Anch’io sono fra i tanti utenti svizzeri di Comparis.ch, il popolare sito di confronti fra prodotti e servizi (80 milioni di visite l’anno) che è stato colpito da un attacco informatico, basato sul ransomware, il 7 luglio scorso, come raccontato da La Regione/ATS. 

L’azienda dichiara di non aver pagato il riscatto richiesto (400.000 dollari) ed è tornata online dopo una breve pausa grazie alla disponibilità di copie di backup dei dati.

Alcuni dati degli utenti, però, sono stati trafugati dai criminali e quindi sono a spasso in Rete, probabilmente in vendita al miglior offerente.

Non ho trovato dettagli tecnici sull’attacco, a parte l’indicazione che la richiesta di riscatto è stata recapitata a Comparis “sotto forma di un URL impiantato in un’area sicura del sistema informatico”.

Ho ricevuto da Comparis una mail di avviso (ho rimosso alcuni link e dettagli personali), disponibile in copia anche sul sito, che parla pittorescamente di “grande energia criminale”:

Cara lettrice, caro lettore

Le inviamo questo messaggio perché da noi è registrato il suo indirizzo e-mail topone@pobox.com.

Il 7 luglio, il Gruppo Comparis è stato oggetto di un attacco informatico, compiuto con grande energia criminale. Comparis e le sue consociate hanno immediatamente adottato tutte le misure necessarie alla protezione di tutti i dati.

In seguito al cosiddetto attacco ransomware sono stati bloccati vari sistemi informatici del Gruppo Comparis. Nel frattempo il sito web comparis.ch è di nuovo disponibile, funziona normalmente ed è garantito.

Purtroppo, dalle analisi dei dati ora effettuate risulta che gli autori dell’attacco sono riusciti ad accedere ad alcuni dati interni e rilevanti sulla clientela del Gruppo Comparis (p. es. indirizzi e-mail dei nostri utenti).

Lei cosa può fare?

Ha un account da noi? Allora le consigliamo di cambiare la sua password il prima possibile.

Se i suoi dati sono stati interessati dall’attacco, non possiamo escludere che possano essere utilizzati da terzi per scopi commerciali o fraudolenti. La polizia cantonale di Zurigo offre qui una panoramica sul fenomeno (disponibile solo in tedesco). In generale le consigliamo di essere estremamente prudente se la contatteranno terzi che si fanno passare per collaboratori di banche o compagnie assicurative e le chiederanno di fornire determinate informazioni. La preghiamo inoltre di comunicarci eventi del genere per consentirci di segnalarli alle autorità incaricate delle indagini.

Ulteriori informazioni sull’attacco a Comparis sono disponibili nelle nostre FAQ. Per informazioni generali, poi, può consultare la pagina web della polizia cantonale di Zurigo Polizia per la criminalità informatica – Problemi frequenti (disponibile solo in tedesco).

Prendiamo molto sul serio l’accaduto. Abbiamo adottato immediatamente ogni misura necessaria per la protezione di tutti i dati. Il Gruppo Comparis si è già rivolto alle autorità preposte al perseguimento penale, ha sporto denuncia penale e collabora a stretto contatto con gli specialisti in criminalità informatica della polizia di Zurigo. Anche l’Incaricato federale della protezione dei dati e della trasparenza è stato informato.

Ci scusiamo per tutti gli inconvenienti causati.

Cordiali saluti,

Il team Comparis 

Sottoscrivo pienamente i consigli di Comparis: se siete suoi utenti, cambiate la vostra password usata sul sito e sulle sue consociate come Credaris; aggiungo che se avete usato la stessa password altrove, vi conviene assolutamente cambiarla anche lì (usando password differenti per ogni singolo servizio).

Inoltre fate molta attenzione a eventuali prese di contatto telefoniche, via mail o sui social network di persone che si spacciano per rappresentanti di banche o servizi, e della stessa Comparis, e sembrano credibili perché hanno alcune informazioni su di voi. Queste informazioni possono essere state acquisite da attacchi come questi. In caso di telefonate o SMS, infine, non fidatevi del numero che compare: può essere facilmente falsificato.

Fonti aggiuntive: La Regione, Swissinfo, Tages-Anzeiger.

Il ransomware è un problema molto diffuso in tutto il mondo: il criminale entra nei sistemi informatici di un’azienda, mette una password su tutti i documenti, paralizzando l’attività produttiva, e poi chiede un riscatto per dare la password all’azienda. Le vittime che non hanno un backup intatto dei propri dati spesso non hanno altra scelta che pagare per poter riprendere a lavorare.

Solitamente gli esperti si dedicano alla scoperta di difetti nel programma automatico che genera e mette la password sui documenti della vittima: se ce ne sono, è possibile ricostruire la password usata dal criminale e quindi decrittare i propri dati senza dover pagare il riscatto. 

In effetti oggi molte società specializzate in sicurezza informatica offrono servizi di decrittazione anti-ransomware, per cui chi è colpito da questo tipo di attacco non deve disperare ma può cercare aiuto su siti come Nomoreransom.org.

C’è anche un altro approccio molto originale al problema: beffare il sistema di pagamento. Il ricercatore di sicurezza informatica Jack Cable, studente presso la Stanford University e consulente per la sicurezza elettorale del DHS statunitense, si è infatti accorto che Qlocker, un ransomware molto diffuso che prende di mira specificamente i NAS della QNAP, aveva un difetto nel proprio sistema automatico di gestione dei pagamenti.

Il ransomware, infatti, è altamente automatizzato, per cui anche la transazione di pagamento funziona senza intervento umano: se la vittima paga, riceve un transaction ID che dice al ransomware di decrittare i dati. Cable si è accorto che era possibile generare un ID che ingannava il ransomware e gli faceva credere che la vittima avesse pagato. Bastava mettere in maiuscolo una singola lettera dell’ID.

Cable ha annunciato la scoperta su Twitter, invitando le vittime a contattarlo per aiutarle a recuperare i loro dati e ha salvato una cinquantina di utenti sparsi per il mondo. La banda di Qlocker, intanto, ha cessato le proprie attività. Ogni tanto qualche storia di crimine informatico ha un lieto fine.

Fonti: Tripwire, Cyberscoop.

Ultimo aggiornamento: 2021/04/10 22:40.

“RE è basato su altissimi standard di sicurezza, i nostri server sono tutti in Italia (Arezzo), tutte le connessioni sono effettuate tramite il protocollo HTTPS e crittografia SSL con certificato dei più importanti CA al mondo: Verisign Symantec e GeoTrust. Ma non basta, prima di essere inviati tutti i dati sono crittografati a priori e questa tecnologia, unica nel suo genere, raddoppia le garanzie di sicurezza rendendo RE sicuro come nessun altro.” Così scriveva Axioscloud.it, il sito che ospita il Registro Elettronico di molte scuole italiane (circa il 40%, secondo ANSA). Sito che ora è irraggiungibile.

Un attacco ransomware ha infatti buttato giù il sito “sicuro come nessun altro” e “basato su altissimi standard di sicurezza”. Questo è uno screenshot di com’era prima dell’attacco, come si può vedere su Archive.org.

 

Secondo Quotidiano Piemontese, il problema è iniziato sabato 3 aprile ed è poi peggiorato. Il quotidiano pubblica uno screenshot di Axios Italia che dice di stare “lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi web entro pochi giorni”.

Su Facebook, Axios Italia ha dichiarato inizialmente (3 aprile) che si trattava di un “improvviso malfunzionamento tecnico occorso durante la notte” che avrebbe “reso necessario un intervento di manutenzione straordinaria”. Lo stesso risulta dalla copia salvata su Archive.org il 5 aprile.

Oggi (5 aprile) l’azienda ha scritto, sempre su Facebook, che “a seguito delle approfondite verifiche tecniche messe in atto da Sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura. Dagli accertamenti effettuati, al momento, non ci risultano perdite e/o esfiltrazioni di dati. Stiamo lavorando per ripristinare l'infrastruttura nel più breve tempo possibile e contiamo di iniziare a rendere disponibili alcuni servizi a partire dalla giornata di mercoledì. Sarà nostra cura tenervi costantemente aggiornati.” 

Gli stessi messaggi sono presenti attualmente sul sito di Axios Italia. 

Fonti confidenziali mi segnalano una situazione piuttosto pesante. Non pubblico altri dettagli, per il momento, in attesa di conferme e riscontri: sarebbe utile che Axios facesse una dichiarazione pubblica sullo stato dei backup, su quale infrastruttura sia stata compromessa e su eventuali negoziati con gli autori dell’attacco. Comunque stiano le cose, temo che per il DPO di Axios il ritorno dalle ferie di Pasqua sarà piuttosto impegnativo.

2021/04/06 13:10. Secondo la mail inviata da Axios alle scuole, l’azienda è stata informata dell’attacco ransomware da parte del servizio di sicurezza di Aruba intorno alle due del mattino del 3 aprile e il disaster recovery avrebbe mitigato i danni. L’amministratore unico di Axios Italia, Stefano Rocchi, dice a Giornalettismo che è stato “deciso di non pagare alcun riscatto”.

 

2021/04/08 13:00. Al momento in cui scrivo questo aggiornamento il Registro Elettronico è ancora offline; redemo.axioscloud.it mi risponde con un timeout. Il sito di Axios Italia ospita ora un’informazione più dettagliata (screenshot qui sotto, cliccabile per leggerlo), che invita a consultare una comunicazione (PDF). Questa comunicazione dice, fra le altre cose, che “I dati personali gestiti non sono stati persi/distrutti e non vi è stata alcuna visione/estrapolazione indebita" e che “Le misure di sicurezza adottate, incluse le soluzioni di Disaster Recovery, nonostante un “attacco brutale con finalità estorsive” similare a quello ricevuto recentemente da multinazionali (esempio ACER), hanno consentito di preservare i dati gestiti nel rispetto della normativa privacy.”

 

Intanto la notizia è ormai riportata da molti siti e giornali (Cybersecurity360, Punto Informatico, Giornalettismo, per fare qualche esempio) e mi è arrivata una diffida dall’avvocato di Axios, alla quale ho risposto per quanto riguarda gli aspetti tecnici ricordando inoltre l’inevitabile Effetto Streisand.

 

2021/04/08 22:00. Come segnalato nei commenti, quella del 3 aprile 2021 non è la prima aggressione informatica che colpisce il Registro Elettronico di Axios Italia; il 9 aprile 2020 era stato bloccato da un attacco DDOS, riferiscono per esempio Repubblica e RAI.

2021/04/10 22:40. Axios ha dichiarato, sul proprio sito, quanto segue:

Gentili Clienti,
siamo lieti di comunicarVi che sono tornati online il Registro Elettronico, le funzionalità per le famiglie ed ulteriori servizi.
Stiamo inoltre continuando a monitorare la corretta funzionalità di tutti i sistemi ripristinati.
Vi ringraziamo ancora per la vicinanza e la pazienza dimostrata in questi giorni.

Continueremo a mantenerVi costantemente aggiornati sugli sviluppi.

10/04/2021 - Ore 18:05

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Non passa giorno senza la notizia di un attacco informatico che blocca un ente o un’azienda e chiede un riscatto per sbloccarlo: il ransomware sta vivendo, purtroppo, un momento di grande diffusione. Dopo i servizi diocesani di gran parte d’Italia, in difficoltà ancora dopo dieci giorni, stavolta è il turno del Manchester United: non la squadra di calcio in sé, ma l’azienda che gestisce le attività milionarie del club, la Manchester United Plc.

L’azienda ha rivelato di essere stata oggetto di un “attacco informatico” ai suoi sistemi la settimana scorsa e di essere “al lavoro con consulenti esperti per ridurre al minimo le perduranti interruzioni dei servizi informatici”. L’attacco viene definito “sofisticato” e “opera di cybercriminali organizzati”. Gli esperti sospettano che si tratti appunto di ransomware.

Secondo le autorità informatiche britanniche, il 70% delle organizzazioni sportive del Regno Unito è vittima di almeno un attacco informatico ogni anno. 

Anche se non avete la visibilità di una grande azienda, incidenti come questi possono capitare a tutti e sono un invito a fare prevenzione. Per esempio, procuratevi qualche disco rigido sul quale mettere in salvo offline delle copie dei vostri dati più preziosi, magari approfittando, come ho fatto io, delle svendite del Black Friday. Cinque terabyte per un’ottantina di CHF (circa 70 euro) sono un’occasione ghiotta.

 

Fonte aggiuntiva: The Register.

Ultimo aggiornamento: 2020/11/28 17:00.

2020/11/18 11:45. Ricevo segnalazioni multiple di un attacco ransomware che ha colpito i servizi informatici della CEI tre giorni fa.

Gli aggressori hanno criptato circa 800 macchine virtuali dell’ICSC (Istituto Centrale Sostentamento Clero) gestite da IDS & Unitelm, che fornisce numerosi servizi diocesani.

Il problema principale è che sarebbero stati criptati anche i backup di queste macchine virtuali, e soprattutto i programmi gestionali. Non ci sono invece indicazioni di fughe di dati.

Sono quindi in tilt quasi tutte le attività informatiche degli istituti diocesani, e molti dei siti diocesani di tutta Italia (quelli con il nome diocesi.[nome-città].it e altri) sono irraggiungibili. Per esempio sono offline o “in manutenzione” quella di Pavia (copia su Archive.is), Torino, Messina, tutti gestiti da IDS tramite Glauco.it. Anche Chiesadibologna mostra la stessa schermata di manutenzione.

Se ne sapete di più, i commenti sono a vostra disposizione. L’elenco delle diocesi italiane è qui su Wikipedia.

 

13:20. Chiesadimilano.it scrive che “Tra la sera di domenica 15 novembre e la mattina di lunedi 16 i DataCenter della società presso cui sono ospitati i siti del network Chiesadimilano.it e il server di posta elettronica della Diocesi di Milano hanno subito un grave attacco informatico. Mentre i problemi sul sito sono stati risolti, per la posta elettronica sono in corso operazioni di recupero.”

 

18:40. È probabile che il malware usato sia DarkSide.

 

2020/11/22 9:00. A una settimana dall’attacco, molti servizi sono ancora fermi. Ulteriori indizi puntano a DarkSide come malware coinvolto. Diocesi.pavia.it è ancora “in manutenzione”. Su Chiesadibologna.it è presente questa dicitura:

AVVISO: SITO PROVVISORIO

Il nostro sito è momentaneamente non consultabile in tutte le sue sezioni per difficoltà della server farm della CEI.
Aggiorneremo appena possibile tutti i contenuti e le sezioni.
Ci scusiamo per l’inevitabile disagio e ringraziamo per la pazienza.

 

La notizia sembra aver avuto poca risonanza sulla stampa. Finora ho trovato solo questo articolo del Secolo XIX.

 

2020/11/25 21:50. Agi scrive che “Il direttore dell'Ufficio nazionale per le comunicazioni sociali della Cei, Vincenzo Corrado [...] in queste ore si stanno ripristinando i servizi non ancora riattivati e nei prossimi giorni contiamo che tutto rientri nella normalità [...] non ci sono problemi per gli stipendi dei sacerdoti [...] Da fonti Cei non risulta sia arrivata alcuna richiesta di riscatto.” Quest’ultima frase non collima con le informazioni tecniche che ho raccolto.

2020/11/28 17:00. La notizia è uscita anche su Katholisches.info (in tedesco).

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Credit: Mattel, 2016.

Oltre a Campari, anche Mattel è stata nel mirino del crimine informatico. L’attacco si è svolto a luglio di quest’anno, ma la notizia è emersa solo di recente tramite la pubblicazione di alcuni dichiarazioni finanziarie da parte dell’azienda, come segnala SiliconAngle.

I documenti pubblicati descrivono l’attacco dicendo che il 28 luglio l’azienda ha scoperto di essere stata vittima di un attacco ransomware che ha cifrato i dati di alcuni sistemi informatici. L’azienda dice di aver attivato i protocolli di difesa e varie misure per fermare l’attacco e ripristinare i sistemi colpiti, e dichiara che alcune attività sono state temporaneamente colpite, non risulta che siano stati trafugati dati sensibili.

On July 28, 2020, Mattel discovered that it was the victim of a ransomware attack on its information technology systems that caused data on a number of systems to be encrypted. Promptly upon detection of the attack, Mattel began enacting its response protocols and taking a series of measures to stop the attack and restore impacted systems. Mattel contained the attack and, although some business functions were temporarily impacted, Mattel restored its operations. A forensic investigation of the incident has concluded, and no exfiltration of any sensitive business data or retail customer, supplier, consumer, or employee data was identified. There has been no material impact to Mattel's operations or financial condition as a result of the incident.

Certo, non siamo tutti una grande azienda come Mattel, ma proviamo ad approfittare di notizie come questa per farci una domanda: se capitasse a noi, saremmo pronti? Ce l’abbiamo una copia funzionante dei nostri dati, isolata dal resto della rete, da usare in caso di attacco?

Domenica scorsa la Campari è stata colpita da un attacco di ransomware che ha penetrato la rete informatica dell’azienda e ha crittografato parte dei suoi file.

I criminali, che si sono firmati Ragnar Locker, chiedono ora un riscatto per fornire la chiave di decrittazione e hanno pubblicato online delle immagini di documenti interni della Campari per dimostrare che fanno sul serio.

La Campari ha pubblicato un comunicato stampa nel quale ha confermato l’attacco e ha detto di averlo “prontamente identificato”, riconoscendo però che l’intrusione ha avuto parziale successo, visto che parla di “limitare la diffusione del malware nei dati e sistemi” e di una “temporanea sospensione dei servizi IT”.

03/11/2020 08:33:29

Campari Group vittima di un attacco malware

Campari Group informa che, presumibilmente il giorno 1° novembre 2020, è stato oggetto di un attacco malware (virus informatico), che è stato prontamente identificato. Il dipartimento IT del Gruppo, con il supporto di esperti di sicurezza informatica, ha immediatamente intrapreso azioni volte a limitare la diffusione del malware nei dati e sistemi. Pertanto, la società ha attuato una temporanea sospensione dei servizi IT, in quanto alcuni sistemi sono stati isolati al fine di consentirne la sanificazione e il progressivo riavvio in condizioni di sicurezza per un tempestivo ripristino dell'ordinaria operatività. Contestualmente è stata avviata un'indagine sull'attacco, che è tutt'ora in corso. Si ritiene che dalla temporanea sospensione dei sistemi IT non possa derivare alcun significativo impatto sui risultati del Gruppo. Nel frattempo, Campari Group ha prontamente avviato una piena collaborazione con le autorità competenti.

Il guaio del ransomware è che viene sempre sottovalutato dalle vittime, che troppo spesso pensano “ma chi vuoi che mi attacchi?” e raramente investono in prevenzione e in sicurezza informatica. Che sono degli investimenti, non dei costi.

Fonte aggiuntiva: ZDNet.

Sembra una storia da romanzo cybercriminale poco originale: un giovane hacker russo offre un milione di dollari a un dipendente di una grande azienda americana affinché installi nei computer dell’azienda un malware che gli permetta di rubare dati compromettenti con i quali ricattarla. 

Ma il dipendente rifiuta il milione di dollari e avvisa di nascosto l’FBI, che interviene prontamente, fa indossare una microspia al dipendente durante gli incontri con il criminale e poi lo arresta mentre sta cercando di fuggire. Tutto è bene quel che finisce bene.

Secondo i documenti pubblicati dal Dipartimento di Giustizia statunitense, però, a luglio scorso è andata proprio così, ed è emerso che l’azienda in questione è Tesla, specificamente la sua Gigafactory in Nevada, come confermato da Elon Musk in persona.

I dettagli appunto romanzeschi della vicenda sono stati raccontati bene da siti specializzati come Teslarati e Technology Review, per cui mi concentro sugli aspetti informatici della questione, perché offrono spunti e lezioni utili a qualunque azienda.

Prima di tutto, dai documenti legali risulta che il criminale, in combutta con altri, ha scelto con cura il proprio bersaglio all’interno dell’azienda, prendendo contatto con un dipendente che parlava russo, non era cittadino statunitense ed era in grado di acquisire informazioni tecniche dettagliate sull’infrastruttura informatica dell’azienda. La profilazione dei dipendenti e la ricognizione dell’organigramma aziendale, facilitata da siti di ricerca e offerta di lavoro come Monster e LinkedIn, fanno parte dei metodi classici del crimine informatico organizzato. E le forti difese informatiche aziendali sarebbero state scavalcate usando una talpa interna: è il cosiddetto insider threat. Le barriere informatiche servono a poco se c’è un dipendente infedele.

Il secondo aspetto importante è la tecnica di estorsione. Il criminale avrebbe fornito al dipendente di Tesla un apposito malware da introdurre nei sistemi informatici dell’azienda. Una volta introdotto, il criminale e i suoi soci avrebbero lanciato dall’esterno un attacco DDOS (distributed denial of service) contro l’azienda, per tenere impegnati gli addetti alla sicurezza informatica mentre il malware estraeva dati dai computer di Tesla. I criminali avrebbero poi ricattato l’azienda per vari milioni di dollari.

Avrete notato che manca qualcosa in questa tecnica: la cifratura dei dati da parte dei criminali. Di solito il ransomware classico entra nei computer dell’azienda bersaglio e blocca i dati aziendali con una password complicatissima, e i criminali chiedono soldi per dare password di sblocco. In questo caso, invece, i malviventi ritenevano di poter ricattare Tesla per il semplice fatto di aver acquisito una copia dei dati. Forse speravano di mettere le mani su segreti aziendali per i quali Tesla avrebbe pagato pur di non farli trapelare.

La lezione importante, quindi, è che oggi non basta più avere un backup offline dal quale ripristinare i dati di lavoro cifrati dall’attacco: bisogna anche fare in modo che i dati confidenziali o potenzialmente dannosi se divulgati non vengano mai raggiunti dai criminali. In uno scenario del genere, la prevenzione è tutto, e la pronta reazione dei dipendenti è un tassello fondamentale di questa prevenzione.

Per consentire questa reazione, gli esperti consigliano di predisporre in azienda un referente unico per la sicurezza informatica, raggiungibile immediatamente da tutto il personale per telefono o via mail.

È inoltre importante fare un inventario preciso dei propri dati e distinguere quelli che hanno semplicemente bisogno di essere ripristinabili in caso di attacco informatico (contabilità e archivio clienti/fornitori, per esempio) da quelli la cui fuga sarebbe un danno grave per l’azienda (segreti industriali, progetti, prototipi e contratti, per esempio).

Da parte mia consiglio anche di aggiungere una lauta ricompensa per chi è talmente leale da rinunciare a un milione di dollari e rischiare la propria incolumità incontrando criminali mentre indossa una microspia.

Fonti aggiuntive: Naked Security; ClearanceJobs.

 

Ultimo aggiornamento: 2020/07/27 22:40.

Mentre scrivo queste righe il sito della Garmin ospita una dicitura piuttosto inquietante: “We are currently experiencing an outage that affects Garmin.com and Garmin Connect. This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience.”

Il sito è in queste condizioni da almeno mezza giornata (dai commenti mi dicono da ieri mattina, ora europea). Quindi se avete uno smartwatch o un altro dispositivo di quest’azienda e non riuscite a sincronizzarlo, non è colpa vostra: tutti i servizi di sincronizzazione sono fermi. Ci sono alcuni workaround per i più impazienti.

Secondo le informazioni raccolte da ZDNet, la Garmin è stata colpita da un attacco di ransomware e prevede di restare in queste condizioni per alcuni giorni mentre procede al ripristino dei propri sistemi, anche se ufficialmente l’azienda parla di un generico “outage” (guasto o interruzione).

Il problema non è banale, perché oltre ai vari appassionati di fitness che usano i suoi prodotti ci sono anche molte aziende che usano il servizio Garmin Connect per coordinare le proprie flotte e la propria logistica.

Sono infatti bloccati anche i suoi sistemi di navigazione aerea, senza i cui aggiornamenti molti piloti non possono volare legalmente. Anche l’app Garmin Pilot di pianificazione dei voli è fuori uso.

You may continue to use Garmin Pilot in flight. This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience. (2/2)

— Garmin Aviation (@GarminAviation) July 23, 2020

Lo stato dei servizi è consultabile in tempo reale presso Connect.garmin.com/status. Al momento è un bagno di sangue.


Garmin ha pubblicato un breve aggiornamento presso Garmin.com/en-US/outage/:

GARMIN OUTAGE

Garmin is currently experiencing an outage that affects Garmin services including Garmin Connect and flyGarmin. As a result of the outage, some features and services across these platforms are unavailable to customers. Additionally, our product support call centers are affected by the outage and as a result, we are currently unable to receive any calls, emails or online chats.

We are working to restore our systems as quickly as possible and apologize for the inconvenience. Additional updates will be provided as they become available.


FREQUENTLY ASKED QUESTIONS

Was any Garmin Connect customer data lost during the outage?

Although Garmin Connect is not accessible during the outage, activity and health and wellness data collected from Garmin devices during the outage is stored on the device and will appear in Garmin Connect once the user syncs their device.

I’m an inReach customer. Can I still use SOS and messaging during the outage?

inReach SOS and messaging remain fully functional and are not impacted by the outage. This includes the MapShare website and email reply page. The status for inReach can be found here.

I have a new Garmin product. When will I be able to pair it with Garmin Connect?

We are working as quickly as possible to restore Garmin Connect functionality. The status of Garmin Connect can be found here.

Was my data impacted as a result of the outage?

Garmin has no indication that this outage has affected your data, including activity, payment or other personal information.

2020/07/26 12:10

Bleepingcomputer scrive di avere conferma che si tratta di un attacco di ransomware e specificamente del ransomware denominato WastedLocker.

2020/07/27 22:40

Un comunicato stampa di Garmin conferma che si è trattato di un “attacco informatico che ha cifrato alcuni dei nostri sistemi” e che il ripristino dei sistemi colpiti è in corso. Questa è la parte saliente del comunicato:

OLATHE, Kan.--(BUSINESS WIRE)--Garmin Ltd. (NASDAQ: GRMN), today announced it was the victim of a cyber attack that encrypted some of our systems on July 23, 2020. As a result, many of our online services were interrupted including website functions, customer support, customer facing applications, and company communications. We immediately began to assess the nature of the attack and started remediation. We have no indication that any customer data, including payment information from Garmin Pay™, was accessed, lost or stolen. Additionally, the functionality of Garmin products was not affected, other than the ability to access online services.
Affected systems are being restored and we expect to return to normal operation over the next few days. We do not expect any material impact to our operations or financial results because of this outage. As our affected systems are restored, we expect some delays as the backlog of information is being processed. We are grateful for our customers’ patience and understanding during this incident and look forward to continuing to provide the exceptional customer service and support that has been our hallmark and tradition.

2020/07/30 22:50

Secondo quanto riportato da Sky News, Garmin avrebbe ottenuto una chiave di decrittazione dei propri dati. Di solito questo significa che l’azienda ha trovato il modo di far arrivare il riscatto ai criminali informatici; meno frequentemente, significa che gli esperti informatici che aiutano l’azienda hanno trovato un modo per calcolare questa chiave.

Honda ha annunciato che alcune sue fabbriche negli Stati Uniti, in Turchia, in India e in Sud America sono ferme a causa di un attacco informatico, secondo Ars Technica e Bloomberg.

Le prime avvisaglie sono arrivate su Twitter e poi un ricercatore di sicurezza informatica, milkr3am, si è accorto che qualcuno aveva inviato al sito VirusTotal un campione del virus informatico Snake/Ekans fatto su misura per attaccare Honda (conteneva un’istruzione riguardante il sottodominio mds.honda.com, che non è su Internet ma presumibilmente fa parte della intranet dell’azienda).

Successivamente lo stesso ricercatore è riuscito a ottenere una copia della richiesta di denaro inviata dagli aggressori a Honda:



Si tratta insomma di un classico attacco di ransomware, nel quale i dati della vittima vengono cifrati con una password nota soltanto all’aggressore, che poi chiede soldi per dare alla vittima questa password e permetterle di recuperare i propri dati.

Honda non è l’unica grande azienda colpita da questo genere di attacchi: Bloomberg cita Fincantieri SpA e nota che nel 2019 sono state colpite almeno 966 agenzie governative, scuole ed enti sanitari soltanto negli Stati Uniti. Blackfog ha stilato una cronologia degli attacchi ransomware avvenuti nei primi cinque mesi del 2020: ce n’è per tutti in tutto il mondo, compreso lo studio legale statunitense usato da Elton John, Robert De Niro e Madonna.

Le tecniche del ransomware, inoltre, si stanno evolvendo. La moda del momento è aumentare la pressione sulle vittime, per indurle a pagare, minacciando di vendere via Internet i dati rubati. Visto che il metodo di attacco prevalente è il classico allegato infettante inviato via mail, siate prudenti nell’aprire qualunque messaggio.


Fonte aggiuntiva: BBC.

Quando il ransomware colpisce un utente o un’intera azienda, sono sempre dolori. Ci si trova con tutti i dati di lavoro bloccati da una password che conosce solo il criminale che ha effettuato l’attacco e che vuole soldi per rivelarla. Se non c’è una copia di scorta offline dei dati, è impossibile riprendere l’attività senza pagare il riscatto.

Questi concetti di prevenzione sono ben conosciuti, ma ce n’è un altro di gestione del danno che viene spesso dimenticato: non conviene buttare via i dati cifrati dal criminale.

Ogni tanto, infatti, viene scoperto il modo di decrittare i dati anche senza la password. Di solito è perché i criminali sono stati maldestri; raramente è perché i criminali decidono di regalare la password. Ê l’equivalente informatico di un ladro che torna a casa del derubato e gli riporta tutta la refurtiva.

Eppure è successo: la banda di criminali informatici che gestiva il ransomware denominato Shade o Troldesh o Encoder.858 ha deciso non solo di interrompere i propri attacchi alla fine del 2019 ma ha anche rilasciato oltre 750.000 password (chiavi di decrittazione) per aiutare le vittime a ricostruire i propri dati, segnala l’esperto informatico Graham Cluley.

La banda ha pubblicato anche il codice sorgente del proprio software e istruzioni dettagliate su come usarlo, così gli esperti che lavorano per le aziende che producono antivirus potranno creare degli strumenti di decrittazione automatica. La correttezza e autenticità delle chiavi rilasciate dai criminali sono state confermate da Kaspersky.

Le ragioni di questo improvviso ravvedimento non sono note. Si possono solo fare congetture.

Morale della storia: se vi capita di subire un attacco di ransomware, non perdete ogni speranza, concentratevi sul recupero dei dati più essenziali e conservate una copia di tutti i dati criptati. Non si sa mai che un giorno diventino recuperabili.

Trovarsi con le foto di famiglia o la contabilità aziendale bloccata da un attacco di ransomware è un dramma molto diffuso, e spesso ci si sente soli e indifesi contro i malviventi informatici che lavorano nell’ombra.

Ma nell’ombra ci sono anche persone poco conosciute che lavorano per tirare fuori dai guai chi è incappato in questi ransomware: centinaia di migliaia di persone nel mondo hanno infatti recuperato i propri dati, senza pagare alcun riscatto, grazie al lavoro silenzioso di una singola persona: Michael Gillespie, un ventisettenne di Normal, nell’Illinois.

Gillespie è infatti autore di moltissimi decryptor, ossia programmi che decifrano i file cifrati dal ransomware, restituendone l’uso ai proprietari. I suoi decryptor aiutano circa 2000 persone al giorno. Dei circa 800 ransomware conosciuti, oltre 100 sono stati resi innocui da Michael Gillespie.

A differenza dei criminali, che chiedono soldi per sbloccare i file, Gillespie offre i suoi decryptor gratuitamente tramite i siti BleepingComputer.com e ID Ransomware e si limita ad accettare donazioni volontarie. Una scelta che non l’ha certo fatto diventare ricco, anzi: lui e la moglie sono fortemente indebitati, in gran parte a causa delle spese mediche che devono sostenere. L’FBI gli ha conferito un riconoscimento nel 2017, e Gillespie lavora spesso con le forze di polizia internazionali. Ma è tutto volontariato.

Il sito ID Ransomware riconosce ben 783 tipi di ransomware: gli si può inviare il testo della richiesta di riscatto, un esempio di file cifrato oppure gli indirizzi o link di contatto citati nella richiesta.

La storia di Gillespie e degli altri informatici che offrono il proprio talento per aiutare chi è caduto nella rete dei criminali online è raccontata qui su ProPublica.

Ha destato un certo scalpore la notizia di un attacco informatico a una ditta di Manno (Canton Ticino), che è stata bloccata da un ransomware, ossia da un malware che blocca i dati della vittima con una password nota soltanto all’aggressore e chiede un riscatto per sbloccare i dati e consentire di riprendere il lavoro.

Stando alle descrizioni fornite dal co-titolare della ditta, i file erano stati cifrati e rinominati con il suffisso ryuk, ed erano stati chiesti 31 bitcoin di riscatto, ossia circa 300.000 franchi. L’azienda non ha pagato, ma si è dovuta rivolgere a specialisti per recuperare almeno parzialmente i dati e contenere il danno, acquistando nuovi server e reinstallando da zero 25 PC. Alla fine sono andate perse le ordinazioni e le conferme d’ordine di alcuni giorni, ma l’attività è ripresa.

Non sembra trattarsi di un attacco particolarmente mirato: lo stesso genere di malware che usa il suffisso ryuk ha fatto danni un po’ ovunque, toccando oltre 100 organizzazioni governative e imprese nel mondo. A Lake City, in Florida, è stata colpita la pubblica amministrazione, che ha deciso di pagare ben 460.000 dollari di riscatto. Secondo alcune stime, la banda criminale che gestisce Ryuk avrebbe intascato oltre 3,7 milioni di dollari da quando ha iniziato i propri attacchi ad agosto 2018. 

Ma come agisce un malware del genere? Ryuk, spiega Infosec Institute, usa dei trojan come Trickbot o Emotet per impiantarsi nel sistema informatico preso di mira: arriva per esempio via mail, sotto forma di documento Word allegato, in un messaggio che sembra provenire da collaboratori, soci d’affari o conoscenti. Aprendo il documento, la vittima viene invitata ad attivare le macro Office, cosa assolutamente da non fare, perché le macro scaricano e installano il malware vero e proprio, per esempio Emotet, che infetta i computer della vittima sfruttando una falla di sicurezza (di solito una vulnerabilità SMB). A quel punto gli aggressori possono installare il ransomware Ryuk vero e proprio.

Questo ransomware rimane poi dormiente anche a lungo, perlustrando la rete informatica per comprenderne le vulnerabilità. Poi agisce nella maniera standard dei ransomware, cifrando i file della vittima.

Maggiori informazioni sono sul sito di MELANI, la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione Svizzera, di cui riporto i consigli:

• Effettuate regolarmente una copia di sicurezza (backup) dei dati, ad esempio, sul disco rigido esterno. Utilizzate a questo scopo un programma che permetta di effettuare il backup regolarmente (schema nonno-padre-figlio [giornaliero, settimanale, mensile] / minimo due gerarchie). Gli aggressori possono eliminare o cifrare tutti i backup ai quali riescono ad accedere, pertanto è importante che la copia di sicurezza sia salvata offline, ovvero su un supporto esterno (ad esempio su un disco rigido esterno);
• Assicuratevi che i provider che offrono soluzioni cloud generino al meno due gerarchie, analogamente ai salvataggi di dati classici. L'accesso ai backup su cloud deve essere protetto dai ransomware, ad esempio tramite l'utilizzo di un secondo fattore di autenticazione per operazioni sensibili.
• Sia il sistema operativo sia tutte le applicazioni installate sul computer e sul server (ad es. Adobe Reader, Adobe Flash, Java, ecc.) devono essere costantemente aggiornati. Se disponibile, è meglio utilizzare la funzione di aggiornamento automatico;
• Controllate la qualità dei backup e esercitatene l'istallazione in modo che, nel caso di necessità, non venga perso tempo prezioso.
• Proteggete tutte le risorse accessibili da internet (ad es. terminal server, RAS, accessi VPN, ecc.) con l’autenticazione a due fattori (2FA). Mettete un Terminal server dietro un portale VPN.
• Bloccate la ricezione di allegati e-mail pericolosi nel Gateway della vostra mail. Informazioni più dettagliate possono essere trovate alla pagina seguente: https://www.govcert.ch/downloads/blocked-filetypes.txt
• Controllate che i file log della vostra soluzione antivirus non presentino irregolarità.

Fonte: Ars Technica.

Security warning: Il tuo computer è stato bloccato. Errore #DW6VB36. Per favore chiamaci immediatamente al numero +39 0694804[omissis]. Non ignorare questo avviso critico.
Se chiudi questa pagina, l’accesso del tuo computer sarà disattivato per impedire ulteriori danni alla nostra rete. Il tuo computer ci ha avvisato di essere stato infestato con virus e spyware. Sono state rubate le seguenti informazioni: Accesso Facebook, Dettagli carta di credito, Accesso account e-mail, Foto conservate su questo computer.
Devi contattarci immediatamente in modo che i nostri ingegneri possano illustrarti il processo di rimozione per via telefonica. Per favore chiamaci entro i prossimi 5 minuti per impedire che il tuo computer venga disattivato. Chiama per ricevere supporto: +390694804[omissis].

Se vi compare sullo schermo un avviso di questo genere mentre state girando su Internet, non cascateci e chiudete senza esitazioni la sua finestra, anche se sembra firmato da Microsoft: è un bluff da parte di criminali talmente pigri che neanche si prendono la briga di infettare e bloccare davvero i computer delle loro vittime. È l’ultima novità in fatto di estorsioni informatiche, segnalata da Cybersecurity360.it e dalla Polizia Postale italiana.

Credit: Tlcomm.it.

Questo non è ransomware: non è un avviso che compare ad opera di un malware che ha infettato il computer. È solo un testo, che viene visualizzato usando una delle tante tecniche di pop-up disponibili nelle pagine Web.

La tecnica, spiega la Postale, è convincere la vittima a telefonare al numero indicato, dove un truffatore si spaccerà per un rappresentante di un servizio di assistenza tecnica e cercherà di indurre la vittima a installare un software di assistenza remota che consegna al malfattore il controllo completo del computer del malcapitato e in più, per questa “assistenza”, si fa pagare circa cento euro.

In teoria questa forma di attacco dovrebbe avere un punto debole: il numero di telefono da chiamare. Se venisse bloccato prontamente, renderebbe inefficace la disseminazione di questi messaggi ingannevoli.

Esistono le mode anche nel crimine informatico: negli anni scorsi i creatori di malware si sono concentrati sulla produzione e disseminazione di ransomware, che bloccava l’accesso ai dati dei computer delle vittime e chiedeva a queste vittime di pagare un riscatto per togliere questo blocco.

Questa strategia purtroppo ha funzionato molto bene, visto che molti privati e moltissime aziende grandi e piccole non avevano copie di sicurezza dei propri dati, non avevano difese informatiche adeguate e non avevano investito nella formazione del personale per prepararlo a riconoscere i tentativi di attacco ransomware. Ma a furia di prendere batoste, gli utenti hanno iniziato a reagire e il ransomware sta iniziando a scemare.

Ma non è tutto merito degli utenti: come nota Tripwire, i criminali hanno capito che obbligare le vittime a fare pagamenti di riscatti in bitcoin o altre criptovalute era scomodo e poco efficace (molti decidevano di non pagare oppure non sapevano come fare), e così è arrivato un nuovo tipo di malware: il cryptomining. In pratica, i computer delle vittime vengono infettati silenziosamente per usarli per generare criptovalute che vengono recapitate automaticamente agli aggressori, senza alcun intervento delle vittime, che neanche si accorgono di essere infettate e che i loro computer stanno lavorando per i criminali.

Tripwire segnala, a questo proposito, una rete di circa 520.000 computer Windows infetti, denominata Smomirnu, che da maggio dell’anno scorso usa questi computer per effettuare i calcoli matematici necessari per produrre criptovalute (specificamente Monero). Si stima che questo attacco silenzioso abbia generato alcuni milioni di dollari per i criminali che l’hanno lanciato. E non è l’unico del suo genere, nota Talos Intelligence.

Difendersi richiede le stesse attenzioni già usate per il ransomware: il malware di cryptomining si annida in documenti Word apparentemente innocui inviati come allegati via mail (curricula, fatture e simili) e colpisce i computer non aggiornati.

La sua principale differenza rispetto al ransomware è che un attacco di cryptomining non blocca il lavoro in modo evidente, ma si limita a rallentare i computer della vittima e ad aumentare i loro consumi di energia, causando aumenti delle bollette elettriche. Se notate che il vostro computer è diventato lento e che la sua ventola gira molto più del solito, potrebbe essere colpa di un attacco di cryptomining. In pratica, voi pagate per generare soldi per i criminali.

Da qualche giorno è in circolazione un nuovo attacco informatico, denominato dai suoi creatori Bad Rabbit, che si basa sullo schema consueto del ransomware: la vittima si trova con il computer bloccato e con i propri dati cifrati e inaccessibili, e per riaverli deve pagare un riscatto.

L’attacco ha fatto vittime principalmente in Russia e Ucraìna, ma ci sono segnalazioni anche in altri paesi, come Germania, Turchia, Polonia e Corea del Sud. L’agenzia di stampa russa Interfax, l’aeroporto internazionale di Odessa e la metropolitana di Kiev hanno subìto a lungo la paralisi causata da questo ransomware, insieme a molte altre organizzazioni.

Le vittime si infettano perché girando su Internet si imbattono in siti che visualizzano un falso avviso di aggiornamento di Adobe Flash. In realtà il finto aggiornamento è il malware Bad Rabbit, che viene così installato sui computer di chi cade nella trappola.

L’infezione ha effetto soltanto sui sistemi Windows ed è in grado di diffondersi da un computer all’altro della rete locale, per cui in un’azienda basta che se ne infetti uno per mettere a rischio tutti gli altri.

Difendersi è abbastanza semplice: ignorate le richieste di qualunque sito che vi chiede di aggiornare Flash, e andate invece al sito autentico di Adobe Flash per vedere se davvero avete bisogno di aggiornarlo. Inoltre i principali antivirus, se aggiornati, riconoscono e bloccano Bad Rabbit. Se non usate Windows, Bad Rabbit non ha effetto diretto su di voi, ma può averlo sui servizi che usate, se sono basati su Windows.

La prevenzione è fondamentale, anche perché al momento non risulta che ci sia il modo di decifrare i dati una volta che sono stati cifrati da Bad Rabbit e pagare il riscatto, oltre a essere sconsigliabile perché incentiva i criminali a fare altri attacchi, non offre nessuna garanzia che i dati vengano sbloccati. Quindi fate un backup dei vostri dati e tenetelo scollegato dalla rete; installate gli aggiornamenti dei vostri sistemi operativi e delle applicazioni andando presso i loro siti ufficiali; e usate password di rete non ovvie, perché Bad Rabbit conosce quelle più diffuse.


Fonti: ZDNet, BleepingComputer, TechCrunch, Sophos.

Pubblicazione iniziale: 2017/06/30 8:50. Ultimo aggiornamento: 2017/07/01 16:45. 

Nuovo allarme planetario per il ransomware: dal 27 giugno scorso è in circolazione un nuovo attacco informatico, battezzato NotPetya, che segue lo schema consueto dei ransomware, bloccando i computer e cifrandone i dati con una password complicatissima che si potrebbe ottenere soltanto pagando un riscatto.

Ho scritto potrebbe perché a differenza dei ransomware passati, con NotPetya pagare è sicuramente inutile, dato che l’indirizzo di mail al quale ci si deve rivolgere per offrire il riscatto è stato disattivato durante i primi interventi degli addetti alla sicurezza informatica.

Le aziende colpite sono numerosissime in tutto il mondo (sono stati colpiti almeno 65 paesi), anche perché NotPetya si diffonde senza che l’utente debba aprire un allegato o visitare un sito: in estrema sintesi, si diffonde attraverso le condivisioni di rete di Windows impostate in modo imprudente. La sua propagazione iniziale è stata possibile perché i suoi creatori hanno preso il controllo del sistema di gestione degli aggiornamenti di un pacchetto di contabilità fiscale, MEDoc, molto diffuso in Ucraina.

Come spiegato in dettaglio nel bollettino di MELANI/GovCERT (la centrale svizzera d’annuncio e d’analisi per la sicurezza dell’informazione), esiste una tecnica di “vaccinazione” (scrivere un file di nome perfc o perfc.dat nella cartella di base di Windows), ma se un computer è già stato infettato c’è poco da fare.

Valgono i consigli di sempre, ossia prevenzione, prevenzione, prevenzione:

-- fate un backup dei vostri dati salvandoli su un dispositivo che non è connesso alla rete locale o a Internet,
-- installate gli aggiornamenti di sicurezza (già disponibili addirittura da marzo di quest’anno),
-- usate un buon antivirus.

In questo caso specifico, sono colpiti soltanto gli utenti Windows: chi usa MacOS o Linux è immune e anche gli smartphone iOS e Android non sono attaccabili da NotPetya.

Un dettaglio da non dimenticare: NotPetya sfrutta una vulnerabilità di Windows che l’NSA aveva scoperto ma aveva deciso di tenere segreta per poterla sfruttare. In pratica, pur di mantenere un presunto vantaggio tecnologico, l’NSA ha messo in pericolo non solo le aziende statunitensi che dovrebbe proteggere, ma tutte le aziende del mondo.


Fonti aggiuntive: F-Secure Labs, Microsoft, F-Secure, Reuters, Motherboard, F-Secure, AP.

Non bastava il ransomware tradizionale, con la crisi di panico prodotta in particolare da Wannacry: adesso arriva anche un’altra forma di estorsione via Internet.

A molti utenti (anche dalle mie parti) stanno arrivando delle mail che dicono, in inglese rudimentale, che il sedicente “Meridian Collective” avrebbe esaminato il sistema di sicurezza della vittima e si appresterebbe a devastarlo con un attacco di Distributed Denial of Service (DDOS) seguito da una cifratura completa dei dati con un ransomware.

Ecco un esempio di queste mail:

PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE IMPORTANT DECISIONS!

We, HACKER TEAM - Meridian Collective

1 - We checked your security system. The system works is very bad

2 - On Friday 16_06_2017_8:00p.m. GMT !!! We begin to attack your network servers and computers

3 - We will produce a powerful DDoS attack - up to 300 Gbps

4 - Your servers will be hacking the database is damaged

5 - All data will be encrypted on computers Crypto-Ransomware

4 - You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS: 14fKPXrkBdjUJZ9HPTXL45u3SmzERxQvox

5 - Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 5 bitcoins

6 - After payment we will advice how to fix bugs in your system

Please send the bitcoin to the following Bitcoin address:

14fKPXrkBdjUJZ9HPTXL45u3SmzERxQvox

How do I get Bitcoins?

You can easily buy bitcoins via several websites or even offline from a Bitcoin-ATM.
We suggest you to start with localbitcoins.com or do a google search.

What if I don’t pay?

If you decide not to pay, we will start the attack at the indicated date and uphold it until you do, there’s no counter measure to this, you will only end up wasting more money trying to find a solution. We will completely destroy your reputation amongst google and your customers and make sure your website will remain offline until you pay.

This is not a hoax, do not reply to this email, don’t try to reason or negotiate, we will not read any replies. Once you have paid we won’t start the attack and you will never hear from us again!

Please note that Bitcoin is anonymous and no one will find out that you have complied.

Ma si tratta di un bluff crudele: basta cercare in Google una delle frasi sgrammaticate e senza senso tecnico della mail, per esempio "Your servers will be hacking the database is damaged", per trovare storie come questa o questa oppure questa, risalente ad agosto dell’anno scorso, che indicano che chi sta dietro questo invio massiccio di mail fa minacce ma non ha i mezzi tecnici per metterle a segno: spera che le vittime abbocchino e si spaventino a sufficienza da pagare di fronte alla semplice minaccia.

Inoltre un’occhiata al registro delle transazioni Bitcoin del wallet indicato dagli aspiranti estorsori indica che al momento in cui scrivo gli incassi sono stati davvero miseri.

Il fatto che in questo caso si tratti di un falso allarme non deve far abbassare la guardia: anzi, è una buona occasione per informare sui reali rischi del ransomware (quello vero) e assicurarsi di avere un backup completo (e scollegato da Internet e dalla rete aziendale) di tutti i dati.

Ultimo aggiornamento: 2017/05/20 20:40. 

È passata una settimana dall'inizio di uno degli attacchi informatici più pesanti degli ultimi anni: il ransomware Wannacry, che ha fatto danni in tutto il mondo. Ne ho già parlato in questo articolo, ma riassumo qui le novità di questi primi sette giorni di quella che si annuncia come una convivenza a lungo termine con una serie di attacchi molto potenti.

Prima di tutto, sono a disposizione le istruzioni ufficiali su come difendersi da Wannacry fornite rispettivamente dalla Polizia di Stato italiana e dal GovCERT svizzero. In sintesi: se avete un Windows recente e aggiornato con le patch di sicurezza probabilmente non avrete problemi.

È importante sottolineare ancora una volta che questo malware, a differenza degli attacchi di ransomware abituali, si diffonde attraverso le condivisioni aperte incautamente verso Internet, senza richiedere l'apertura di allegati ricevuti via mail.

Un ricercatore, Adrien Guinet di Quarkslab, ha trovato che su Windows XP la chiave di decrittazione dei dati è a volte recuperabile se non si spegne il computer dopo l’infezione, ma XP è uno dei sistemi meno colpiti. Sulla base del suo lavoro è stato approntato WanaKiwi, un software di recupero che a quanto pare funziona anche su Windows 7, Vista, Server 2003 e Server 2008.

Un altro aspetto importante è che la vulnerabilità sta toccando anche dispositivi medicali, come quelli radiologici della Siemens:

WannaCry ransomware infected actual radiology tech in American hospitals https://t.co/t43t6fh1lM pic.twitter.com/Q2Ra0gpvxY

— Forbes Tech News (@ForbesTech) 17 maggio 2017

Gli incassi in Bitcoin dei criminali informatici vengono monitorati da vari account Twitter, come @actual_ransom, e intorno a metà giornata erano arrivati a quasi 91.000 dollari suddivisi in poco meno di 300 pagamenti. Una miseria, rispetto ai danni causati, ma soprattutto una cifra intoccabile, visto che sarà difficilissimo che qualcuno accetti bitcoin provenienti dai portafogli dei criminali, che a questo punto hanno probabilmente alle calcagna gli esperti informatici dei servizi di sicurezza di mezzo pianeta.

Resta valida la raccomandazione di non pagare il riscatto, perché i criminali devono rispondere manualmente a ogni singola vittima e quindi i tempi di risposta sono lunghissimi a causa del numero elevato di vittime. 

Circolano già le prime teorie sull'identità di questi criminali, e qualcuno punta il dito verso la Corea del Nord per via di alcune analogie nel codice del malware usato, ma è decisamente poco per formulare accuse attendibili. Bruce Schneier è cautamente scettico.

In Svizzera il bilancio ufficiale è molto modesto, anche se Angelo Consoli sospetta che non tutto sia stato messo in luce adeguatamente. Per sapere quali e quanti sono i siti colpiti è possibile fare una prima ricognizione sommaria usando semplicemente Google per trovare i siti che espongono a Internet pagine Web cifrate da Wannacry, i cui file hanno quindi l'estensione wcry, come in questo esempio:


Per cercare in altri paesi o domini di primo livello basta sostituire ch con il dominio corrispondente (per esempio it o fr o com). In Svizzera, per esempio, emerge Cash-Xpress, il cui sito pre-attacco è archiviato qui presso Archive.org e oggi versa in condizioni molto tristi:


Per una scansione più profonda occorrono altre tecniche: per esempio, si può usare Shodan per cercare i sistemi che hanno lasciato aperta verso Internet la porta 445 (un requisito per essere infettabili via Internet), dando i parametri port:445 country:ch (dove ovviamente al posto di ch si può specificare un altro paese oppure non specificare nulla e ottenere una mappa come quella mostrata in cima a questo articolo).

Combinando i dati raccolti da Shodan con questo script per nmap si può verificare quali di questi siti imprudentemente aperti sono effettivamente vulnerabili a Wannacry (perché usano Windows e non hanno installato gli aggiornamenti di Microsoft). Prima di farlo, naturalmente, verificate attentamente la legalità di effettuare una scansione di questo genere.

Secondo dati che mi sono stati forniti da chi ha fatto questo genere di scansione, al 15/5 c’erano in Svizzera circa 3000 indirizzi IP con porta 445 (SMB) aperta verso Internet e ancora ieri una trentina di questi erano vulnerabili a Wannacry; in Italia al 18/5 c’erano circa 15.000 indirizzi con porta 445 aperta, dei quali 247 ieri risultavano vulnerabili a Wannacry. I dati completi di questa scansione, con i domini corrispondenti agli indirizzi IP attaccabili, sono a disposizione delle autorità di sicurezza informatica dei rispettivi paesi qualora li trovassero utili: basta chiedermeli.

Intanto viene segnalato un altro malware che sfrutta la falla di Windows usata da Wannacry:

Prepare to laugh- "regdrv.exe" delivered via SMB EternalBlue exploit, adds "Security Fix" rule disabling SMB (and talks to server in Russia) pic.twitter.com/2DN3M835eU

— Kevin Beaumont (@GossiTheDog) May 17, 2017

La tempesta, insomma, non è ancora passata e già si parla della prossima ondata: fra i grimaldelli informatici sottratti all’NSA ci sono infatti altri malware, come per esempio EsteemAudit, che si propaga in modo analogo a Wannacry attraverso le connessioni condivise di sistemi Windows non aggiornati (Financial Times; Fortinet).

Mikko Hyppönen di F-Secure spiega molto bene la dinamica di funzionamento e diffusione di Wannacry in questo video: