Sono le 17:00 di un normale giovedì di lavoro e il personale dei nostri uffici è al lavoro come sempre su PC e server. Manca ormai poco alla fine della giornata e tutti sono di buon umore, anche perché un nostro collega è appena rientrato da una trasferta di lavoro all’estero e ha portato un pensierino gastronomico per tutti.  Insomma, il clima in ufficio è davvero rilassato e sereno.

Poi un “lampo”: dagli antivirus di due PC scatta l’allarme. Nemmeno il tempo di guardare che cosa stia succedendo ed ecco che i file PDF, XLS, WORD e PPT sono diventati improvvisamente degli… MP3:  criptati, senza possibilità di recupero!

CRYPTOLOCKER
CRYPTOLOCKER

Che cosa fare?

La risposta viene suggerita da una schermata nera:  “O speri in un miracolo e vedrai il prezzo raddoppiare, o inizia a procurarti i bitcoin…”

Queste sono le istruzioni che i signori “malviventi” (hacker?)  hanno depositato nel nostro sistema, dopo aver reso inutilizzabili (eh sì, nemmeno come MP3!) parte dei file sui nostri server.

Ebbene sì, è successo anche a noi: siamo stati vittime del famigerato ransoware  Cryptolocker e per fortuna (ma vedremo che non è solo fortuna) ci è andata bene.  Molte sono state, e tante altre lo saranno ancora, purtroppo, le Aziende colpite da questo malware e messe in ginocchio dalle richieste economiche dei criminali, senza alcuna certezza di veder ripristinati i sistemi o la sicurezza che nessun dato sia stato trafugato, nemmeno pagando il “riscatto”.

Prendere malware oggi è facile come prendere l’influenza (forse di più). Quello che fa la differenza è quanto si è pronti ad un evento del genere.

Che cosa è successo?

L’attivazione in simultanea di due scansioni di MCAfee ha fatto scattare l’allarme; il tempo di provare ad aprire un paio di file sul server e ci siamo resi conto di essere davanti al temutissimo CRYPTOLOCKER.

In una sezione specifica di uno dei nostri server l’epidemia è stata praticamente immediata, rendendo inutilizzabili tutti i file, a cui è stata cambiata l’estensione.

In un primo momento è risultato difficile definire i danni provocati.

Il VIRUS in questione muta di giorno in giorno, e così anche gli antivirus che DEVONO essere costantemente aggiornati: questa attività da noi avviene frequentemente ed in automatico. La breccia per entrare è stata creata probabilmente su un dispositivo sul quale l’antivirus non risultava aggiornato da qualche giorno con le ultime patch a causa di una trasferta lavorativa del suo proprietario.

Appena il PC infettato si è collegato al cavo di rete aziendale il malware si è trasferito al server e, cosa più importante, il processo è diventato bidirezionale: anche chi ha cercato di accedere a file sul server, o ne aveva qualcuno già aperto, è stato attaccato.

All’interno di una cartella in cui risiedevano diverse macchine virtuali (e che è stata la prima ad essere attaccata) è stata rivelata la minaccia, ed abbiamo trovato anche l’immagine JPG con le istruzioni per “pagare il riscatto”.

Che cosa abbiamo fatto subito?

L’unica cosa che si può fare – e che abbiamo fatto immediatamente – è disconnettere dalla rete tutti i PC connessi alla rete per evitare la propagazione del virus sui singoli terminali; il problema rimane ovviamente (più grave sui server), ma almeno sono stati preservati i dispositivi personali e soprattutto i dati che risiedono su di essi.

L’intervento tempestivo ha anche impedito il possibile invio di email o scambio di file con colleghi o clienti.

Un’altra cosa che è importantissimo fare il prima possibile è una denuncia alla polizia informatica: purtroppo ad oggi questa è una pura formalità e le possibilità di veder puniti i colpevoli è praticamente nulla.

Perché fare denuncia allora? Semplice. Per conoscere meglio il nemico, per presentare alle forze dell’ordine le nuove modalità di attacco, ed un sacco di altri motivi ma soprattutto per senso civico.

In Italia la normativa che obblighi a denunciare questi episodi e ancora acerba, e molti tendono a “nascondere la testa sottoterra”, come se non fosse successo nulla: si ha paura di una cattiva pubblicità, di ledere l’immagine aziendale ma non ci si rende conto che si fa solo il male della società.

Come è possibile che in uno degli stati con il maggior numero di PC infetti, ci sia una quantità di denunce praticamente irrisoria? Fino a che faremo finta di niente sarà impossibile accrescere la cultura in materia e l’Italia resterà per sempre arretrata sull’argomento.

Perché non abbiamo subito danni irreparabili

La questione non è più “come mi difendo da questo genere di attacchi”, ma “come faccio a rimettermi in pista più velocemente possibile”: non chiediamoci quando saremo attaccati, perché prima o poi lo saremo (se già non lo siamo stati), ma pensiamoci prima per essere in grado di ridurre i tempi di ripristino del sistema e di monitorare il traffico in entrata e in uscita per essere sicuri di non avere perdita di dati o altri “regalini” in futuro.

Un security e vulnerability assessment (con eventualmente penetration test, sia dall’interno che dall’esterno) fatto su base periodica ci può dare il polso della situazione e farci capire se protezioni e contromisure che abbiamo scelto di mettere in atto possono essere efficaci. E, in fase di revisione, valutarne anche di più aggiornate e potenti.

L’utilizzo del Cloud in questo caso è stato fondamentale per preservare il nostro patrimonio: un costante backup sia in loco che nella nuvola ci ha permesso di cancellare in toto tutte le cartelle infette sul server e di sostituirle con l’ultimo backup “pulito”, con una perdita di dati molto limitata.

Inoltre la nostra infrastruttura di rete è dotata di tecnologie e device il cui compito è quello di monitorare il traffico in entrata e in uscita, segnalando eventuali anomalie e rendendo più sicuri gli accessi remoti sia dei/con i nostri tecnici che con i colleghi del nostro reparto commerciale.