ransomware – Pagina 2 – Attivissimo.me

Due parole sull’attacco informatico “terroristico” alla Regione Lazio

Ultimo aggiornamento: 2021/08/06 16:00.

Ho aspettato un po’ a scrivere di questa vicenda per lasciare che si depositasse il polverone delle dichiarazioni politiche e cominciassero a emergere i fatti tecnici. I fatti sono ancora pochi, comunque, ed è piuttosto evidente a questo punto che non c’è alcuna intenzione delle autorità di fare piena chiarezza sulla vicenda. Prendete quindi queste poche righe con beneficio d’inventario.

Quello che si sa per certo, finora, è che i servizi informatici della Regione Lazio sono offline da domenica 1 agosto. Secondo la ricostruzione de Il Post (anche qui), un ransomware ha colpito il centro elaborazione dati (CED) che gestisce tutta la struttura informatica regionale e i tecnici hanno pertanto disattivato il CED.

Questo ha portato quasi alla paralisi tutti i servizi regionali che dipendono dal CED, fra i quali spicca il servizio di vaccinazione contro il Covid (che sta procedendo lentamente usando un sistema cartaceo ma ha le prenotazioni bloccate).

Il presidente della Regione Lazio, Nicola Zingaretti, ha parlato di difesa contro “attacchi criminali o di stampo terroristico” (sottolineo “o”), ma ANSA ha inventato un virgolettato che gli ha messo in bocca una certezza sullo stampo terroristico che di fatto Zingaretti non ha espresso (perlomeno nello spezzone video riportato nel tweet di ANSA):

Zingaretti: ‘Gli attacchi hacker sono di stampo terroristico. Stiamo difendendo la nostra comunità. E’ l’offensiva criminosa più grave mai avvenuta’ #ANSA pic.twitter.com/jSkQfCPnZ5

— Agenzia ANSA (@Agenzia_Ansa) August 2, 2021

I giornali generalisti italiani si sono lanciati in narrazioni che per pietà mi limito a definire fantasiose, per cui non è opportuno considerare affidabile qualunque affermazione informatica scritta da queste testate e conviene rivolgersi solo a fonti tecniche qualificate.

Per quello che è dato sapere fin qui, non c’è nessuna evidenza di un attacco di stampo terroristico: sembra invece trattarsi di un classico attacco criminale, effettuato a scopo di estorsione. Un tipico ransomware, insomma, di quelli che colpiscono tutti i giorni tante aziende: i dati vengono cifrati dai criminali, che poi chiedono il pagamento di un riscatto per avere la chiave di decifrazione. Stavolta il bersaglio è un po’ più grosso e il danno è molto più visibile.

L’ipotesi del terrorismo informatico è altamente improbabile perché un attacco a fini terroristici avrebbe semplicemente cancellato i dati invece di cifrarli, come ha giustamente fatto notare Stefano Zanero, professore associato di Computer Security al Politecnico di Milano.

Ieri è stato diffuso uno screenshot, parzialmente oscurato, che mostrerebbe l’avviso del ransomware, con un link a una pagina del dark web da usare per la trattativa con gli esecutori dell’attacco:

Secondo BleepingComputer, il link alla pagina è collegato a un gruppo di criminali informatici noto come RansomEXX, che ha già preso di mira grandi aziende in vari paesi del mondo, e la tecnica di attacco del gruppo consiste nel violare le difese di una rete aziendale usando delle vulnerabilità o delle credenziali rubate, per poi scorrazzare nella rete rubando o cifrando file e prendere il controllo del domain controller Windows per diffondere il software di cifratura su tutta la rete.

Gli attacchi di ransomware di solito agiscono su due fronti fondamentali di monetizzazione: la minaccia di bloccare l’attività della vittima e la minaccia di disseminare i dati custoditi dalla vittima
(con conseguenti disagi e danni). Zingaretti ha dichiarato che “nessun dato sanitario è stato rubato e i dati finanziari e del bilancio non sono stati toccati” (Il Post), ma è decisamente troppo presto per essere così categorici.

Per ora, quindi, le domande superano ampiamente le risposte.

—

Come è stato possibile un attacco del genere? Secondo le informazioni pubblicate da Open, l’attacco sarebbe iniziato prendendo di mira un PC di un dipendente di Lazio Crea, “società controllata dalla Regione, in smartworking a Frosinone. Per
entrare nel sistema, come hanno spiegato fonti della polizia postale a Repubblica,
i pirati hanno bucato Engineering SPA [sic], la società specializzata in
servizi informatici che lavora con molte amministrazioni pubbliche […] Da lì hanno ottenuto le credenziali dell’impiegato di Lazio Crea, che
aveva i privilegi di amministratore. Hanno inserito il ransomware nel
sistema informatico ed è partita la copia dei file.” Uno schema assolutamente classico, insomma. Engineering SPA (in realtà Engineering Ingegneria Informatica S.p.A.) ha però preso posizione su questa ricostruzione degli eventi.

[…] With regard to alleged theories in circulation insinuating a possible
correlation between the blocked attack attempt and the hacker attack
suffered by the Lazio Region between the night of
31^st July and 1^st August, please note that the
analysis and detailed investigation swiftly carried out exclude any
links between the two events (the Region has confirmed the attack
started with the hacking of a smart-working employee).

Please
also note the Engineering Group does not manage any of the Region’s
infrastructures subject to cyber-attacks, whose dynamics are yet to be
fully clarified by the competent authorities. […]

Non si possono ripristinare i dati da un backup? Non è così semplice. Come regola generale, prima di tutto bisogna assicurarsi che la rete informatica sulla quale si va a ripristinarli sia pulita e non contenga ancora il ransomware, altrimenti è tempo sprecato. Occorre quindi ripulire la rete oppure crearne una nuova vergine (cosa non facile per sistemi informatici grandi e complessi come un CED regionale). Poi bisogna avere un backup, e questo backup deve essere recente e pulito. Ma a quanto risulta dalle dichiarazioni di un assessore della Regione Lazio, almeno parte dei backup era tenuta in linea e quindi sarebbe anch’essa cifrata. Un altro errore classico. Tenere offline un backup integrale di grandi database non è semplice, certo, ma non farlo è una negligenza imperdonabile.

Come si possono evitare disastri del genere? Anche questo non è facile, ma i passi da compiere per ridurre la possibilità che accadano sono ben conosciuti:

ridurre la superficie di attacco, per esempio togliendo gli accessi privilegiati a chi non ne ha strettamente bisogno (in smart working o meno) e dandoli soltanto a chi ha macchine molto protette e non usate in modo promiscuo (no, il PC del dirigente sul quale guarda il sitarello porno o i film piratati non deve avere accesso privilegiato alla rete aziendale);
predisporre una procedura di backup (che va collaudata e testata) che offra il massimo isolamento fisico possibile;
predisporre un piano di disaster management per sapere cosa fare se (anzi quando) un attacco va a segno e in base a quanto va a segno;
avere un piano di comunicazione chiaro e trasparente.

Fra queste soluzioni, noterete, è vistosamente assente qualunque accenno a grandiosi piani di “cloud nazionale”. Perché “cloud nazionale” in politichese si traduce “pioggia di soldi per gli amici”, ma in informatica si traduce “single point of failure”. E se qualcuno ha bisogno che gli si traducano queste parole inglesi, tenetelo lontano da qualunque decisione informatica.

—

2021/08/06 16:00. Continuano le comunicazioni contraddittorie, ma sembra esserci una buona notizia. Corrado Giustozzi, che finora ha sempre parlato su autorizzazione della Regione Lazio, ha scritto:

Confermo con gioia che la Regione Lazio ha recuperato i dati senza
pagamento di riscatto. Non decifrando i dati ma recuperando i backup che
non erano stati cifrati ma solo cancellati. Ma lavorando a basso
livello i tecnici di LazioCrea hanno recuperato tutto.

E anche:

Al momento non si può dire se c’è stata anche esfiltrazione di dati o
no. Sembrerebbe di no, ma servono analisi più complete per accertarlo.

Giustozzi spiega che i dati sono stati recuperati da un VTL (Virtual Tape Library), “una Virtual Tape Library, ossia un’entità autonoma che emula un sistema
robotizzato di backup su nastro. Ancora più disaccoppiata dell’hardware”.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Il Registro Elettronico di Axios Italia, usato da molte scuole italiane, è kaputt per attacco ransomware

2021-04-10
di Paolo Attivissimo
attacchi informatici, cloud, Effetto Streisand, EPIC FAIL, ransomware

Ultimo aggiornamento: 2021/04/10 22:40.

“RE è basato su altissimi standard di sicurezza, i nostri server sono tutti
in Italia (Arezzo), tutte le connessioni sono effettuate tramite il
protocollo HTTPS e crittografia SSL con certificato dei più importanti CA al
mondo: Verisign Symantec e GeoTrust. Ma non basta, prima di essere inviati
tutti i dati sono crittografati a priori e questa tecnologia, unica nel suo
genere, raddoppia le garanzie di sicurezza rendendo RE sicuro come nessun
altro.”
Così scriveva Axioscloud.it, il sito che ospita il Registro Elettronico di
molte scuole italiane (circa il 40%, secondo
ANSA). Sito che ora è
irraggiungibile.

Un attacco ransomware ha infatti buttato giù il sito
“sicuro come nessun altro” e
“basato su altissimi standard di sicurezza”. Questo è uno screenshot di
com’era prima dell’attacco,
come si può vedere su Archive.org.

Secondo
Quotidiano Piemontese, il problema è iniziato sabato 3 aprile ed è poi peggiorato. Il quotidiano
pubblica uno screenshot di Axios Italia che dice di stare
“lavorando alacremente con l’obiettivo di rendere disponibili tutti i
servizi web entro pochi giorni”.

Su Facebook,
Axios Italia ha
dichiarato
inizialmente (3 aprile) che si trattava di un
“improvviso malfunzionamento tecnico occorso durante la notte” che
avrebbe
“reso necessario un intervento di manutenzione straordinaria”. Lo
stesso risulta dalla
copia salvata su Archive.org
il 5 aprile.

Oggi (5 aprile) l’azienda ha
scritto, sempre su Facebook, che
“a seguito delle approfondite verifiche tecniche messe in atto da Sabato
mattina in parallelo con le attività di ripristino dei servizi, abbiamo
avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza
di un attacco ransomware portato alla nostra infrastruttura. Dagli
accertamenti effettuati, al momento, non ci risultano perdite e/o
esfiltrazioni di dati. Stiamo lavorando per ripristinare l’infrastruttura
nel più breve tempo possibile e contiamo di iniziare a rendere disponibili
alcuni servizi a partire dalla giornata di mercoledì. Sarà nostra cura
tenervi costantemente aggiornati.”

Gli stessi messaggi sono presenti attualmente sul
sito di Axios Italia.

Fonti confidenziali mi segnalano una situazione piuttosto pesante. Non
pubblico altri dettagli, per il momento, in attesa di conferme e riscontri:
sarebbe utile che Axios facesse una dichiarazione pubblica sullo stato dei
backup, su quale infrastruttura sia stata compromessa e su eventuali negoziati
con gli autori dell’attacco. Comunque stiano le cose, temo che per il DPO di
Axios il ritorno dalle ferie di Pasqua sarà piuttosto impegnativo.

2021/04/06 13:10. Secondo la mail inviata da Axios alle scuole,
l’azienda è stata informata dell’attacco ransomware da parte del servizio di
sicurezza di Aruba intorno alle due del mattino del 3 aprile e il
disaster recovery avrebbe mitigato i danni. L’amministratore unico di
Axios Italia, Stefano Rocchi, dice a
Giornalettismo
che è stato “deciso di non pagare alcun riscatto”.

2021/04/08 13:00. Al momento in cui scrivo questo aggiornamento il
Registro Elettronico è ancora offline; redemo.axioscloud.it mi risponde
con un timeout. Il
sito di Axios Italia
ospita ora un’informazione più dettagliata (screenshot qui sotto, cliccabile
per leggerlo), che invita a consultare una comunicazione (PDF). Questa comunicazione dice, fra le altre cose, che
“I dati personali gestiti non sono stati persi/distrutti e non vi è stata
alcuna visione/estrapolazione indebita”
e che
“Le misure di sicurezza adottate, incluse le soluzioni di Disaster
Recovery, nonostante un “attacco brutale con finalità estorsive” similare a
quello ricevuto recentemente da multinazionali (esempio ACER), hanno
consentito di preservare i dati gestiti nel rispetto della normativa
privacy.”

Intanto la notizia è ormai riportata da molti siti e giornali (Cybersecurity360,
Punto Informatico,
Giornalettismo, per fare qualche esempio) e mi è arrivata una diffida dall’avvocato di
Axios, alla quale ho risposto per quanto riguarda gli aspetti tecnici
ricordando inoltre l’inevitabile Effetto Streisand.

2021/04/08 22:00. Come segnalato nei commenti, quella del 3 aprile 2021
non è la prima aggressione informatica che colpisce il Registro Elettronico di
Axios Italia; il 9 aprile 2020 era stato bloccato da un attacco DDOS,
riferiscono per esempio
Repubblica
e
RAI.

2021/04/10 22:40. Axios ha dichiarato, sul proprio sito, quanto
segue:

Gentili Clienti,
siamo lieti di comunicarVi che sono tornati online il
Registro Elettronico, le funzionalità per le famiglie ed ulteriori servizi.
Stiamo
inoltre continuando a monitorare la corretta funzionalità di tutti i sistemi
ripristinati.
Vi ringraziamo ancora per la vicinanza e la pazienza
dimostrata in questi giorni.

Continueremo a mantenerVi
costantemente aggiornati sugli sviluppi.

10/04/2021 – Ore 18:05

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o
altri metodi.

Attacco ransomware paralizza da giorni i servizi informatici della CEI

Ultimo aggiornamento: 2020/11/28 17:00.

2020/11/18 11:45. Ricevo segnalazioni multiple di un attacco ransomware che ha colpito i servizi informatici della CEI tre giorni fa.

Gli aggressori hanno criptato circa 800 macchine virtuali dell’ICSC (Istituto Centrale Sostentamento Clero) gestite da IDS & Unitelm, che fornisce numerosi servizi diocesani.

Il problema principale è che sarebbero stati criptati anche i backup di queste macchine virtuali, e soprattutto i programmi gestionali. Non ci sono invece indicazioni di fughe di dati.

Sono quindi in tilt quasi tutte le attività informatiche degli istituti diocesani, e molti dei siti diocesani di tutta Italia (quelli con il nome diocesi.[nome-città].it e altri) sono irraggiungibili. Per esempio sono offline o “in manutenzione” quella di Pavia (copia su Archive.is), Torino, Messina, tutti gestiti da IDS tramite Glauco.it. Anche Chiesadibologna mostra la stessa schermata di manutenzione.

Se ne sapete di più, i commenti sono a vostra disposizione. L’elenco delle diocesi italiane è qui su Wikipedia.

13:20. Chiesadimilano.it scrive che “Tra la sera di domenica 15 novembre e la mattina di lunedi 16 i DataCenter della società presso cui sono ospitati i siti del network Chiesadimilano.it e il server di posta elettronica della Diocesi di Milano hanno subito un grave attacco informatico. Mentre i problemi sul sito sono stati risolti, per la posta elettronica sono in corso operazioni di recupero.”

18:40. È probabile che il malware usato sia DarkSide.

2020/11/22 9:00. A una settimana dall’attacco, molti servizi sono ancora fermi. Ulteriori indizi puntano a DarkSide come malware coinvolto. Diocesi.pavia.it è ancora “in manutenzione”. Su Chiesadibologna.it è presente questa dicitura:

AVVISO: SITO PROVVISORIO

Il nostro sito è momentaneamente non consultabile in tutte le sue sezioni per difficoltà della server farm della CEI.
Aggiorneremo appena possibile tutti i contenuti e le sezioni.
Ci scusiamo per l’inevitabile disagio e ringraziamo per la pazienza.

La notizia sembra aver avuto poca risonanza sulla stampa. Finora ho trovato solo questo articolo del Secolo XIX.

2020/11/25 21:50. Agi scrive che “Il direttore dell’Ufficio nazionale per le comunicazioni sociali della Cei, Vincenzo Corrado […] in queste ore si stanno ripristinando i servizi non ancora riattivati e
nei prossimi giorni contiamo che tutto rientri nella normalità […] non ci sono problemi per gli stipendi dei sacerdoti […] Da fonti Cei non risulta sia arrivata alcuna richiesta di riscatto.” Quest’ultima frase non collima con le informazioni tecniche che ho raccolto.

2020/11/28 17:00. La notizia è uscita anche su Katholisches.info (in tedesco).

Consigli per gli acquisti: un disco rigido per salvare i vostri dati dal ransomware

Non passa giorno senza la notizia di un attacco informatico che blocca un ente o un’azienda e chiede un riscatto per sbloccarlo: il ransomware sta vivendo, purtroppo, un momento di grande diffusione. Dopo i servizi diocesani di gran parte d’Italia, in difficoltà ancora dopo dieci giorni, stavolta è il turno del Manchester United: non la squadra di calcio in sé, ma l’azienda che gestisce le attività milionarie del club, la Manchester United Plc.

L’azienda ha rivelato di essere stata oggetto di un “attacco informatico” ai suoi sistemi la settimana scorsa e di essere “al lavoro con consulenti esperti per ridurre al minimo le perduranti interruzioni dei servizi informatici”. L’attacco viene definito “sofisticato” e “opera di cybercriminali organizzati”. Gli esperti sospettano che si tratti appunto di ransomware.

Secondo le autorità informatiche britanniche, il 70% delle organizzazioni sportive del Regno Unito è vittima di almeno un attacco informatico ogni anno.

Anche se non avete la visibilità di una grande azienda, incidenti come questi possono capitare a tutti e sono un invito a fare prevenzione. Per esempio, procuratevi qualche disco rigido sul quale mettere in salvo offline delle copie dei vostri dati più preziosi, magari approfittando, come ho fatto io, delle svendite del Black Friday. Cinque terabyte per un’ottantina di CHF (circa 70 euro) sono un’occasione ghiotta.

Fonte aggiuntiva: The Register.

Mattel rivela attacco ransomware

Credit: Mattel, 2016.

Oltre a Campari, anche Mattel è stata nel mirino del crimine informatico. L’attacco si è svolto a luglio di quest’anno, ma la notizia è emersa solo di recente tramite la pubblicazione di alcuni dichiarazioni finanziarie da parte dell’azienda, come segnala SiliconAngle.

I documenti pubblicati descrivono l’attacco dicendo che il 28 luglio l’azienda ha scoperto di essere stata vittima di un attacco ransomware che ha cifrato i dati di alcuni sistemi informatici. L’azienda dice di aver attivato i protocolli di difesa e varie misure per fermare l’attacco e ripristinare i sistemi colpiti, e dichiara che alcune attività sono state temporaneamente colpite, non risulta che siano stati trafugati dati sensibili.

On July 28, 2020, Mattel discovered that it was the victim of a ransomware attack on its information technology systems that caused data on a number of systems to be encrypted. Promptly upon detection of the attack, Mattel began enacting its response protocols and taking a series of measures to stop the attack and restore impacted systems. Mattel contained the attack and, although some business functions were temporarily impacted, Mattel restored its operations. A forensic investigation of the incident has concluded, and no exfiltration of any sensitive business data or retail customer, supplier, consumer, or employee data was identified. There has been no material impact to Mattel’s operations or financial condition as a result of the incident.

Certo, non siamo tutti una grande azienda come Mattel, ma proviamo ad approfittare di notizie come questa per farci una domanda: se capitasse a noi, saremmo pronti? Ce l’abbiamo una copia funzionante dei nostri dati, isolata dal resto della rete, da usare in caso di attacco?

Campari colpita da un attacco ransomware

Domenica scorsa la Campari è stata colpita da un attacco di ransomware che ha penetrato la rete informatica dell’azienda e ha crittografato parte dei suoi file.

I criminali, che si sono firmati Ragnar Locker, chiedono ora un riscatto per fornire la chiave di decrittazione e hanno pubblicato online delle immagini di documenti interni della Campari per dimostrare che fanno sul serio.

La Campari ha pubblicato un comunicato stampa nel quale ha confermato l’attacco e ha detto di averlo “prontamente identificato”, riconoscendo però che l’intrusione ha avuto parziale successo, visto che parla di “limitare la diffusione del malware nei dati e sistemi” e di una “temporanea sospensione dei servizi IT”.

03/11/2020 08:33:29

Campari Group vittima di un attacco malware

Campari Group informa che, presumibilmente il giorno 1° novembre 2020, è stato oggetto di un attacco malware (virus informatico), che è stato prontamente identificato. Il dipartimento IT del Gruppo, con il supporto di esperti di sicurezza informatica, ha immediatamente intrapreso azioni volte a limitare la diffusione del malware nei dati e sistemi. Pertanto, la società ha attuato una temporanea sospensione dei servizi IT, in quanto alcuni sistemi sono stati isolati al fine di consentirne la sanificazione e il progressivo riavvio in condizioni di sicurezza per un tempestivo ripristino dell’ordinaria operatività. Contestualmente è stata avviata un’indagine sull’attacco, che è tutt’ora in corso. Si ritiene che dalla temporanea sospensione dei sistemi IT non possa derivare alcun significativo impatto sui risultati del Gruppo. Nel frattempo, Campari Group ha prontamente avviato una piena collaborazione con le autorità competenti.

Il guaio del ransomware è che viene sempre sottovalutato dalle vittime, che troppo spesso pensano “ma chi vuoi che mi attacchi?” e raramente investono in prevenzione e in sicurezza informatica. Che sono degli investimenti, non dei costi.

Fonte aggiuntiva: ZDNet.

Un caso di ransomware finito bene offre lezioni utili per tutti

Sembra una storia da romanzo cybercriminale poco originale: un giovane hacker russo offre un milione di dollari a un dipendente di una grande azienda americana affinché installi nei computer dell’azienda un malware che gli permetta di rubare dati compromettenti con i quali ricattarla.

Ma il dipendente rifiuta il milione di dollari e avvisa di nascosto l’FBI, che interviene prontamente, fa indossare una microspia al dipendente durante gli incontri con il criminale e poi lo arresta mentre sta cercando di fuggire. Tutto è bene quel che finisce bene.

Secondo i documenti pubblicati dal Dipartimento di Giustizia statunitense, però, a luglio scorso è andata proprio così, ed è emerso che l’azienda in questione è Tesla, specificamente la sua Gigafactory in Nevada, come confermato da Elon Musk in persona.

I dettagli appunto romanzeschi della vicenda sono stati raccontati bene da siti specializzati come Teslarati e Technology Review, per cui mi concentro sugli aspetti informatici della questione, perché offrono spunti e lezioni utili a qualunque azienda.

Prima di tutto, dai documenti legali risulta che il criminale, in combutta con altri, ha scelto con cura il proprio bersaglio all’interno dell’azienda, prendendo contatto con un dipendente che parlava russo, non era cittadino statunitense ed era in grado di acquisire informazioni tecniche dettagliate sull’infrastruttura informatica dell’azienda. La profilazione dei dipendenti e la ricognizione dell’organigramma aziendale, facilitata da siti di ricerca e offerta di lavoro come Monster e LinkedIn, fanno parte dei metodi classici del crimine informatico organizzato. E le forti difese informatiche aziendali sarebbero state scavalcate usando una talpa interna: è il cosiddetto insider threat. Le barriere informatiche servono a poco se c’è un dipendente infedele.

Il secondo aspetto importante è la tecnica di estorsione. Il criminale avrebbe fornito al dipendente di Tesla un apposito malware da introdurre nei sistemi informatici dell’azienda. Una volta introdotto, il criminale e i suoi soci avrebbero lanciato dall’esterno un attacco DDOS (distributed denial of service) contro l’azienda, per tenere impegnati gli addetti alla sicurezza informatica mentre il malware estraeva dati dai computer di Tesla. I criminali avrebbero poi ricattato l’azienda per vari milioni di dollari.

Avrete notato che manca qualcosa in questa tecnica: la cifratura dei dati da parte dei criminali. Di solito il ransomware classico entra nei computer dell’azienda bersaglio e blocca i dati aziendali con una password complicatissima, e i criminali chiedono soldi per dare password di sblocco. In questo caso, invece, i malviventi ritenevano di poter ricattare Tesla per il semplice fatto di aver acquisito una copia dei dati. Forse speravano di mettere le mani su segreti aziendali per i quali Tesla avrebbe pagato pur di non farli trapelare.

La lezione importante, quindi, è che oggi non basta più avere un backup offline dal quale ripristinare i dati di lavoro cifrati dall’attacco: bisogna anche fare in modo che i dati confidenziali o potenzialmente dannosi se divulgati non vengano mai raggiunti dai criminali. In uno scenario del genere, la prevenzione è tutto, e la pronta reazione dei dipendenti è un tassello fondamentale di questa prevenzione.

Per consentire questa reazione, gli esperti consigliano di predisporre in azienda un referente unico per la sicurezza informatica, raggiungibile immediatamente da tutto il personale per telefono o via mail.

È inoltre importante fare un inventario preciso dei propri dati e distinguere quelli che hanno semplicemente bisogno di essere ripristinabili in caso di attacco informatico (contabilità e archivio clienti/fornitori, per esempio) da quelli la cui fuga sarebbe un danno grave per l’azienda (segreti industriali, progetti, prototipi e contratti, per esempio).

Da parte mia consiglio anche di aggiungere una lauta ricompensa per chi è talmente leale da rinunciare a un milione di dollari e rischiare la propria incolumità incontrando criminali mentre indossa una microspia.

Fonti aggiuntive: Naked Security; ClearanceJobs.

Il vostro Garmin non si sincronizza? Non è colpa vostra, l’azienda è sotto attacco

2020-07-30
di Paolo Attivissimo
Garmin, geolocalizzazione, ransomware, ReteTreRSI, smartwatch

Ultimo aggiornamento: 2020/07/27 22:40.

Mentre scrivo queste righe il sito della Garmin ospita una dicitura piuttosto inquietante: “We are currently experiencing an outage that affects Garmin.com and Garmin Connect. This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience.”

Il sito è in queste condizioni da almeno mezza giornata (dai commenti mi dicono da ieri mattina, ora europea). Quindi se avete uno smartwatch o un altro dispositivo di quest’azienda e non riuscite a sincronizzarlo, non è colpa vostra: tutti i servizi di sincronizzazione sono fermi. Ci sono alcuni workaround per i più impazienti.

Secondo le informazioni raccolte da ZDNet, la Garmin è stata colpita da un attacco di ransomware e prevede di restare in queste condizioni per alcuni giorni mentre procede al ripristino dei propri sistemi, anche se ufficialmente l’azienda parla di un generico “outage” (guasto o interruzione).

Il problema non è banale, perché oltre ai vari appassionati di fitness che usano i suoi prodotti ci sono anche molte aziende che usano il servizio Garmin Connect per coordinare le proprie flotte e la propria logistica.

Sono infatti bloccati anche i suoi sistemi di navigazione aerea, senza i cui aggiornamenti molti piloti non possono volare legalmente. Anche l’app Garmin Pilot di pianificazione dei voli è fuori uso.

You may continue to use Garmin Pilot in flight. This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience. (2/2)

— Garmin Aviation (@GarminAviation) July 23, 2020

Lo stato dei servizi è consultabile in tempo reale presso Connect.garmin.com/status. Al momento è un bagno di sangue.

Garmin ha pubblicato un breve aggiornamento presso Garmin.com/en-US/outage/:

GARMIN OUTAGE

Garmin is currently experiencing an outage that affects Garmin services including Garmin Connect and flyGarmin. As a result of the outage, some features and services across these platforms are unavailable to customers. Additionally, our product support call centers are affected by the outage and as a result, we are currently unable to receive any calls, emails or online chats.

We are working to restore our systems as quickly as possible and apologize for the inconvenience. Additional updates will be provided as they become available.

FREQUENTLY ASKED QUESTIONS

Was any Garmin Connect customer data lost during the outage?

Although Garmin Connect is not accessible during the outage, activity and health and wellness data collected from Garmin devices during the outage is stored on the device and will appear in Garmin Connect once the user syncs their device.

I’m an inReach customer. Can I still use SOS and messaging during the outage?

inReach SOS and messaging remain fully functional and are not impacted by the outage. This includes the MapShare website and email reply page. The status for inReach can be found here.

I have a new Garmin product. When will I be able to pair it with Garmin Connect?

We are working as quickly as possible to restore Garmin Connect functionality. The status of Garmin Connect can be found here.

Was my data impacted as a result of the outage?

Garmin has no indication that this outage has affected your data, including activity, payment or other personal information.

2020/07/26 12:10

Bleepingcomputer scrive di avere conferma che si tratta di un attacco di ransomware e specificamente del ransomware denominato WastedLocker.

2020/07/27 22:40

Un comunicato stampa di Garmin conferma che si è trattato di un “attacco informatico che ha cifrato alcuni dei nostri sistemi” e che il ripristino dei sistemi colpiti è in corso. Questa è la parte saliente del comunicato:

OLATHE, Kan.–(BUSINESS WIRE)–Garmin Ltd. (NASDAQ: GRMN), today announced it was the victim of a cyber attack that encrypted some of our systems on July 23, 2020. As a result, many of our online services were interrupted including website functions, customer support, customer facing applications, and company communications. We immediately began to assess the nature of the attack and started remediation. We have no indication that any customer data, including payment information from Garmin Pay™, was accessed, lost or stolen. Additionally, the functionality of Garmin products was not affected, other than the ability to access online services.
Affected systems are being restored and we expect to return to normal operation over the next few days. We do not expect any material impact to our operations or financial results because of this outage. As our affected systems are restored, we expect some delays as the backlog of information is being processed. We are grateful for our customers’ patience and understanding during this incident and look forward to continuing to provide the exceptional customer service and support that has been our hallmark and tradition.

2020/07/30 22:50

Secondo quanto riportato da Sky News, Garmin avrebbe ottenuto una chiave di decrittazione dei propri dati. Di solito questo significa che l’azienda ha trovato il modo di far arrivare il riscatto ai criminali informatici; meno frequentemente, significa che gli esperti informatici che aiutano l’azienda hanno trovato un modo per calcolare questa chiave.

Attacco ransomware blocca alcune fabbriche Honda; nuove tendenze negli attacchi

2020-06-12
di Paolo Attivissimo
attacchi informatici, automobili, ransomware, ReteTreRSI

Honda ha annunciato che alcune sue fabbriche negli Stati Uniti, in Turchia, in India e in Sud America sono ferme a causa di un attacco informatico, secondo Ars Technica e Bloomberg.

Le prime avvisaglie sono arrivate su Twitter e poi un ricercatore di sicurezza informatica, milkr3am, si è accorto che qualcuno aveva inviato al sito VirusTotal un campione del virus informatico Snake/Ekans fatto su misura per attaccare Honda (conteneva un’istruzione riguardante il sottodominio mds.honda.com, che non è su Internet ma presumibilmente fa parte della intranet dell’azienda).

Successivamente lo stesso ricercatore è riuscito a ottenere una copia della richiesta di denaro inviata dagli aggressori a Honda:

Si tratta insomma di un classico attacco di ransomware, nel quale i dati della vittima vengono cifrati con una password nota soltanto all’aggressore, che poi chiede soldi per dare alla vittima questa password e permetterle di recuperare i propri dati.

Honda non è l’unica grande azienda colpita da questo genere di attacchi: Bloomberg cita Fincantieri SpA e nota che nel 2019 sono state colpite almeno 966 agenzie governative, scuole ed enti sanitari soltanto negli Stati Uniti. Blackfog ha stilato una cronologia degli attacchi ransomware avvenuti nei primi cinque mesi del 2020: ce n’è per tutti in tutto il mondo, compreso lo studio legale statunitense usato da Elton John, Robert De Niro e Madonna.

Le tecniche del ransomware, inoltre, si stanno evolvendo. La moda del momento è aumentare la pressione sulle vittime, per indurle a pagare, minacciando di vendere via Internet i dati rubati. Visto che il metodo di attacco prevalente è il classico allegato infettante inviato via mail, siate prudenti nell’aprire qualunque messaggio.

Fonte aggiuntiva: BBC.

Una bella notizia contro il ransomware: rilasciate le chiavi di sblocco di Shade

Quando il ransomware colpisce un utente o un’intera azienda, sono sempre dolori. Ci si trova con tutti i dati di lavoro bloccati da una password che conosce solo il criminale che ha effettuato l’attacco e che vuole soldi per rivelarla. Se non c’è una copia di scorta offline dei dati, è impossibile riprendere l’attività senza pagare il riscatto.

Questi concetti di prevenzione sono ben conosciuti, ma ce n’è un altro di gestione del danno che viene spesso dimenticato: non conviene buttare via i dati cifrati dal criminale.

Ogni tanto, infatti, viene scoperto il modo di decrittare i dati anche senza la password. Di solito è perché i criminali sono stati maldestri; raramente è perché i criminali decidono di regalare la password. Ê l’equivalente informatico di un ladro che torna a casa del derubato e gli riporta tutta la refurtiva.

Eppure è successo: la banda di criminali informatici che gestiva il ransomware denominato Shade o Troldesh o Encoder.858 ha deciso non solo di interrompere i propri attacchi alla fine del 2019 ma ha anche rilasciato oltre 750.000 password (chiavi di decrittazione) per aiutare le vittime a ricostruire i propri dati, segnala l’esperto informatico Graham Cluley.

La banda ha pubblicato anche il codice sorgente del proprio software e istruzioni dettagliate su come usarlo, così gli esperti che lavorano per le aziende che producono antivirus potranno creare degli strumenti di decrittazione automatica. La correttezza e autenticità delle chiavi rilasciate dai criminali sono state confermate da Kaspersky.

Le ragioni di questo improvviso ravvedimento non sono note. Si possono solo fare congetture.

Morale della storia: se vi capita di subire un attacco di ransomware, non perdete ogni speranza, concentratevi sul recupero dei dati più essenziali e conservate una copia di tutti i dati criptati. Non si sa mai che un giorno diventino recuperabili.