Attacco ransomware a Trenitalia: che cosa possiamo imparare, come possiamo difenderci
Attacco ransomware a Trenitalia: che cosa possiamo imparare, come possiamo difenderci
Nei giorni scorsi è rimbalzata su tutti i giornali la notizia dell’attacco informatico a Trenitalia. Sono stati attaccati alcuni terminali di vendita, e la reazione del gruppo ferroviario è stata immediata, con la disconnessione di tutte le biglietterie online ed i self-service, misura che ha provocato serie difficoltà, ma che, a detta dell’azienda, è servita per contenere e isolare l’attacco.
Il pensiero è subito corso alla possibilità che si trattasse di un attacco di cyberterrorismo legalo alla guerra in Ucraina, ma già in serata questa possibilità è stata smentita.
Si tratterebbe di un “semplice” ransomware, per cui, pare, sarebbe stato chiesto un riscatto di 5 milioni di euro. In molti hanno tirato un sospiro di sollievo, anche se, non per fare a tutti i costi la voce fuori dal coro, ma personalmente, invece, peggio mi sento, perché che una delle aziende più importanti del nostro Paese sia attaccata da un “semplice” ransomware la dice lunga sullo stato della educazione, consapevolezza e sicurezza in tema di cybersecurity e su quanta strada ci sia ancora da fare.
È vero, lo sappiamo e lo abbiamo detto mille volte: in tema di cybersecurity, come nella vita, il rischio zero non esiste, però ci sono una serie di buone pratiche e comportamenti che non solo si possono, ma si devono mettere in atto per prevenire i danni, anche esorbitanti, che potrebbero derivare da un attacco di successo.
Siccome purtroppo è proprio la tipologia di attacco ransomware ad essere uno dei più diffusi e pericolosi (si tratta di virus informatici che rendono inaccessibili i file dei computer infettati, con conseguenza richiesta estorsiva di un riscatto, in inglese ransom, per ripristinare la situazione precedente), vediamo insieme quali possono essere le possibili soluzioni pratiche per una strategia di protezione cyber di successo.
Che cosa sono e come funzionano i ransomware
I ransomware sono malware (programmi infetti) che rendono inaccessibili i dati in un computer con una chiave di criptazione al fine di richiedere il pagamento di un riscatto per riottenerne la disponibilità.
Si tratta di attacchi che hanno il solo scopo estorsivo, esattamente come un sequestro di persona, solo che in questo caso si tratta di sequestro di file e dati.
I dati non lasciano il computer, non vengono cancellati e non sempre vi è esfiltrazione, ovvero non sempre vengono diffusi. Semplicemente sono sulla macchina del proprietario o del titolare, ma è come se fossero chiusi in una cassaforte di cui solo il cyber criminale possiede la chiave.
Poiché i dati possono essere criptati un numero innumerevole di volte, avere già il proprio data base o server criptato, di fatto non protegge da un attacco ransomware, ma solo da possibili esfiltrazioni dei dati oggetto di sequestro, in quanto il ransomware può a sua volta re-criptare i dati già criptati con una chiave diversa.
Per ottenere la chiave di decriptazione, di solito viene richiesto un pagamento, parametrato non solo alle dimensioni del data base sequestrato, ma anche alla consistenza del fatturato aziendale, da effettuarsi in criptovalute, seguendo specifiche istruzioni fornite dai criminali stessi.
Quali sono i veicoli di diffusione di un ransomware
Le email di phishing costituiscono lo strumento più comune per la diffusione dei ransomware; si tratta di email che ci invitano a cliccare su link malevoli o scaricare file infetti oppure a compiere azioni che aprono una falla nel sistema di protezione della rete e possono installare il malware al suo interno.
Questa modalità di attacco sfrutta da un lato l’enorme diffusione delle email quotidianamente nel mondo, dall’altro la scarsa attenzione ed il basso grado di consapevolezza e di formazione degli utenti, che si fidano di email mascherate da messaggi ufficiali, o da posta inviata da amici e conoscenti, o dalla propria banca o da enti istituzionali.
In questo modo vengono veicolati il 75% dei ransomware che colpiscono ogni giorno imprese e privati, e l’errore umano continua ad essere un vettore di attacco potentissimo.
Alternativamente, i ransomware si propagano attraverso vulnerabilità presenti su certi programmi, che magari non vengono aggiornati con la giusta frequenza, o nei sistemi operativi, attraverso la navigazione in siti compromessi, o con il download di programmi da siti non sicuri.
I malware possono circolare tramite supporti rimovibili, come chiavette usb infette, tramite il cosiddetto baiting, che letteralmente sfrutta la curiosità umana, che porta, nel caso di rinvenimento di una chiavetta o di un hard disk, a collegarlo al proprio computer per vedere che cosa c’è dentro. La letteratura è piena di curiosi famosi puniti dall’ira degli dei, da Ulisse a Pandora, dunque non stupisce che qualcosa di così “moderno” come un attacco informatico faccia leva su una debolezza antica quanto l’uomo stesso.
Quale che sia il veicolo di attacco, cioè lo sfruttamento di un errore umano, di una vulnerabilità di sistema, o di una porta lasciata aperta nel perimetro di sicurezza aziendale, prendere un ransomware è un’eventualità più diffusa e più semplice di quanto non si pensi, e pur non trattandosi di un attacco particolarmente sofisticato, spesso risulta essere particolarmente efficace.
Inoltre, un ulteriore metodo per forzare la vittima a pagare il riscatto è la cosiddetta doppia estorsione, ovvero non solo sequestrare i dati per ottenere in cambio il pagamento del riscatto, ma anche minacciare la vittima di esporre i dati esfiltrati su un sito pubblico o venderli nel dark web, con conseguenze pesantissime ai danni dell’azienda, sia in punto danno di immagine, sia per tutto quanto consegue in termini di responsabilità derivanti dall’applicazione del Regolamento Generale per la Protezione dei Dati 679/2016, che prevede l’intervento del Garante della Privacy e le eventuali (salatissime) sanzioni.
Anche la compromissione di password e credenziali costituisce un ottimo canale per la diffusione di ransomware ed a questo proposito è bene utilizzare poche regole di basilare attenzione: non usare mai le stesse credenziali per servizi diversi, e mai la stessa password per accedere a servizi aziendali e personali, stabilire una password policy e una procedura per il cambio periodico e favorire l’utilizzo di un buon password manager per la gestione centralizzata e sicura delle proprie credenziali di accesso.
Come proteggersi dai ransomware: la prevenzione
Come sempre in tema di sicurezza informatica la miglior protezione è la prevenzione ed un’adeguata preparazione degli utenti. Formazione e sensibilizzazione sono le chiavi vincenti per sventare se non tutti, gran parte degli attacchi.
Avere un sistema antivirus ed un sistema operativo sempre aggiornati costituiscono le basi di una tecnica di prevenzione efficace, poiché nella guerra perenne tra sviluppatori e criminali vince chi rimane più aggiornato.
Avere il backup, cadenzato con la stessa frequenza con la quale i dati si aggiornano, fa parte delle misure minime di sicurezza da adottare; possibilmente sarebbe meglio averne anche più di uno (secondo il principio della ridondanza: tre copie di ogni dato, due on-site ma su storage diversi ed una off-site in cloud). Il backup dei dati aziendali dovrebbe essere un’attività pianificata secondo il principio di “data security by design”, ma anche questa semplice precauzione non è così scontata come a prima vista potrebbe sembrare.
Ci sono molte protezioni che possono essere implementate dagli amministratori di sistema, dalle più semplici alle più complesse, ma poiché il phishing, la compromissione di credenziali e password e le falle nella sicurezza, come abbiamo visto, costituiscono i principali canali di accesso, non dimentichiamo che l’anello più debole della sicurezza informatica è rappresentato dall’errore umano, per cui rimane fondamentale la formazione, l’informazione e l’aumento della consapevolezza degli utenti, che troppo spesso vengono sottovalutate.
Che cosa fare in caso di attacco di successo
Nonostante tutta la prevenzione di cui possiamo essere capaci, un attacco può sempre avere successo. In questi casi sarebbe bene avere già pronta una procedura da seguire per la gestione del data breach, anche dal punto di vista strettamente inerente il GDPR (comunicazioni al Garante ed agli interessati) ed una procedura per il disaster recovery, in modo da assicurare la minor interruzione aziendale possibile e ripristinare lo status quo senza (troppi) danni.
La soluzione migliore, meno costosa e più efficace è quella di ripristinare i dati da backup.
Se si sono seguite le regole per un backup efficace, e quindi si ha a disposizione una copia dei dati recente e funzionante, e se si è stabilito precedentemente la tecnica di recupero, questa è la sola soluzione percorribile e quella a minore impatto. Anche qualora il backup non dovesse essere il più recente, potremmo comunque sperare di ripristinare una versione precedente dei dati, che consentirebbe comunque di limitare i danni. Prima di recuperare i dati è bene eseguire una bonifica integrale del sistema, che preveda una formattazione completa di tutte le macchine infettate e solo successivamente si può procedere al ripristino.
A quel punto, sarà necessario individuare qual è stato il vettore di attacco, ed andare a reagire incrementando i livelli di sicurezza, riparando le falle o investendo maggiormente in formazione.
Purtroppo il ripristino da backup non protegge dalla doppia estorsione, cioè dal rischio che i dati siano stati esfiltrati e vengano diffusi o venduti nel dark web, ma per lo meno consente di assicurare la continuità aziendale.
In alternativa ed in mancanza di un backup, si può tentare di decrittare i dati con tool appositi ma solitamente questo funziona per i ransomware “vecchi” già utilizzati da qualche anno. Siccome il mercato di sviluppo dei ransomware è sempre aggiornato, è molto difficile trovare in rete file di decrittazione veramente efficaci, senza contare il rischio di cadere in falsi decrittatori e peggiorare la situazione!
Infine, ultima spiaggia, pagare il riscatto, che in alcuni casi può essere anche molto elevato, come quello chiesto a Trenitalia, che sembra essere di cinque milioni di euro. Allo stato attuale, l’azienda nega di aver ricevuto richieste in tal senso e tanto meno di avere pagato.
Pagare il riscatto è la soluzione a cui non si dovrebbe mai arrivare, in quanto incentiva la proliferazione dei malware a scopo estorsivo, ma finché non si arriverà, come per i sequestri di persona, a prevedere una legge che congeli i patrimoni aziendali per impedire di pagare il riscatto, questa pratica di per sé non è illegale, anche se molto rischiosa.
C’è comunque sempre la possibilità che i dati non vengano restituiti, anche dopo il pagamento, o che l’estorsione continui, con la minaccia di esposizione dei dati in caso di mancato versamento “periodico”.
Una situazione in cui si spera veramente di non trovarsi mai, che purtroppo non è interamente e completamente possibile evitare, ma che si può cercare di ridurre al minimo solo con un’unica risposta possibile: prevenzione, formazione, consapevolezza. Importanti in tempo di pace, imprescindibili in questi incerti tempi di guerra.