I 3 stabilimenti sono chiusi ormai da Martedì mattina ed è difficile capire quando potranno riaprire, dato l'alto livello di automazione e digitalizzazione aziendale: il blocco riguarda i settori commerciale, amministrativo, produttivo che, assieme, compongono una struttura 4.0, all'avanguardia. Anche il sito ufficiale italiano, trigano.it, è offline da giorni.
Per quanto non sia la prima volta che accade, quanto successo in Florida sta facendo il giro del mondo: un attaccante è riuscito ad avere accesso al sistema di depurazione dell'acqua della città di Oldsmar in Florida e tentato di incrementare la concentrazione dell'idrossido di sodio (NaOH), meglio conosciuto come soda caustica, nell'acqua trattata. L'idrossido di sodio è comunemente presente in molti detergenti per la casa, ma diviene estremamente pericoloso se ingestito in alte concentrazioni. In basse concentrazioni è usato negli impianti di depurazione dell'acqua per regolarne l'acidità (PH) e rimuovere metalli pesanti.
L'attacco è avvenuto lo scorso Venerdì intorno alle 1.30 della notte, ora locale: l'attaccante ha ottenuto l'accesso e preso il controllo del pc di uno degli impiegati dell'impianto usando TeamViewer: questo quanto dichiarato all'agenzia di stampa Reuters dallo Sceriffo della città Bob Gualtieri. Uno degli operatori dell'impianto ha raccontato di aver visto qualcuno prendere il controllo del mouse del suo pc e usarlo per effettuare alcuni cambiamenti nel software che regola le funzioni del depuratore cittadino. L'intruso è riuscito a rimanere nel sistema dai 3 ai 5 minuti, portando il livello di soda caustica nell'acqua da 100 parti al milione a 11.100 parti per milione. La tragedia è stata evitata dall'operatore stesso, che ha immediatamente annullato le operazioni compiute e poi interrotto l'accesso remoto al sistema.
Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?
A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.
I malware della settimana 29/01
Questa settimana il CERT-AgiD ha individuato e sottoposto ad analisi 29 campagne dannose: 1 sola di queste era generica e veicolata anche in Italia, mentre le altre 28 sono state mirate contro obiettivi italiani. 155 gli indicatori di compromissione (IoC) individuati. Le famiglie di malware individuate in diffusione sono state 5 e non si registrano novità
L'unica particolarità della settimana è la diffusione del malware Oscorp, che il CERT-AgID non ha inserito tra le campagne perchè non è stato diffuso tramite campagne, ma tramite un dominio che veicolava un apk dannoso. Qui l'approfondimento del Cert-AgID.
Nonostante lo scenario fosco, vogliamo aprire con una buona notizia: si registrano sempre più persone / soggetti che decidono di resistere agli estorsori e rifiutare il pagamento del riscatto una volta subita l'infezione ransomware, talvolta grazie alla presenza del backup talvolta per mero coraggio, anche e nonostante le minacce dei cyber attaccanti di pubblicare i dati rubati prima della criptazione dei dati. Il numero di vittime coraggiose è stato così importante da aver fatto registrare, nell'ultimo trimestre del 2020, un calo significativo della media dei pagamenti di riscatto rispetto al trimestre precedente.
Ma si sta presentando un fenomeno ancora più insidioso e pericoloso, ovvero quello di procedere alla distruzione dei file durante l'attacco, senza lasciare alle aziende alcuna possibilità di recuperarli anche pagando il riscatto.
Attacchi ransomware "data wiping"
L'ultimo trimestre del 2020, stando ai dati di Coveware (un'azienda che si occupa di sicurezza informatica e offre anche servizi di vera e propria contrattazione coi gruppi ransomware in corso di estorsione), ha mostrato un chiaro e costante aumento di segnalazioni su interi cluster di server e dati condivisi spazzati via, letteralmente, da attacchi ransomware.
Ora, come si sa, solitamente i ransomware mirano target specifici, soprattutto sistemi di backup, e tentano la criptazione su macchine di alto valore. In questi casi però gli attaccanti hanno lasciato dietro di sé terra bruciata, cancellando tutto: senza nulla da recuperare le vittime che hanno subito un data wiping di questo tipo hanno dovuto ricostruire da zero i propri sistemi. Certo, questo sistema deve necessariamente basarsi, per gli attaccanti, sull'esistenza di copie dei file disponibili in forma criptata, altrimenti le vittime non avrebbero alcune motivo per richiedere il tool di decriptazione pagando il riscatto. Va comunque detto che non tutte le cancellazioni di dati sono state volute: molti sono anche gli eventi ransomware che portano ad una accidentale distruzione dei dati, conseguente poi per alcune vittime in un prolungato stop delle attività.
Gli operatori del ransomware Fonix hanno cessato le operazioni e reso pubblica la master key tramite la quale le vittime di questa infezione potranno riportare in chiaro i propri file.
Fonix in breve
Questo ransomware, conosciuto anche come Xinof o FonixCrypter, ha iniziato le operazioni poco tempo fa, nel Giugno 2020 e da allora ha costantemente infettato macchine senza far registrare alcun periodo di stop alla diffusione. Questa operazione ransomware non è stata così attiva come altre simili e ben più famigerate (pensiamo a REvil o STOP), però ha mostrato un certo aumento dell'attività.
Pochi giorni fa, un profilo Twitter appartenente (stando alle sue proprie dichiarazioni) agli amministratori di Fonix ha annunciato lo shut down del ransomware, con questo messaggio:
