Nel mese di luglio il College of Social and Behavioral Science (CSBS) dell'Università dello Utah è caduto vittima di un attacco ransomware. Ha pagato ai cyber criminali oltre 457.000 dollari. Parte del riscatto è stata coperta dall'assicurazione informatica.

La cifra non è astronomica come quella sborsata dall'Università della California per un episodio analogo, ma è comunque rilevante. E conferma l'esigenza sempre più inderogabile per gli atenei e in generale il settore dell'education di proteggere adeguatamente le proprie infrastrutture dagli attacchi informatici.

Non ci sono informazioni ufficiali sul tipo di ransomware usato per l'attacco. Tuttavia, l'ateneo ha confermato l'accaduto e il fatto che l'infezione ha colpito solo una minima dei dati memorizzati sui suoi server. Si tratta in particolare delle informazioni relative a dipendenti e studenti. Informazioni che peraltro è stato possibile ripristinare sfruttando i backup funzionanti di cui l'università disponeva.
Allora perché pagare? Perché i cyber criminali a quanto pare hanno applicato un doppio riscatto: uno per fornire la chiave di cifratura dei dati (che ovviamente non era necessaria in questo caso), l'altra per non diffondere pubblicamente le informazioni sul web. 

È questo indizio che restringe la rosa dei possibili gruppi dietro all'attacco. Il doppio riscatto è stato ideato per la prima volta dal gruppo Maze, come rimedio per guadagnare comunque, anche in presenza di eventuali backup. È risaputo però che i gruppi che vantano di essere dietro a Maze sono almeno tre, tutti di lingua russa. Con il tempo questa idea ha avuto più di un'imitazione, quindi è impossibile determinare con certezza chi è dietro all'attacco.

Nel caso dell'Università dello Utah ha giocato un ruolo importante nel prendere decisioni anche la presenza di un'assicurazione informatica: un investimento che sempre più aziende stanno valutando per contenere i danni di eventuali attacchi. Come sottolineano molti esperti di cyber security, infatti, la domanda oggi non è più se si verificherà un attacco, ma quando. In quest'ottica disporre di un'assicurazione può abbassare notevolmente i costi e fare la differenza per una ripresa del lavoro economicamente sostenibile.

Nella nota ufficiale diffusa dall'ateneo si legge che "dopo un'attenta valutazione, l'università ha deciso di concerto con il suo fornitore di assicurazione informatica di pagare gli attaccanti […] per assicurarsi che le informazioni rubate non venissero pubblicate su Internet".

"I server del CSBS – prosegue la nota - sono stati immediatamente isolati dal resto dell'infrastruttura e da Internet. L'università ha denunciato quanto accaduto alle forze dell'ordine, e ha iniziato a indagare coinvolgendo un consulente esterno con esperienza nella gestione di questo tipo di situazioni ".

Password e sistemi di prevenzione

L'università ha esortato studenti e dipendenti a cambiare le proprie password, scegliendo chiavi complesse, che dovranno essere cambiate regolarmente per ostacolare quanto più possibile il lavoro dei cyber criminali.

Sottolinea inoltre di avere fatto in passato investimenti sostanziali in tecnologia per monitorare e proteggere la comunità universitaria contro gli attacchi, compresi quelli ransomware. Le reti e l'infrastruttura IT vengono monitorati 24 ore al giorno e l'ambiente IT è continuamente controllato per identificare eventuali vulnerabilità.

La struttura però, per stessa ammissione dei gestori, ha ancora delle vulnerabilità, dovute alla natura decentralizzata dell'ateneo e alle complesse esigenze di calcolo. A seguito dell'attacco verranno adottati ulteriori provvedimenti, fra cui il trasferimento di tutti i sistemi universitari in un ambiente centralizzato più sicuro e protetto.