Aziende svizzere sotto attacco ransomware: il Governo se la prende con le aziende scarsamente protette e poco attente agli alert di cybersicurezza

Il Reporting and Analysis Centre for Information Assurance (MELANI) svizzero ha diramato, qualche giorno fa un alert per le aziende svizzere piccole, medie ma anche di grandi dimensioni riguardo ad una serie di attacchi ransomware tutt'ora in corso.  

Secondo l'avviso emesso in collaborazione col Cert nazionale svizzero, gli attaccanti hanno richiesto alle aziende colpite riscatti che vanno dalle migliaia al milione di franchi svizzeri, poco meno di un milione di euro. Pare che, solo nelle ultime settimane, siano già dodici le aziende colpite, con criptazione dei dati e sistemi resi inutilizzabili. 

Il Governo se la prende con le imprese 

Le indagini del MELANI e del CERT svizzero riguardo i casi accertati di attacco hanno dato un responso chiaro: le aziende colpite non hanno implementato le pratiche di sicurezza raccomandate dal governo e ignorato i precedenti, a onor del vero numerosi, avvisi riguardo a questa tipologia di attacchi. Sono molti i governi infatti che, sulla scia della vera e propria cyberguerra che i ransomware hanno dichiarato, negli Stati Uniti, alle aziende e a svariati enti pubblici, stanno diramando alert riguardo la problematica e diffondendo chiare linee guida per la sicurezza dei sistemi aziendali, ponendolo come un problema di sicurezza nazionale. 

L'organismo di sicurezza informatica del governo svizzero inoltre ha espresso una linea molto chiara su un punto, quello del pagamento del riscatto: è apertamente sconsigliato il pagamento del riscatto sia perchè non c'è alcuna garanzia di avere indietro i dati usando gli strumenti di decriptazione forniti dagli attaccanti, ma anche per evitare di fare "pubblicità" alle campagne di hacking. Inoltre cosa vieterebbe loro di lasciare aperta una backdoor su sistemi già colpiti, riattivabile magari a distanza di tempo? La nota del MELANI cita anche due malware che girano "in coppia" coi ransomware (anche in Italia) ovvero Emotet e TrickBot, minacce che restano attive sul sistema anche una volta riportati in chiaro i file criptati. 

"E' importantissimo che le aziende interessate da questi attacchi contattino immediatamente la polizia cantonale - spiega la nota del MELANI - sporgendo denuncia e concordando la procedura per affrontare l'incidente. Finchè vi sono aziende che pagano il riscatto, gli attaccanti non smetteranno mai di ricattare le aziende". E cita il caso di alcune aziende ripetutamente colpite da attacchi ransomware in pochi mesi: è difficile immaginarsi il perchè di tanto accanimento su aziende che si dimostrano così facilmente disponibili al pagamento del riscatto? 

Alcune note tecniche

La nota in oggetto è interessante anche perchè il Governo Svizzero vi ha inserito una serie di raccomandazioni tecniche legate direttamente ai risultati delle indagini svolte nelle aziende colpite. Eccone alcune: 

• protezione virus e sistemi di allerta: le aziende colpite in questa ondata di attacchi non hanno notato, o non hanno preso sul serio, i messaggi di alert delle soluzioni antivirus installate su server e reti;
• protezione accessi remoti: i sistemi RDP di accesso da remoto hanno spesso password molto deboli, ingressi impostati su valori predefiniti (ad esempio la porta standard 3389) e senza alcuna restrizione di accesso (ad esempio reti VPN o filtri IP);
• disinteresse verso le segnalazioni delle autorità: sono stati ignorati gli alert e i suggerimenti delle autorità e degli internet service provider, o quantomeno sono stati presi poco seriamente;
• sistemi di backup: la quasi totalità delle aziende colpite disponeva di un sistema di backup online non disponibile offline. Sono quindi finiti criptati anche i backup, oppure rimossi completamente da funzionalità specifiche anti ripristino dei ransomware stessi;
• patch e gestione vulnerabilità: alcune delle aziende colpite non prevedevano un meccanismo continuativo di patching e upgrading dei software in uso sui sistemi aziendali. E' stata perfino riscontrata la presenza di software obsoleti o non più supportati;
• nessuna segmentazione delle reti: le reti colpite non erano segmentate, ovvero non divise in più parti separate tra loro. L'infezione quindi non poteva essere contenuta e si è diffusa lungo tutta la rete;
• eccesso di permissioni per gli utenti: si è riscontrata la pratica, assai diffusa, di concedere eccessive permissioni agli utenti, con assegnazione di permissioni che andrebbero riservati solo agli amministratori di rete. 

Un flusso continuo di alert anti ransomware

Come detto poco fa, c'è ormai un flusso quasi continuo di alert, diramati dagli enti responsabili della cybersicurezza governativi e da soggetti privati, che cerca di sensibilizzare le aziende di tutte le dimensioni ad organizzarsi per minimizzare i rischi. 

Solo l'FBI ne ha diramati due in pochi mesi: entrambi rivolti alle aziende, questi denunciano i rischi conseguenti alle campagne di diffusione dei ransomware LockerGoga, MegaCortex e Ryuk. Mentre un alert specifico è stato diramato sempre dall'FBI riguardo il tembilissimo ransomware Maze e la pratica dei suoi autori di rubare i dati prima della criptazione per poi pubblicarne piccole quantità al fine di aumentare la pressione ricattatoria sulle aziende vittime. 

Di meno di 5 giorni fa è un alert specifico del Cybersecurity and Infrastructure Security Agency (CISA) che, in seguito ad un attacco ransomware che ha colpito un gasdotto mettendolo "fuori gioco" per due giorni, lancia il massimo allarme ransomware verso i sistemi di gestione di infrastrutture critiche.