skip to main | skip to sidebar
65 commenti

Cronaca di un attacco di ransomware: in chat con i criminali

Nota: alcuni nomi, luoghi e riferimenti temporali sono stati alterati per rispettare la riservatezza delle aziende e delle persone coinvolte senza cambiare il senso e la fedeltà del racconto, che pubblico in forma anonimizzata con il consenso degli interessati. Ultimo aggiornamento: 2017/04/21 10:50.

Quello che segue è un racconto di un grave attacco informatico a un'azienda che ho seguito personalmente come giornalista, arrivando a dialogare con gli aggressori, ma è soprattutto un promemoria del fatto che storie come questa possono capitare a chiunque e dovunque e hanno conseguenze pesanti per chi non fa prevenzione.

Quindi fate sempre copie dei vostri dati; isolate fisicamente queste copie da Internet e dalla vostra rete aziendale; addestrate i vostri dipendenti a essere sospettosi; impostate i computer in modo che non possano eseguire programmi o codici scaricati da Internet.

Ringrazio l’azienda e i tecnici che hanno dato il consenso alla pubblicazione di questo resoconto e hanno raccolto le immagini che lo illustrano.


3 marzo 2017, 2:00 AM


Sono le due del mattino: come capita spesso agli informatici, sono ancora al computer e mi vedo arrivare una mail intitolata Urgente ransomware. Se qualcuno mi scrive a quest'ora, dev'essere davvero urgente, per cui leggo subito la mail, che dice che un'azienda della regione in cui abito è stata attaccata da criminali informatici e "tutto è stato criptato". Sono scomparsi tutti i dati di produzione; cosa peggiore, sono stati criptati anche i backup. Senza i dati aziendali ci saranno più di cinquanta dipendenti che non potranno lavorare: niente mail, niente contabilità, niente di niente.

I criminali vogliono 2 bitcoin di riscatto (circa 2000 franchi) entro cinque giorni per fornire la chiave di decifrazione. Trascorsi questi cinque giorni, il riscatto raddoppierà. L'azienda pensa subito di pagare, perché ogni giorni di inattività costa migliaia di franchi, ma i titolari non sanno come procurarsi i bitcoin e così chiedono aiuto a me.

Avendo già visto cosa succede e come ci si sente in casi come questi, rispondo subito nonostante l'orario: chiedo una schermata che mostri l'avviso visualizzato dal ransomware, per capire se per caso è uno di quelli per i quali esiste già una chiave di sblocco conosciuta (nel qual caso non ci sarebbe bisogno di pagare) o uno di quelli che cifra i dati ma non li decifra (nel qual caso è inutile pagare, perché tanto i dati non verranno recuperati).

Ricevo la schermata, scritta in buon inglese: il ransomware è Nemesis, che non ha chiavi di decifrazione note. Però ha una chat interattiva (sì, si può dialogare con il "servizio clienti" dei criminali) e anche un pratico link a un video tutorial presente su Youtube (ma non creato dai criminali) che spiega come installare il browser Tor per poi accedere alla chat.



C'è il problema di procurarsi i bitcoin: io non li posso fornire, perché dal punto di vista legale, visto che so a cosa servono, un mio aiuto potrebbe essere considerato come una forma di assistenza ai criminali e quindi di complicità. Posso solo indicare alcune informazioni pubbliche (per esempio il fatto che si possono acquistare bitcoin presso le stazioni ferroviarie svizzere) e citare le raccomandazioni di MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Confederazione), che sconsigliano di pagare.

Raccomando di spegnere appena possibile tutti i computer affetti e di isolarli da qualunque connessione di rete cablata o Wi-Fi. In casi come questi, infatti, bisogna presumere che tutti i computer della rete aziendale siano infetti e debbano essere bonificati uno per uno. Fino a quel momento, nessuno di essi deve collegarsi a Internet o alla rete aziendale per non reinfettarsi e reinfettare gli altri computer.

Bisogna anche pensare a eventuali dispositivi o macchinari connessi alla rete aziendale: il ransomware colpisce i sistemi Windows, ma che succede se uno dei macchinari è comandato da un PC che usa questo sistema operativo?

Consiglio inoltre di non tentare di risolvere l'attacco usando antivirus o altro, almeno fino a quando non saranno stati recuperati i dati: c'è il rischio che l'antivirus riconosca e rimuova il malware che serve per la decrittazione (ammesso, e non concesso, che i criminali siano di parola e diano la chiave di decrittazione).

Il sistemista chiamato dall'azienda per risolvere la crisi, Giovanni (non è il suo vero nome e non è lui responsabile delle scelte informatiche dell'azienda), è già al lavoro ed è già in chat con i truffatori da mezzanotte. Ormai è chiaro che i dati non sono recuperabili in altro modo e che l'unica via per tentare di far ripartire l'azienda è pagare il riscatto, sperando che i criminali siano di parola e diano la chiave di decrittazione.

@Support: Hello!
Are your files encrypted?
@User: Yes
@Support: Please your all personal IDs
@Support: I need all the IDs to calculate the total cost and possible discounts
[...]

Il ransomware, infatti, genera uno più numeri identificativi individuali (ID), che i criminali usano per generare la chiave di decrittazione. Notate il tono professionale, quasi da servizio clienti, appunto, del criminale che chiede i dati per calcolare persino gli eventuali sconti.

Il criminale fornisce le coordinate del proprio wallet nel quale versare i bitcoin e offre persino consigli su come proteggersi e del software che dà "immunità" contro ulteriori attacchi: in pratica, un pizzo. Che naturalmente si paga a parte.

@Support: Tips, programs to protect your computer. Immunity from nemesis.
@Support: 200$. This is bought separately.

I criminali sembrano quasi cortesi, dei ladri gentiluomini, ma Giovanni scopre che gli hanno installato nei computer aziendali un malware, RPD Patch, pronto a colpire.


3 marzo 2017, pomeriggio


Primo giorno di paralisi dell'azienda. Giovanni, il sistemista, si è procurato un po' di bitcoin e inizia a negoziare con i criminali. A loro risulta che i computer infettati siano cinque, ciascuno con una chiave separata, ma Giovanni ha poco meno di 2 bitcoin e quindi i criminali sono disposti a dargli solo due chiavi di decrittazione. Si offrono di fare uno sconto: se l'azienda paga 4 bitcoin, daranno tutte le chiavi e anche l'immunità da futuri attacchi. Il sistemista comincia a pagare per due chiavi. Invia i bitcoin e aspetta, sperando che arrivino le chiavi.

Passano vari minuti di angoscia senza risposta. E se i criminali si tengono i soldi senza fornire le chiavi? Sarebbe un danno aggiuntivo a un'azienda che sta già perdendo soldi perché è ferma, oltre a essere una beffa amara. Ma alla fine arriva, sempre via chat, un link a una pagina di Pastebin.com che contiene le chiavi per decrittare.

Giovanni prova le chiavi su un file: funzionano. Il file viene decrittato e recuperato.

Sembra che tutto si sia risolto, ma dopo quattro ore di decrittazione Giovanni deve ricontattare (sempre in chat) i criminali: alcuni file non sono recuperabili. I criminali spiegano il motivo: sono stati cifrati più volte perché erano accessibili tramite più di una condivisione di rete. I file in questione sono dati vitali, per cui l'azienda deve pagare ancora. Giovanni tenta una trattativa sul prezzo (gli asterischi indicano dei dati che ho omesso per riservatezza):

@Support: Hello, This means that the file has been encrypted several times. To decrypt the file completely, you need to decrypt it with each IDs.
@Support: Starting at the end
@Support: First 289*******, then 337*******, 326*******, 208*******
@User: but we have the decrypt only for 208******* and 105********
@Support: If you pay for all IDs, therefore, this is not a problem. I wrote you the decoding order. Eventually the file will be fully decrypted.
@Support: Yes. What keys you indicated, such and received. Pay for the rest and you will be able to decrypt the files in reverse order.
@User: for 289*******, 337*******, 326******* need I to pay 2 BTC or there is a little discount?
@User: 2 BTC or a little bit discount?
@Support: To decrypt current the file with the ID 337********, you need to decrypt first with the ID 289*******, etc
@User: I understand....
@User: I just want to know the final price
@Support: I'm ready to make a discount. Total for 3 servers(289*******, 337*******, 326*******): 1.85 BTC
@User: OK, thanks! but will be Tomorrow, is 11:18 pm here now

La giornata del sistemista termina poi oltre mezzanotte, risolvendo insieme ai criminali alcuni problemi tecnici nel funzionamento della decrittazione, ma restano ancora molti dati indispensabili che non sono stati decrittati. Addirittura i criminali si offrono di risolvere il problema proponendo di mandare a loro i file problematici:

@Support: Send me encrypted files. Upload to ge.tt, sendspace.com or mega.nz
[...]
@Support: I passed your problemed file to our programmer. Wait for the result
@User: OK Thanks


4 marzo 2017


Secondo giorno di paralisi dell'azienda. I bitcoin restanti da pagare non sono ancora arrivati. Giovanni prende tempo: ha comunque da fare, perché nonostante la decrittazione i dati di Exchange non sono più leggibili ed Exchange non parte, per cui deve migrare tutto al volo su Office365.

C'è poi da scoprire come è stato sferrato l'attacco. Le tracce che vengono scoperte dal sistemista sono piuttosto chiare: stavolta non è stata usata la classica mail con allegato infetto, ma i criminali avevano le password di accesso remoto ad almeno un server. Come è possibile? Probabilmente le hanno ottenute grazie a un precedente attacco informatico a un fornitore dell'azienda che aveva queste password. E purtroppo, per ragioni di convenienza pratica, non c'era un controllo sull'origine dei tentativi di accesso, per cui i server accettavano connessioni di qualunque provenienza invece di accettare solo quelle provenienti dagli indirizzi IP del fornitore.


5 marzo 2017


Inizia il terzo giorno di paralisi (non più totale; parte dei dati è tornata disponibile). I bitcoin sono arrivati: Giovanni li versa ai criminali e li avvisa in chat del pagamento effettuato. I criminali forniscono prontamente le ulteriori chiavi di decrittazione e Giovanni le usa: dopo tre notti e tre giorni di lavoro tutto sembra in ordine.

Sono quasi le tre del pomeriggio, e tramite Giovanni pongo ai truffatori un paio di domande: come mai fanno i criminali invece di usare il loro talento tecnico in un'azienda di sicurezza informatica? Risposta secca: le aziende pagano poco e questo a loro non piace. Il fatto che la risposta usi "We" è una conferma diretta che si tratta di un gruppo e non di un singolo criminale.

@User: BTW: You're clearly a very talented person, Can I ask you why you choose to use your talent for crime instead of using it to get a job in a computer security company?
@Support: Hello. Decrypt the problem files on a separate computer. They are not infected, do not worry. Thank you. In companies, pay little. We do not like it.


Chiedo se hanno mai considerato i danni che causano: perdite di posti di lavoro, piccole aziende costrette a chiudere. Anche qui, risposta secca, che stride con la professionalità dell'assistenza tecnica fornita fin qui: "Non m'importa. Addio".

@User: Have you thought about the damage you cause with your ransomware? People lose their jobs. Small companies may have to close. Don't you care even a little?
@Support: I do not care. Bye.
@User: bye

Un'ultima domanda: quale sarebbe stato il software per garantire l'immunità?

@Support: Anti-ransomware by Kaspersky LAB, Anti-virus software(nod32 or kis), Comodo firewall

Buono a sapersi.


Epilogo


La vicenda che ho raccontato mostra che anche in una situazione quasi "ideale", per così dire, nella quale i dirigenti dell'azienda decidono subito come procedere, i sistemisti intervengono prontamente e in modo professionale e i criminali forniscono le chiavi di sblocco dei dati, i disagi causati dal ransomware restano forti:

-- giorni di lavoro perduti;
-- l'incertezza di non sapere se il malware è stato davvero estirpato del tutto;
-- la decrittazione che non è mai perfetta e lineare;
-- le inevitabili recriminazioni sul fatto che se fosse stato seguito il consiglio degli esperti di fare manualmente un backup periodico fisicamente isolato (nastri o dischi rigidi in cassaforte), invece di ricorrere a soluzioni automatiche su rete locale, l'attacco sarebbe stato evitabile.

È chiarissimo, in questo caso, che la prevenzione è tutto e investire per ottenerla è indispensabile. Spero che questa storia vissuta aiuti qualcuno a fare questo investimento ed evitare di finire vittima di criminali come questi.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (65)
...certo che qualche erroruccio a monte sulla gestione della sicurezza c'e' stato...
Non mi sembra molto affidabile chiedere ad uno "spacciatore" di ransomware quale software possa prevenire efficacemente i propri "prodotti"...
La cosa che più mi colpisce in negativo di questa storia sono le modalità di infezione; anche nella mia società siamo costretti a fornire degli accessi remoti a fornitori, ma almeno, per policy, sono in Lan-to-Lan... Vorrei spendere una parola sull'addestramento dei dipendenti: nonostante le migliaia di Euro spesi, con corsi di formazione, brochure, ecc, ad ogni onbdata di email di email ransomware ci sono sempre quelle 20/30 persone che aprono l'allegato! Anche persone giovani e "informatizzate". Quindi l'addestramento sarà anche importante, ma preferisco affidarmi ai miei cari, vecchi tape.
1) il cliente NON aveva un backup. Un backup essendo un giro di copie lontane dalla macchina NON sono UNA copia su un fetido hdd magari sulla presa mouse lasciato pendulo.
Non e' un backup neppure un NAS o un coso che cosa (aka cloud)

2) non e' stato colpito solo la condivisione ma pure gli hdd del server. Pare strano perche un attacco automatico solitamente non lo fa.
quindi
a) il troiano e' stato fornito volontariamente da un possessore di pass MOLTO alta (su win server le pass da admin sono di molte sfumature)
b) il srv e' usato ad caxxum da molti magari per navigare con pass di admin termonucleare (AD+admin sistema+accessi+....)
c) il server ha in condivisione c:\ (capita, capita...)

3) e' normale me meddxchange non vada dopo una roba cosi'. perde l'allineamento del DB. L'unica cosa che l'inutile programma non ha colpa.
infatti anche il backup va ponderato bene, come del resto quello di SQL. L'unica peggiore di EX-derelitt-change che potete fare e' appoggiarsi a 365 o martellarsi gli zebedei.

ora bisogna licenziare il sistemista che non ha fatto il backup.

comunque, come accade, il ramsomware e' spesso un desiderata e solo grazie a questo che e' diventato cosi penetrante e con una costosa gestione clienti cosi' attenta.
il giro di affari e' sicuramente superiore a tutta l'industria della musica mondiale.
Pensiamoci quando ci lamentiamo dei soldi di un LP.

alcuni miei vaneggiamentei sul ramsom dopo che 3 clienti in un mese si erano acchiappati il desiderata
http://allarovescia.blogspot.it/2016/02/ramsomware.html

Solo una precisazione, nel tuo articolo continui a scrivere "infezione" come fosse un virus, Nemesis come tutti i ramsonware sono Trojan che non infettano altri eseguibili. Un comportamento simile è facilmente individuabile, ecco perchè la quasi totale scomparsa dei virus, e la proliferazione di malware e trojan.
Il fai da te nella sicurezza e' molto pericoloso.
Con tutta la buona volonta' di chi vuol far da solo, questa persona non riuscira' mai ad avere il range di esperienza di qualcuno che vede molte realta' (e molti disastri...).

Non sono piu' i tempi di 4 PC e un server con un gestionale e un Word Processor ne' i tempi dei malware scritti per divertimento.

Questi sono tempi di sistemi estremamente complessi (nonostante le litanie narcotiche della pubblicita' vi dicano che e' tutto naturale, semplice, intuitivo....) e di malware confezionati da organizzazioni governative oppure organizzazioni criminali.
Fossi il capo di Maurizio o come realmente si chiama gli darei il benservito dato che evidentemente la policy di backup era fallata di brutto!
I backup dei dati aziendali tutti collegati in rete? davvero? L'ABC del sistemista è quello di avere più backup isolati dalla rete e dislocati in luoghi diversi.
E poi concordo con @Cybermax: si può fare tutta la formazione che si vuole ma il tontolone che aprirà un allegato senza chiedersi chi e perchè glielo ha inviato ci sarà sempre.

Quindi il backup come mantra di vita è l'unica soluzione e nel caso specifico si sarebbero risparmiati alcune migliaia di euro e soprattutto l'azienda sarebbe tornata operativa in "poche" ore e non giorni.
Un fornitore è in grado di accedere a tutti i files e non solamente a ciò che lo riguarda? Oppure dopo l'accesso è stata effettuata una scalata dei privilegi?

Wow... non immagino in questi 3 giorni di lavoro "Giovanni" quanti anni di vita abbia perso... :-/
anch'io, modesto utente privato, cercando qualcosa in internet mi sono visto arrivare un messaggio del tipo "... il tuo computer è compromesso installa subito questo aggiornamento..." killed subito con task manager senza cliccare niente sulla pagina
Nelle PMI il backup e' visto solo come una "perdita di tempo" e soldi sprecati... fino a che non capita la tragedia (anche la semplice morte di un HDD o -peggio- il furto o perdita di un PC).
La sensibilita' degli amministratori o dirigenti, specialmente se vecchi o disinformatizzati e' praticamente nulla ("tanto non e' mai capitato nulla e al massimo andiamo come siamo sempre andati, con la carta e il telefono") e per un responsabile IT chiedere soldi per le licenze antivirus e sistemi di backup e' quasi impossibile (non sono "investimenti produttivi", non aumentano l'efficienza o diminuiscono i costi, anzi, li aumentano).
Occorre che capiti il disastro prima che se ne rendano conto "tanto, capitano solo agli altri... se ci capita vedremo...", solo che spesso il "vedremo" e' troppo tardi e conosco alcune aziende che hanno chiuso per aver perso (trafugato) tutti i loro dati (anche i cartacei...).
Servirebbe MOLTA piu' cultura a livello amminstrativo (perche' la base, purtroppo, e' molto piu' difficile da educare, o gli tagli le mani o l'allegato maligno te lo aprono, SEMPRE...) ed equiparare le spese di backup o antivirus alle spese per la sicurezza di stabilimento (antifurto, vigilanza, antinfortunistica).
Io con la mia azienda, invece di proporre backup con il tape (vecchi, lenti e che richiedono un intervento umano) propongo sempre una soluzione di backup in cloud (ovviamente criptato, quindi non leggibile da chi ospita il servizio cloud) ed essendo automatico nessuno si dimentica di farlo.
Curiosità, è possibile conoscere il wallet bitcoin usato dai criminali? Mi piacerebbe seguirne la storia sulla blockchain.
Nelle aziende, come quella dove ci lavoro, si tende ancora a sottovalutare il valore del contenuto dei pc e dei server. Anche da noi si spende il meno possibile. I due hard disk esterni USB che uso per backup li ho comprati mia sponte e pagati di tasca mia.

Chi ci fornisce assistenza ha imnpostato il backup su un NAS da cui un altro NAS, gemello e senza condivisioni, preleva i dati (attenzione al dettaglio: non è il NAS che trasmette i dati ad un altro, ma è il secondo a prenderseli).

I tecnici ci hanno detto che è un sistema a prova di ransomware. Non lo metto in dubbio (e non ho le competenze per farlo) ma resto dell'idea che un sistema scollegabile sia ancora più sicuro. Ma, soprattutto, ritengo che un supervisore di queste attività interno sia ancora più prezioso.

Preciso che tutto questo sistema di copie è stato attivato dopo (sempre dopo si fanno queste cose :-D ) che il mio pc e un paio di portatili sono stati colpiti.
Per fortuna non c'è stato danno alla rete perché, per un caso fortuito, i due portatili sono stati colpiti quando erano fuori sede ed io me ne sono accorto subito (il pc si è improvvisamente "appeesantito" e l'hard disk "macinava" a più non posso). Comunque se non avessi avuto il mio backup sarebbe saltata buona parte della contabilità.

Nonostante si tratti di un consorzio con attrezzature per milioni di euro, le aziende che ne fanno parte si rifiutano di mettere due spiccioli (relativamente ai loro bilanci) a testa per pagare un sistemista interno che curi la sicurezza, i backup il disaster recovery ecc.

PS: quando ho fatto notare che grazie al mio backup non abbiamo perso i dati sapete le risposte della dirigenza?
La prima è stata del tipo "buon per te perché tu non sei stato attento altrimenti non avresti preso nulla (il primo pc colpito è stato il mio) e menomale che hai rimediato col tuo backup" la seconda, collegata alla prima, è stata del tipo "vedi? c'è voluto così poco per rimediare ad un ransomware: è bastato un disco usb, quindi, a che serve un sistemista?"

La mia fortuna è stata che i portatili colpiti dal ransomware erano proprio di quei dirigenti che, a differenza mia, "stanno attenti" e non si fanno "fregare" altrimenti i due NAS col cavolo che li comperavano. :-)
Ok la prevenzione, ma mi viene da chiedere quanto sia efficace a fronte dell'errore umano.

Nel senso... non so bene cosa abbiamo in azienda da noi, ma regolarmente il team IT sente il bisogno di ricordarci di non aprire email con allegati sospetti. E siamo una software house, per cui mi viene da pensare che la totalità dei lavoratori sappia a cosa si va incontro.

Per cui, è veramente possibile proteggersi da tali cose se poi l'anello debole è comunque il collega che apre le mail ad mentulam?

E un'altra domanda: esistono assicurazioni a riguardo? Una bella polizza contro il crimine informatico?
Tutti,

ho aggiornato l'articolo per chiarire che il sistemista ("Giovanni") NON è responsabile delle scelte aziendali precedenti in campo informatico. Non è colpa sua se c'erano accessi non blindati o se non c'erano backup offline.
[quote-"markeclaudio"-"/2017/04/cronaca-di-un-attacco-di-ransomware-in.html#c2761458153964235396"]
Io con la mia azienda, invece di proporre backup con il tape (vecchi, lenti e che richiedono un intervento umano) propongo sempre una soluzione di backup in cloud (ovviamente criptato, quindi non leggibile da chi ospita il servizio cloud) ed essendo automatico nessuno si dimentica di farlo.
[/quote]

Sono d'accordo con la necessità dell'intervento manuale (anche se, a volte, i troppi automatismi generano non pochi casini), ma per quanto riguarda la lentezza ti assicuro che non è così: con uno switch FC ottengo prestazioni in scrittura dei dati anche nell'ordine delle centinaia di GB/ora; dovendo scrivere anche un TB al giorno per degli incrementali, un backup in cloud sarebbe semplicemente impensabile, pur avendo a disposizione parecchia banda.
Enrico,

credo sia meglio non divulgare dati precisi su questa vicenda.
Ciskje,

Solo una precisazione, nel tuo articolo continui a scrivere "infezione" come fosse un virus

Se ho del malware su una mia macchina, la considero infetta anche se il malware non è autopropagante o autoreplicante.
Paolo,

anche se Giovanni non era responsabile delle scelte di networking credo sia comunque parte del problema perchè una realtà che fattura centinaia di migliaia di euro (immagino sia il turnover di una qualunque PMI di produzione) e che ha dipendenti NON può essere carente su questo.

IMHO, ma molto IMHO, Giovanni avrebbe dovuto scassare i maroni alla grande al board portando anche prove dei danni potenziali cui sarebbero andati incontro. A me è capitato diverse volte ma alla fine si è fatto come suggerivo;

Nel caso delle PMI oltre ai backup è importante anche un piano di Disaster Recovery in cui questi backup vengono testati per davvero. Senza prove sul campo nulla garantisce che i dati e le macchine possano essere ripristinati. Una domanda per @LuigiRosa: lunga vita alle tape, o esistono soluzioni più agevoli, ma altrettanto sicure?
Mi accodo ai commenti sopra: grave mancanza di sicurezza da tutte le parti!
Anche una azienda dove ho lavorato fu colpita da un ransomware.

Non c'era un sistemista, io ero il "computer guy": quello che non ha potere decisionale, ma se qualcosa va storto la colpa è sua lo stesso.

La faccenda mi è costata tanti mal di pancia, perciò una volta risolta mi sono messo di traverso: salvo le macchine dove è fondamentale, via Windows e sotto con Linux.

La risposta unanime è stata: non so cosa sia, non lo so usare, è difficile, ecc.

La mia replica agli utenti: MEGLIO se non sai usarlo! A te per lavorare servono solo un word processor, un foglio di calcolo, un browser e un client di posta; se non sei capace ad usare nient'altro, eviti di far casino e di cazzeggiare.

La mia replica al management: se facciamo così evitiamo altri casini (e altre figure di cacca coi clienti), non servono antivirus, non ci sono costi di licenza e possiamo continuare ad usare le vecchie macchine visto che è molto più leggero.

Domanda: secondo voi il suggerimento è stato accolto?
Una domanda: gli antivirus non servono a nulla? Che li fanno a fare?
Enrico,

Giovanni avrebbe dovuto scassare i maroni alla grande al board portando anche prove dei danni potenziali cui sarebbero andati incontro

Chi ti dice che non lo abbia fatto e che non sia stato ascoltato? :-)
pulex,

gli antivirus non servono a nulla? Che li fanno a fare?

A che serve una cintura di sicurezza se hai l'airbag? :-)

Gli antivirus sono _uno_ degli elementi della protezione; fanno la loro parte, ma non possono fare tutto. Un AV non può nulla contro un intruso che sa la password di accesso remoto al tuo server.
@Tommy the biker

Ovviamente no.

Un sistema non deve stare in mano al sistemista.

La cosa buffa è che è una nozione corretta nell'ambito della sicurezza.
Quando proponi clients linux DOPO aver risolto un problema e ti senti rispondere dal titolare che non vuole un sistema in cui una successione sarebbe problematica verrebbe voglia di chiedere: "Ma se ne sai that much, come sei finito in questo cesso di mattoni?"

Bizzarro che le prime 3 pagine del manuale delle giovani marmotte le han lette, ma non sono arrivati a pagina 4.
@puffolotti:
"Ma se ne sai that much, come sei finito in questo cesso di mattoni?"
Il titolare, perché l'ha costruito. Io, perché mi pagavano.

Sì, lo so, non è una buona motivazione logica, ma paga i conti...
D'accordo sul backup da scollegare una volta fatto, d'accordo sullo stare attenti a ciò che contiene l'allegato, ma c'è una "moda" che proprio non mi va giù: allegare qualcosa alle mail sempre e comunque.
Caro collega, se mi vuoi dire che la riunione (o la manovra, o la visita) è alle ore tre, non allegare un maledetto pdf, scrivilo e basta!
Puoi anche copiaincollarlo, il testo!
Non ho bisogno di sapere che sei figo perchè sai come fare un allegato, quello va usato per cose che proprio non si possono spiegare a parole!
E DEVI SCRIVERLO: "Ti mando un JPG (o pdf, o ppt, odt ecc.) in allegato".
Non sarò Babbo Natale, ma la letterina deve chiarire cosa vuoi da me!
Caro Paolo, dal 2006 tento di "informatizzare" l'azienda presso la quale lavoro. In questa azienda non sono il sistemista, ma ho lavorato per anni con sistemisti in gamba mentre facevo il programmatore e qualcosa riesco a capirla.
Come dicevo, dal 2006 tento di far capire che bisogna inculcare una cultura di internet a tutti i dipendenti, e non solo, anche offrendo la mia prestazione gratuita fuori orario di lavoro per istruire i dipendenti, nonché dotare l'azienda di un server decente ed ovviamente con un minimo di sicurezza.
Non ci sono riuscito tranne una timida apertura agli inizi. Hanno pensato che si spendesse troppo. Come ho detto, non faccio il sistemista, quindi ho tirato su tutta la intranet aziendale nei ritagli di tempo.
Ebbene, ancora oggi, la contabilità viaggia su fogli di excel spediti da una parte all'altra... e se devi spedire un documento in pdf, c'è chi fa la scansione in jpg di un documento word stampato. Io ho mollato tempo fa di insistere e da qualche anno si sono rivolti ad una ditta esterna che pagano per fare molto meno di quello che facevo io. Ma loro son contenti così. Per alcuni non c'è proprio la mentalità giusta.
-- la decrittazione che non è mai perfetta e lineare

In che senso? I dati decrittati risultano corrotti?
@Tommy the Biker

Son dalla tua parte, intendiamoci. (evviva il nobile Diamond man, abbasso il perfido Iron man)

Anche a me mi pagano, DOPO che mi sono assicurato che han ben capito che Puffolotti se ne frega dell'obbiettivo C. (Nella sigla del cartone giapponese sta fra "Sconfigge il male" e "L'idolo di molte le donne ed anche non pochi uomini") (In questo caso, suppongo, il recupero dei dati.)
Domanda: ma backup locali incrementali tipo time machine di Apple non permetterebbero di recuperare uno status precedente della macchina? O backup online tipo backblaze backup?
@Michele

Se hai una copia sana dell'hard disk a disposizione, in teoria quando avviene un'infezione puoi buttare via l'hard disk e prenderne uno nuovo.

Non sono aggiornato sui prezzi dei riparatori ma non sono del tutto sicuro che la "formattazione democratica" di un hard disk (cioè un gradino sopra il perforarlo ripetutamente con un trapano) costi meno di un hard disk di capacità e prestazioni equipollenti.
Oramai mi arrivano decine di mail con allegati ramsongware.
Sono scritte in italiano ed utilizzano anche indirizzi riservati.
Dunque appare chiaro che dietro a questi tentativi
c'è un organizzazione ben strutturata con impiegati ed uffici tecnici.
Ma magari anche il caso di qualche programmatore della grande azzienda
che di giorno lavora al software e di notte crea troian.
(oppure si vende la lista degli indirizzi email)
D'altra parte i guadagni sono talmente elevati da potersi permettere
perfino l'impiego di ingegneri a tempo pieno.
E non liquidiamo sempre la faccenda come complottismo,
perchè a pensar male si fà peccato ma ci si azzecca.
E incredibbile invece la quasi totale assenza di leggi internazionali
contro questi crimini.
Pensiamo se riuscissero a crakkare il software delle Auto elettriche a guida automatica !
Inutile dire che è impossibile, perchè blà blà blà..
Se il fatto diventa redditizio, magari saranno gli stessi programmatori
delle centraline, a creare backdoors per i malviventi.

Il metodo per essere infettati? Allegato ad email? Flash usb infetta? Siti "birboni"? Trojan?
A pensarci bene, "l'ottimismo" riguardo le misure minime per la propria sicurezza informatica fa parte di un modo di pensare più ampio: la prudenza è funzione della percezione di un pericolo.

Ad esempio, quanta gente non cambia le gomme se non arrivano "al ferro"?
Ho visto persino delle moto con gomme ridotte all'osso. Se parli loro dei rischi ti rispondono che tanto vanno piano.

Allo stesso modo, in campo informatico, non c'è la percezione del pericolo che si corre ad andare "senza ruota di scorta" o con le gomme lisce.
Se si prova a chiedere di avere almeno "le gomme a posto" ti senti rispondere che tanto se si va sempre sugli stessi siti e si fa attenzione si corre alcun pericolo.
@Fraro
Nell'azienda dove lavoro l'informatica non esiste. Esiste il computer del grande capo che deve fare tutto, avere tutto e non fermarsi mai accessoriato da: come mai è così lento? perchè si ferma? cosa vuol dire questo e cosa vul dire quello.
Tutto quello che ho ottenuto è un server NAS che usiamo come storage condiviso.
Per il backup un disco USB che collego, eseguo il backup e scollego rimettendolo nel cassetto.
Detta così sembra poca cosa ma i nostri dati sono disegni unici di pezzi in produzuine, documenti insomma molti dati e molto importanti.
Abbiamo subito l'attacco del ransomware che ha distrutto i dati del pc del titolare e tutto il server NAS per una mail aperta dal titolare che credeva l'avesse spedita la figlia.
Ho ripristinato tutto il server NAS in quattro ore e nel frattempo ho resuscitato il computer del capo.
Ma alla fine sono stato talmente efficiente che è sembrata una cazzata e anzi ogni 10 minuti il boss a chiedere se poteva fare questo o quello e giù di improperi.
Alla fine io continuo a fare i backup ma non aspettiamoci nulla, non si investe sulla sicurezza dei dati e nemmeno sulla cultura informatica, io non mi chiedo se verremo colpiti da una nuova minaccia, ma quando, qui la gente apre mail scritte in italiano traballante, apre link a fatture che non esistono da fornitori che non abbiamo mai avuto, aprono link a foto dentro a mail con oggetto: ciao sono io, come stai?
Siamo a questo livello e il mio lavoro è invisibile, non si capisce la professionalità e sinceramente sono stanco di ripetere e chiedere le stesse cose.
Mi sto chiedendo: è mai successo a qualcuno di beccarsi il ransomware ma avere un backup completo di un giorno prima, così da potersi permettere di mandarli allegramente a cagare? :)
se devi spedire un documento in pdf, c'è chi fa la scansione in jpg di un documento word stampato.

Sapessi le volte che mi arriva roba del genere (grrr!)

Ma c'è di meglio: se arriva un documento in pdf di 10 pagine e chiedi di stamapre solo la 2 e la 6, la solerte impiegata:
a) stampa tutt'e 10 le pagine
b) poi fotocopia (fronte e retro, per risparmiare carta, ovviamente!) le pagine 2 e 6.

Se vuoi farti del male, ti posso anche spiegare il motivo di siffatta condotta :-)

@Fraro
e se devi spedire un documento in pdf, c'è chi fa la scansione in jpg di un documento word stampato
Almeno da te fanno le scansioni. Da me si faceva così:
1)collega fa foto col cellulare al documento stampato
2)invio della foto a me tramite Whatsapp (perché io? "perché tu sei bravo")
3)tramite il mio account di posta personale, invio via mail all'account di posta aziendale
4)da lì, la giravo a chi di dovere

NB: "scansioni" di documenti ufficiali inviati a clienti paganti, eh...
@Marsforever
Sì, due casi, l'ultimo: beccato ore 8:30 circa da pc che gestisce il centralino (allegato di mail proveniente da finto corriere DHL), segnalato ore 9 circa che il PC è molto lento, ore 9:20 distacco brutale dalla rete del suddetto pc, non appena ci si è resi conto di cosa stava succedendo. In quell'ora scarsa ha crittografato 470.000 documenti su varie condivisioni di rete (essendo il PC del centralino ha accesso a molte cartelle aziendali in lettura e scrittura). Alle 14 del pomeriggio avevamo finito di ricaricare i salvataggi, nemmeno presa in considerazione l'idea di pagare alcunchè. La fortuna è stata che l'infezione sia avvenuta la mattina, ovviamente.
Nella precedente "infezione" ce la cavammo con la cartella che contiene i PDF dei DDT emessi (e anche lì, svariate centinaia di migliaia di documenti) ma essendo cartelle molto statiche e non contenendo documenti vitali abbiamo provveduto al ricaricamento senza arrecare alcun disturbo agli utenti.
Aggiungo: backup su magnetico per motivi di prestazioni (con tutti i diritti del caso ben settati!!) che poi viene riversato su magnetico (con utente e da macchina diversa!) con politiche di ritenzione classiche (rotazione, totale più incrementale etc.). Antivirus corporate Sophos, posta già filtrata con antivirus hardware (appliance) ma contro la stupidità degli utenti e l'abilità dei programmatori-malfattori...
Tipico: "Ho cliccato sull'allegato di PostePay ma non si apre, come mai?" - "Scusa, tu hai un conto alla posta?" - "No" - "E allora perchè la Posta dovrebbe mandarti un documento con un allegato da cliccare sulla mail aziendale?" - "Eh, appunto, volevo proprio vedere cosa conteneva...". Ovviamente l'allegato non si apriva perchè fortunatamente l'antivirus faceva il suo dovere, in questi casi...
Però pensandoci bene... possibile che non si riescano a fermare queste aziende (perchè ormai bisogna chiamarle così... tra qualche anno faranno magari anche fattura...) cioè... si instaura una conversazione via chat con il criminale e non si riesce a risalire a chi sta dietro la tastiera?!?? REALMENTE non si può o non si vuole?!? Capisco che il canale tra cliente e estorsore non sarà diretto, ci saranno proxy di mezzo, firewall, magari botnet collaudate.... però non si può lasciare correre.... no?!?
Patrick,

REALMENTE non si può o non si vuole?!?

Purtroppo realmente non si può. La chat non è tracciabile. Potrebbe _forse_ farlo un'azione coordinata di varie agenzie di sicurezza governative dei paesi coinvolti: in pratica non succederà mai, ammesso che funzioni.
@Mars4ever

Mi piacerebbe, ma al di là del problema di come mandarli a cagare in modo che si mettano a piangere... come farei a notarlo, fra le tonnellate (di gigabyte) di STD che la mia shell sacrificale si becca nelle sue 8-14 ore di vita?
Paolo,
ci potresti dire che antivirus usavano sul server e sui client al momento dell'infezione?
Quando ho avuto dei casi di infezione da ransomware, ho visto che, caricando su Virustotal l'eseguibile del ransomware, Kaspersky e Norton erano tra i primi antivirus a riconoscere quel file come maligno.
giob,

ci potresti dire che antivirus usavano sul server e sui client al momento dell'infezione?

Purtroppo no. Non li ho, dovrei chiedere il permesso e comunque credo che sarebbe fuorviante fare dei nomi. In questo incidente, infatti, qualunque AV avrebbe avuto poche speranze di intervenire.
> "come farei a notarlo, fra le tonnellate di STD che la mia shell sacrificale si becca nelle sue 8-14 ore di vita?"

Ammetto la mia netta incapacità di capire che diavolo hai scritto qui!
Sto fortunatamente spostando tutti i server dei clienti da server fisici a server virtualizzati, vmware+veeam su NAS Linux (senza cartelle condivise) e si risolve praticamente ogni problema di perdita dati dovuta a ransomware o errori hardware o umani, due NAS replicati in realtà più grandi, vari hard disk usb nei quali replicare i backup veeam in realtà ancora più attente alla sicurezza (generalmente chi si è già "scottato") così che possano essere rimossi e portati via per evitare perdita di dati in caso di furti, incendi, ecc. Ovviamente antivirus sui PC, firewall, ecc. Chi non vuole spendere un po' sulla sicurezza merita di perdere tutti i dati. Ormai non è un discorso di mancanza di informazioni, quanto di pigrizia o di noncuranza.
Almeno questa storia è un ottimo esempio per spiegare ai bambini cosa sia un "interlocutore" ed il fatto che quando dice "I don't care" forse sta bluffando ma forse no.

Decidere se è meglio basare la propria contromossa sul presupposto che stia bluffando o sul presupposto che sia serio è più arte che scienza, i fattori in gioco ed i casi possibili son troppi per essere elencati, senza contare le verifiche inventate sul momento di fronte ad un caso specifico, ma il succo del discorso è che è possibile che chi dice: "i don't care" NON stia bluffando, ed è possibile che siano necessarie strategie che partano dal presupposto che NON stia bluffando.
In quei casi pagare è l'opzione più razionale, ma torniamo alla definizione di cosa sia un interlocutore:

fra le 100 proprietà che descrivono cosa sia l'interlocutore c'è:

"L'interlocutore è qualcuno che ha un potere reale sulla questione che si sta affrontando."

chi non ha un potere reale sulla questione che si sta affrontando non è un "intelocutore".
Scusate ma possibile che nessuno di voi abbia sentito parlare di Sophos security heartbeat?
Successo anche da noi. Infettato un pc (a livello dirigenziale, diciamo) e l'infezione si è diffusa in tutta la parte di rete che quell'utenza poteva "vedere"; visto che il livello era alto ha criptato parecchi dati prima che ce ne accorgessimo.
Per fortuna l'accesso alle singole macchine è subordinato al singolo utente oltre che all'amministratore di sistema, sono stati criptati parecchi file su diverse directory del server principale ma non, per fortuna, i dischi di backup il cui accesso è riservato al sysadmin.
Un po' di sbattimento per ripulire e ripristinare il backup del giorno prima, ma nessun grosso danno per fortuna.
Ho subito un fatto cosi'. L'estensione e'stata .Globe. Mi ha procurato molto danno. Io non ho proprio considerato l'idea di rispondere alla richiesta dei Bit coin perche' a volte o quasi sempre i ricattatori non danno la chiave.
Nell'azienda in cui lavoro purtroppo problemi del genere sono la norma. Si tratta di una realtà piuttosto grossa (circa 300 client suddivisi in 4 sedi con dominio Windows centralizzato). Negli ultimi anni abbiamo subito attacchi di questo tipo svariate volte e di conseguenza io e un mio collega con il quale mi occupo della gestione informatica siamo nostro malgrado diventati piuttosto pratici sull'argomento. Fortunatamente siamo sempre riusciti ad uscirne indenni anche se ogni volta che capita un pò di strizza ci prende. Questi i consigli che posso dare (peraltro già segnalati nei commenti precedenti):

- Settare i diritti sulle cartelle in maniera molto ristretta (per capirci suddividere gli utenti in gruppi ben definiti e fare in modo che ognuno di essi possa accedere solo ed esclusivamente ai file di propria competenza) in modo da limitare i danni in caso di attacchi

- Utilizzare client Linux ove possibile (purtroppo non sempre lo è perchè alcuni gestionali che sono stati scelti contro la nostra volontà girano solo su Windows) che ormai possono accedere a domini Windows senza particolari problemi e funzionare quindi in maniera molto simile a Windows stesso(per questo punto abbiamo dovuto lottare a lungo, spesso Linux è visto come un nemico).

- Se non è possibile fare backup esterni (scarsi fondi al reparto informatico, come da noi) utilizzare uno user esclusivamente per i backup e rendere le cartelle di backup accessibili solo a quel particolare utente (negando l'accesso anche agli utenti amministratori che si utilizzano normalmente)

- Utilizzare più fonti di backup (magari 2 o più macchine) e fare backup giornalieri e incrementali in modo di poter ritornare indietro di qualche giorno (utile anche nel caso in cui qualcuno cancelli qualche file che non doveva cancellare e se ne accorga magari giorni dopo...)

- Intervenire velocemente alle prime avvisaglie di qualcosa che non va, magari spegnendo anche brutalmente da remoto macchine "sospette" per limitare i danni (spesso anche solo far capire alle persone che devono spegnere il pc richiede un certo tempo) e utilizzare nomi pc che rendano la macchina facilmente identificabile e consentano di capire subito dove si trova.

- Se qualcuno si deve per forza collegare in remoto a qualcuna delle macchine (fornitori di software ad esempio) fornire loro accessi a scadenza, in modo che terminato il lavoro non possano più accedere senza autorizzazione.

- Utilizzare le policy di dominio per aggiornare regolarmente software di utilizzo comune (come acrobat o flash) all'accensione dei pc.

- "terrorizzare" gli utenti sulle conseguenze di un infezione di questo tipo (da noi la cosa non è che funzioni molto, aprono mail e siti con disinvoltura anche quando sono palesemente truffe ma almeno uno ci prova...)

Ovviamente la sicurezza assoluta non esiste, si fa il possibile...
@Mr Reaper

Bè, se uno è un albero o un fungo in qualche foresta selvaggia gode di una certa sicurezza e dignità che a bestie e uomini non è dato avere...

Quello che è importante bastonare nella testa dei committenti è la sicurezza relativa.
Sarò paranoico io, ma ora siccome uso AVG e non uno degli antivirus citati da lui mi sento totalmente a rischio...
(Uso anche malwarebytes e Spybot, ma boh, non sono mai sicuro che bastino)
@TommasoDS:
puoi installare Cryptoprevent come protezione aggiuntiva
Hmm, quindi... il risultato finale dell'attacco sono stati circa quattromila franchi di riscatto [se non ho fatto i conti male] e due giorni di downtime.
Quanto costa mettere su un sistema di backup, pagare i nastri, avere qualcuno che lo segue e quanto tempo ci mette ad effettuare un ripristino globale di tutte le macchine?
Sospetto che sia parecchio di più.
La possibilità che un amministratore decida che è più conveniente rischiarsela non è bassa.
Bahamuttone,

Dipende da chi trovi dall'altra parte. Se all'azienda fossero stati richiesti 200 bitcoin?
@Bahamuttone

Il computer guy che espone questo ragionamento a priori fa più bella figura di quello che lo espone mentre viene sollevato per la cravatta quando gli fanno la domanda: "perchè non ce lo hai detto prima? "
@Bahamuttone

E se avesse richiesto un solo franco e NON avesse fornito le chiavi di decodifica?
Quanto valgono i dati della "tua" azienda?
@Bahamuttone
Hmm, quindi... il risultato finale dell'attacco sono stati circa quattromila franchi di riscatto [se non ho fatto i conti male] e due giorni di downtime.

Mi sa che non lavori in un'azienda :-)

Un'azienda che si ritrova senza dati (chi ha pagato, quanto ha pagato, quanto deve pagare, chi deve essere pagato, quanto, come, ordinativi, gestione magazzini, manutenzione macchine, progetti, relazioni, documentazione legale, ecc...) incorre in seri rischi di chiusura per fallimento.

Sei ancora sicuro che avere una politica di disaster recovery possa essere meno conveniente che pagare un hacker per farsi restituire i dati?

Dove lavoro io, un giorno o due di fermo informatico ce lo possiamo permettere ma la perdita dei dati assolutamente NO.

Il problema è che, come ho già scritto, la dirigenza non lo capisce.

Forse questo accade perché i tre pc che sono stati attaccati, di fatto e per pura fortuna (se i portatili fossero stati attaccati nella sede aziendale sarebbe avvenuto un disastro), non hanno provocato danni. Quindi ogni pressione verso soluzioni più sicure per il backup sono viste come terrorismo psicologico per spillar quattrini.
Non è questione di sviluppatore di Antivirus, di quale sia la marca del vostro.
Se fosse solo questione di qualità, ad oggi, esisterebbe solo Bitdefender...

Ci dobbiamo mettere in testa, noi smanettoni per primi, che la sicurezza informatica passa anche da sistemi di protezione ma è e resta sempre imprescindibile dal corretto uso degli strumenti.
Io posso anche installare l'antivirus alieno, ma se poi, per pigrizia, comodo, ignoranza, spunto 'consenti' quando questo mi fa presente che il file che voglio installare potrebbe essere brutto e cattivo, allora il problema è di cultura informatica. Campo nel quale, senza offesa, siamo messi maluccio.

Sarebbe come pretendere di essere sicuri al 100% in auto perché tanto ho firewall (ABS) e cinture allacciate (antivirus), quando il primo strumento per evitare di farsi male è guidare coscienziosamente.

Non mischiamo mai strumenti di ausilio e human factor...
Non deleghiamo TUTTA la sicurezza dei nostri dati a software che fino a prova contraria potrebbero anche risultare inutili.
Esiste una versione in inglese di questo racconto? vorrei farlo leggere ai miei colleghi...