Qualche tempo fa abbiamo scritto un breve articolo che ricapitolava una delle più gravi ondate di attacchi ransomware degli Stati Uniti: municipalità, istituzioni scolastiche, ospedali con parte dei servizi bloccati o sospesi per il down dei sistemi, incapaci o senza i mezzi necessari per risolvere l'infezione e quindi obbligati nella scelta di una drammatica perdita di dati da un lato o del cedimento al ricatto dall'altro. E molte vittime hanno deciso di pagare il riscatto. La situazione si presentava così grave già nel mese di Luglio, al punto da portare lo stato della Lousiana a dichiarare emergenza nazionale.
La storia si ripete, ma in peggio
In un primo momento i dettagli pubblicati sono stati talmente scarsi da non riuscire a comprendere "i confini" dell'attacco, poi sono emersi ulteriori dati: pare che gli attaccanti abbiano preparato accuratamente l'attacco, prendendo di mira il Managed Service Provider (MPS) al quale è affidata la gestione dei sistemi IT della pubblica amministrazione texana. Una strategia drammaticamente efficace, già sperimentata nella diffusione del ransomware Sodinokibi.
Gli MPS infatti necessitano dell'utilizzo di software di controllo remoto per i propri servizi, al fine di poter accedere e gestire/fornire supporto ad ogni singolo computer dei clienti. Se gli attaccanti riescono ad accedere a questa funzionalità, possono distribuire malware di ogni tipo con il minimo sforzo su migliaia di computer.
In questo caso, la storia si è ripetuta, ma come detto, in peggio. I cyber attaccanti hanno infatti sferrato un attacco coordinato, per mettere alle strette l'intero Stato texano. Due cittadine hanno ammesso pubblicamente il problema con propri comunicati: trattasi di Borger (13.000 abitanti) e Keene (6.000 abitanti) che si ritrovano con alcuni servizi bloccati, tra i quali l'amministrazione ordinaria e l'anagrafe. La Municipalità di Keene ha riscoperto la cartamoneta, potendo riscuotere solo pagamenti in contanti a causa del blocco del sistema finanziario della città.
In questa situazione, forti anche dei rapporti di forza e dell'ovvia consapevolezza che gli enti pubblici hanno la massima urgenza di riavviare prima possibile i propri servizi, gli attaccanti hanno mirato molto in alto: il riscatto complessivo è decisamente elevato, 2.5 milioni di dollari per lo sblocco dei sistemi.
Governo ed FBI al lavoro per risolvere il problema
Gli ultimi aggiornamenti, risalenti ad un paio di giorni fa, specificano che ancora non si è del tutto tornati alla normalità. Il Governo, fermo nella volontà di non cedere al ricatto e di non voler quindi pagare alcun riscatto, ha attivato immediatamente il DIR - Department of Information Resource - ma vi sono anche autorità federali del calibro dell'FBI che stanno prestando aiuto e consulenza per le operazioni di risposta, supporto e per le indagini. Similmente al caso Lousiana, anche il Governo texano ha dichiarato l'emergenza, nel dettaglio il "Level 2 Escalated Response", il secondo livello più alto previsto dal protocollo statale di risposta all'emergenza (che consta di 4 fasi massimo). La situazione è difficile anche perché gli attaccanti hanno ben scelto le vittime: hanno colpito infatti anche piccolissime comunità, sprovviste dei mezzi, delle risorse umane e del budget necessari per affrontare tale livello di attacco.
Tra queste però spicca un esempio virtuoso: la Contea di Lubbock è stata parimenti colpita, ma aveva approntato dei protocolli di emergenza e risposta in caso di attacco informatico, la cui pronta esecuzione ha consentito di localizzare e isolare il ransomware prima che potesse diffondersi all'intera rete. Insomma, a Lubbock sono finiti bloccati solo alcuni singoli PC, a riprova che la prevenzione (che passa per l'implementazione non solo di strumenti antimalware, ma anche di protocolli da attuare in caso di emergenza) può rivelarsi la chiave tramite la quale è possibile mitigare gli effetti anche di un attacco ransomware devastante.
"Il protocollo è piuttosto semplice, quasi banale" ha dichiarato ai giornalisti Isaac Budu, il Direttore IT della Contea "abbiamo registrato attività sospetta proveniente da codice dannoso sui nostri sistemi. Al momento dell'individuazione dell'attività, non avevamo idea di cosa fosse e da dove provenisse tale codice. Lo staff, eseguendo il protocollo, ha immediatamente segnalato l'anomalia al dipartimento IT che, molto semplicemente, ha fatto spegnere i computer sospettati: questa banale mossa ha bloccato la diffusione del ransomware, limitando l'infezione a pochi PC mentre i sistemi (e quindi i servizi) sono rimasti operativi".
Nessun commento:
Posta un commento