Amministrazione ha pubblicato nel 2019 una guida: Azioni utili per contrastare l’esecuzione e la diffusione di malware.
No More Ransom è un’altra iniziativa, nata nel 2016, intrapresa dal National High Tech Crime Unit della polizia olandese, dall’ European Cybercrime Centre dell’Europol e McAfee, con l’obiettivo di aiutare le vittime del ransomware a recuperare i loro dati criptati, senza dover pagare i cybercriminali.
Il portale, inizialmente rilasciato in inglese, è disponibile in altre 35 lingue. Inglese, coreano, olandese, russo e portoghese sono le 5 lingue principali, seguite da francese, cinese, tedesco, spagnolo e italiano, ecc….
La prevenzione rimane però la difesa più efficace. Occorre capire che seguire una serie di semplici azioni può evitare il contagio di ransomware: effettuare sempre i backup tenerli offline, assicurarsi che il software sia aggiornato, utilizzare un antivirus affidabile e prestare attenzione quando si fa clic su allegati sconosciuti.