Sono le 17:00 di un normale giovedì di lavoro e il personale dei
nostri uffici è al lavoro come sempre su PC e server. Manca ormai poco
alla fine della giornata e tutti sono di buon umore, anche perché un
nostro collega è appena rientrato da una trasferta di lavoro all’estero e
ha portato un pensierino gastronomico per tutti. Insomma, il clima in
ufficio è davvero rilassato e sereno.
Poi un
“lampo”: dagli
antivirus di due PC
scatta l’allarme. Nemmeno il tempo di guardare che cosa stia succedendo
ed ecco che i file PDF, XLS, WORD e PPT sono diventati improvvisamente
degli… MP3: criptati, senza possibilità di recupero!
Che cosa fare?
La risposta viene suggerita da una schermata nera:
“O speri in un miracolo e vedrai il prezzo raddoppiare, o inizia a procurarti i bitcoin…”
Queste sono le istruzioni che i signori “
malviventi”
(hacker?) hanno depositato nel nostro sistema, dopo aver reso
inutilizzabili (eh sì, nemmeno come MP3!) parte dei file sui nostri
server.
Ebbene sì, è successo anche a noi: siamo stati vittime del famigerato ransoware
Cryptolocker e
per fortuna (ma vedremo che non è solo fortuna) ci è andata bene.
Molte sono state, e tante altre lo saranno ancora, purtroppo, le
Aziende colpite da questo malware e messe in ginocchio dalle richieste
economiche dei criminali, senza alcuna certezza di veder ripristinati i
sistemi o la sicurezza che nessun dato sia stato trafugato, nemmeno
pagando il “riscatto”.
Prendere malware oggi è facile come prendere l’influenza (forse di
più). Quello che fa la differenza è quanto si è pronti ad un evento del
genere.
Che cosa è successo?
L’attivazione in simultanea di due scansioni di MCAfee ha fatto
scattare l’allarme; il tempo di provare ad aprire un paio di file sul
server e ci siamo resi conto di essere davanti al temutissimo
CRYPTOLOCKER.
In una sezione specifica di uno dei nostri server l’epidemia è stata
praticamente immediata, rendendo inutilizzabili tutti i file, a cui è
stata cambiata l’estensione.
In un primo momento è risultato difficile definire i danni provocati.
Il VIRUS in questione muta di giorno in giorno, e così anche gli
antivirus che DEVONO essere costantemente aggiornati: questa attività da
noi avviene frequentemente ed in automatico. La breccia per entrare è
stata creata probabilmente su un dispositivo sul quale l’antivirus non
risultava aggiornato da qualche giorno con le ultime patch a causa di
una trasferta lavorativa del suo proprietario.
Appena il PC infettato si è collegato al cavo di rete aziendale il
malware si è trasferito al server e, cosa più importante, il processo è
diventato bidirezionale: anche chi ha cercato di accedere a file sul
server, o ne aveva qualcuno già aperto, è stato attaccato.
All’interno di una cartella in cui risiedevano diverse macchine
virtuali (e che è stata la prima ad essere attaccata) è stata rivelata
la minaccia, ed abbiamo trovato anche l’immagine JPG con le istruzioni
per “pagare il riscatto”.
Che cosa abbiamo fatto subito?
L’unica cosa che si può fare – e che abbiamo fatto immediatamente – è
disconnettere dalla rete tutti i PC connessi alla rete per evitare la
propagazione del virus sui singoli terminali; il problema rimane
ovviamente (più grave sui server), ma almeno sono stati preservati i
dispositivi personali e soprattutto i dati che risiedono su di essi.
L’intervento tempestivo ha anche impedito il possibile invio di email o scambio di file con colleghi o clienti.
Un’altra cosa che è importantissimo fare il prima possibile è una
denuncia alla polizia informatica: purtroppo ad oggi questa è una pura
formalità e le possibilità di veder puniti i colpevoli è praticamente
nulla.
Perché fare denuncia allora? Semplice. Per conoscere meglio il
nemico, per presentare alle forze dell’ordine le nuove modalità di
attacco, ed un sacco di altri motivi ma soprattutto per senso civico.
In Italia la normativa che obblighi a denunciare questi episodi e
ancora acerba, e molti tendono a “nascondere la testa sottoterra”, come
se non fosse successo nulla: si ha paura di una cattiva pubblicità, di
ledere l’immagine aziendale ma non ci si rende conto che si fa solo il
male della società.
Come è possibile che in uno degli stati con il maggior numero di PC
infetti, ci sia una quantità di denunce praticamente irrisoria? Fino a
che faremo finta di niente sarà impossibile accrescere la cultura in
materia e l’Italia resterà per sempre arretrata sull’argomento.
Perché non abbiamo subito danni irreparabili
La questione non è più “come mi difendo da questo genere di
attacchi”, ma “come faccio a rimettermi in pista più velocemente
possibile”: non chiediamoci quando saremo attaccati, perché prima o poi
lo saremo (se già non lo siamo stati), ma pensiamoci prima per essere in
grado di ridurre i tempi di ripristino del sistema e di monitorare il
traffico in entrata e in uscita per essere sicuri di non avere perdita
di dati o altri “regalini” in futuro.
Un security e vulnerability assessment (con eventualmente penetration
test, sia dall’interno che dall’esterno) fatto su base periodica ci può
dare il polso della situazione e farci capire se protezioni e
contromisure che abbiamo scelto di mettere in atto possono essere
efficaci. E, in fase di revisione, valutarne anche di più aggiornate e
potenti.
L’utilizzo del Cloud in questo caso è stato fondamentale per
preservare il nostro patrimonio: un costante backup sia in loco che
nella nuvola ci ha permesso di cancellare in toto tutte le cartelle
infette sul server e di sostituirle con l’ultimo backup “pulito”, con
una perdita di dati molto limitata.
Inoltre la nostra infrastruttura di rete è dotata di tecnologie e
device il cui compito è quello di monitorare il traffico in entrata e in
uscita, segnalando eventuali anomalie e rendendo più sicuri gli accessi
remoti sia dei/con i nostri tecnici che con i colleghi del nostro
reparto commerciale.
