Come un attacco mirato ha scosso migliaia di aziende e messo in luce una scomoda verità.
4 novembre 2019.
Ai più questa data potrebbe non significare molto, ma per gli addetti alla sicurezza informatica si tratta di un evento storico. È stato infatti il giorno in cui si è assistito al più violento attacco ransomware mirato di fine decennio.
La vittima designata? Everis, la più grande impresa spagnola nel campo MSP.
La scelta non è stata affatto casuale, poiché essa è parte integrante del colosso giapponese NTT Data, presente in oltre 50 Paesi e pienamente attivo nei mercati delle telecomunicazioni, servizi finanziari, sanità e provider dei servizi gestiti. L’attacco in questione è avvenuto mediante un ransomware di tipo BitPaymer, una variante del virus che chiede un riscatto in cambio della chiave di decriptazione dei file presenti sul sistema infettato.
Ma andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è un ransomware?
Un ransomware è un malware che nasce come variante ben più pericolosa dei suoi simili.
Il ransomware ha come scopo principale non solo l’infezione del sistema in cui accede, ma la criptazione totale dei file presenti, con un cambio totale della propria estensione e la richiesta di un riscatto da pagare in cambio della chiave di decriptazione.
Nel gergo comunque vengono chiamati anche CryptoLocker o Cryptovirus e hanno raggiunto la loro massima diffusione sul web tra il 2013 e il 2017.
Generalmente il ransomware si diffonde allo stesso modo di un trojan, o di un worm.
Il malware penetra dunque nel sistema mediante una falla nel servizio di rete o camuffato da file innocuo che l’utente scarica inconsapevolmente.
Una volta dentro viene eseguito il payload, il quale generalmente può:
- criptare i dati dell’utente
- limitare l’interazione col sistema
- modificare completamente il master boot record rendendo di fatto impossibile l’avvio del sistema operativo.
Assolto il compito principale, il payload mostrerà delle notifiche su schermo per estorcere denaro all’utente del sistema infettato.
Uno dei primissimi ransomware circolati sul web fu PC Cyborg. Creato nel 1989 da Joseph Popp, questo dapprima caricava un payload, poi criptava i file dell’hard disk su cui veniva eseguito; quindi, obbligava l’utente a pagare 189 dollari in cambio dello sblocco totale del sistema.
Tuttavia, l’esempio più celebre è il WannaCry appartenente ad un’ondata di ransomware CryptoLocker, che il 12 maggio 2017 ha infettato oltre 230.000 computer in tutto il mondo, limitando in maniera estrema i normali servizi di amministrazione locale, sanità, trasporti e perfino istruzione.
Analisi dell’attacco a Everis
Il 4 novembre 2019 Everis ha subito un attacco ransomware di tipo BitPaymer, che ha criptato la stragrande maggioranza dei file presenti non solo nella sua rete, ma anche in quella di alcune delle aziende partner che impiegavano i servizi MSP da lei controllati.
Il payload ha mostrato a schermo un messaggio in cui la compagnia veniva avvisata di non ignorare l’attacco e di mettersi in contatto con i criminali, mediante indirizzi e-mail come [email protected], o [email protected], per conoscere l’ammontare del riscatto.
Secondo quanto riportato da bitcoin.es, la cifra richiesta in cambio della chiave di decriptazione è stata pari a €750.000.
Di conseguenza le compagnie affiliate ad Everis, che usufruivano dei loro servizi MSP, sono state costrette a chiudere le loro reti come misura cautelare, limitando moltissimo le loro attività e subendo un danno economico non indifferente.
Tuttavia, Everis non è stata la sola grande compagnia in Spagna a cadere vittima dell’attacco ransomware.
La stessa sorte è toccata in quello stesso giorno anche a Caleda SER, la più grande stazione radio della nazione.
Sebbene non sia noto il tipo di ransomware impiegato per l’attacco a quest’ultima, il modus operandi ha lasciato intendere che possa essersi trattato dello stesso BitPaymer. Questo perché Caleda ha dovuto disconnettersi istantaneamente da internet e proseguire le proprie attività con la strumentazione interna presente nella sede centrale di Madrid.
Conseguenze dell’attacco ransomware a Everis
Nei giorni successivi all’attacco gli esperti di sicurezza informatica hanno dimostrato come il ransomware sia penetrato nella rete di Everis tramite e-mail contenente un allegato malevolo mascherato da falsa fattura. È stato messo in luce come il BitPaymer usato era una variante del malware Dridex, che usava la stessa strategia per infettare le reti interne delle compagnie in cui si infiltrava.
Le conseguenze di questo attacco hanno avuto serie ripercussioni sia sulle aziende partner, che sull’immagine stessa della compagnia.
Infatti, poche ore dopo la diramazione dell’allarme, la compagnia aerea Aena, partner di Everis, ha spento temporaneamente l’accesso a molti dei suoi servizi ed è entrata in trattative con un’altra azienda fornitrice di MSP.
Perché si parla di attacco mirato?
Una tattica molto usata da chi progetta e diffonde un ransomware è prendere di mira i provider MSP.
Questi, acronimo di Managed Service Provider, sono l’insieme di infrastrutture di rete, applicazioni web e sicurezza informatica, ovvero tutti servizi cruciali che vengono supportati e amministrati sia nei data center della compagnia creatrice, che su uno di terze parti.
Everis è sicuramente uno dei più grandi provider del settore a livello globale, nonché una delle compagnie con il più grande numero di dipendenti al mondo, ben 24.500 solo in Spagna, e che nel 2017 ha registrato un fatturato pari a 16 miliardi di dollari.
Tutti questi elementi l’hanno resa un bersaglio estremamente appetibile, a tal punto da portare i creatori del ransomware a far sì che l’estensione per la criptazione dei file fosse .3v3vr1s. Ciò ha reso immediatamente chiaro come l’attacco fosse stato pianificato sin dal principio in maniera a dir poco meticolosa.
Come ci si può proteggere da un attacco ransomware?
L’attacco a Everis e la diffusione dei servizi MSP hanno messo in luce come molte compagnie tendano a sottovalutare l’importanza di essere pronte a difendersi da un eventuale attacco esterno, bloccando tempestivamente ogni minaccia che giunge tramite la rete di servizi offerti dai partner commerciali.
Di seguito sono riportati alcuni metodi per minimizzare il rischio di infezione a livello aziendale:
- Accesso remoto sicuro: isolare e controllare l’accesso remoto alla rete da parte di fornitori, MSP e altri partner. La segmentazione di queste connessioni può rendere molto difficoltoso lo spostamento all’interno della rete agli aggressori.
- Rafforzare le policy sui privilegi minimi: assicurarsi sempre che fornitori e provider MSP abbiano un accesso solo allo stretto indispensabile alle tue risorse. Questa misura fa sì che il potenziale danno sia molto più contenuto se i loro account vengono compromessi.
- Controlla e aggiorna gli SLA: rivedi i tuoi accordi sul livello di servizio (SLA) con i rispettivi fornitori in modo da includere disposizioni e responsabilità rigorose.
- Verifica di vulnerabilità di indirizzo e audit di sicurezza: controlla costantemente la rete interna e quella dei partner. Se viene rilevata una qualsiasi vulnerabilità, si deve intervenire tempestivamente.
In definitiva l’attacco a Everis dovrebbe servire come esempio pratico a non sottovalutare mai la sicurezza informatica della propria compagnia o della propria rete.
Poter prevedere un attacco ransomware è pressoché impossibile, ma prendere le giuste precauzioni per evitarlo è sempre la miglior soluzione.
- Autore articolo
- Ultimi articoli
Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.
