È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.
In questa puntata del podcast vi racconto una storia di ransomware: l’estorsione che colpisce le aziende bloccando i loro dati con una password che verrà consegnata dal criminale solo se verrà pagato un riscatto. Non è una tecnica nuova, ma stavolta c’è un colpo di scena e ci sono di mezzo due milioni di dollari e fino a 37 anni di carcere. E se un guru storico del crimine informatico come Kevin Mitnick dice che è una storia interessante, si va sul sicuro.
I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.
Buon ascolto, e se vi interessano il testo e i link alle fonti della storia di oggi, sono qui sotto.
---
[CLIP: Spot Ubiquiti]
Ubiquiti è un nome che probabilmente non vi dice nulla, ma è una grande azienda statunitense del settore dei dispositivi per la gestione delle reti informatiche: la “ferraglia” elettronica sulla quale transitano continuamente i nostri dati digitali, insomma.
Di recente è stata attaccata da un ricattatore molto particolare, tanto da meritarsi l’interesse di uno dei massimi esperti di crimine informatico, il mitico Kevin Mitnick.
Questa è la storia di un ricatto informatico insolito e di come la speranza di intascare due milioni di dollari rischia ora, per un banale errore, di diventare una sentenza che comporta fino a 37 anni di carcere. Visto che i dati più recenti indicano un aumento notevole dei ricatti informatici ai danni di aziende piccole e grandi, anche in Svizzera, è una storia che conviene conoscere, perché contiene lezioni utili per tutti, dai datori di lavoro ai dipendenti. E anche, inevitabilmente, per gli aspiranti criminali.
[SIGLA]
Il ransomware, ossia il software che penetra nei sistemi informatici delle aziende, blocca i loro dati con una password conosciuta solo ai criminali che gestiscono questo software, e poi chiede un riscatto per sbloccarli o per non pubblicarli, non è certo una novità.
Ma secondo i dati raccolti da Swissinfo.ch, il ransomware è un fenomeno in netta crescita. Fra agosto 2020 e agosto 2021 circa 2700 aziende svizzere sono state colpite da questa forma di attacco, stando alle stime della società di sicurezza statunitense Recorded Future: quasi il triplo rispetto agli anni precedenti, con una richiesta media di pagamento di circa 167.000 franchi o 180.000 dollari.
È difficile avere dati precisi, perché molte aziende non denunciano questi attacchi per non subire danni alla propria reputazione. Comparis, Stadler, RUAG e il comune di Rolle nel canton Vaud sono solo alcune delle vittime note più recenti, ma ce ne sono molte altre che pagano e tacciono.
Lo schema di attacco è ben documentato: i criminali iniziando inviando ai dipendenti dell’organizzazione presa di mira una mail contenente un allegato dall’aspetto innocuo, tipicamente una fattura. L’allegato, che in realtà trasporta un malware o virus informatico, viene aperto incautamente, senza adeguate precauzioni tecniche e comportamentali, facendo leva sulla fiducia dell’utente, e così supera le difese informatiche del bersaglio.
A volte l’attacco è più sofisticato e avviene sfruttando le falle di qualche sistema informatico maldestramente configurato e lasciato esposto su Internet, oppure una chiavetta USB infetta inserita con l’astuzia o la seduzione in un computer aziendale, ma capita abbastanza raramente. In un modo o nell’altro, gli aggressori entrano insomma nel cuore informatico dell’azienda, lo bloccano cifrando i dati oppure ne prelevano una copia, e poi chiedono soldi, solitamente sotto forma di criptovalute.
La storia di ricatto che voglio raccontarvi oggi, però, segue un copione leggermente differente.
Tutto inizia il 10 dicembre del 2020, quando qualcuno entra nei server gestiti dall’azienda informatica californiana Ubiquiti Networks, un grande nome del settore che vende router, telecamere e altri sistemi digitali di sicurezza, e ne sottrae vari gigabyte di dati sensibili usando una tecnica abbastanza insolita: l’intruso adopera infatti le credenziali di un amministratore del cloud aziendale.
Il furto prosegue una decina di giorni più tardi, il 21 e 22 dicembre, quando vengono rubati altri dati. L’intruso copre le proprie tracce alterando i log che registrano le attività. Ma a differenza dei casi tradizionali di ransomware, i dati di quest’azienda non vengono cifrati dall’aggressore.
Alcuni dipendenti della Ubiquiti si accorgono del furto una settimana più tardi, poco dopo Natale, e l’azienda raduna i suoi esperti per analizzarne le conseguenze.
Ai primi di gennaio 2021 Ubiquiti riceve una mail di richiesta di riscatto. La proposta del criminale è molto chiara: se l’azienda non gli pagherà 25 bitcoin, equivalenti a poco più di un milione di dollari, i dati confidenziali sottratti verranno resi pubblici, causando un disastro reputazionale.
Ma la mail di ricatto non si ferma qui: prosegue offrendo di rivelare all’azienda la tecnica usata per entrare nei suoi sistemi, in modo che possa chiudere la falla ed evitare nuovi attacchi. Per questa sorta di bizzarra consulenza informatica, il criminale chiede altri 25 bitcoin. Entrambe le proposte, che ammontano quindi a due milioni di dollari in tutto, scadranno a mezzanotte del 9 gennaio.
L’azienda decide di non pagare nessuna delle due richieste di denaro. Allo scadere dell’ultimatum, il criminale pubblica su Internet, visibili a chiunque, alcuni campioni dei dati confidenziali sottratti.
Ubiquiti riesce a farli togliere da Internet contattando il sito che li ospita, Keybase, e trova e chiude una falla nei propri sistemi creata dall’aggressore, cambia tutte le credenziali dei dipendenti e poi annuncia pubblicamente, l’11 gennaio 2021, di aver subìto una violazione informatica. I dati sottratti, dice, includono nomi, indirizzi di mail e password cifrate dei suoi clienti. L’azienda raccomanda a tutti gli interessati di cambiare password e di attivare l’autenticazione a due fattori.
L’incidente sarebbe chiuso, ma a questo punto della vicenda entra in gioco un whistleblower, ossia un anonimo lanciatore d’allerta interno all’azienda, che a fine marzo 2021 contatta i media specializzati, in particolare il noto esperto di sicurezza informatica Brian Krebs, e rivela i retroscena dell’annuncio pubblico di violazione, che lui conosce bene perché ha fatto parte del gruppo di esperti incaricati dell’analisi dell’incidente informatico.
L’anonimo aggiunge che Ubiquiti sta minimizzando la portata della violazione, che in realtà sarebbe “catastrofica” e includerebbe tutti i codici di autorizzazione più delicati, tanto da consentire ai criminali di accedere a qualunque dispositivo Ubiquiti installato presso i clienti sparsi in tutto il mondo. Questa violazione sarebbe stata perpetrata da un aggressore non identificato, che sarebbe entrato impossessandosi banalmente delle credenziali di un amministratore di sistema dell’azienda. Una figuraccia imbarazzante per una grande società che si specializza in sicurezza informatica.
Questa rivelazione causa comprensibilmente un crollo nella quotazione in borsa della Ubiquiti, che scende di circa il 20% nel giro di una giornata, comportando perdite di capitalizzazione di mercato equivalenti a oltre quattro miliardi di dollari. L’azienda annuncia il giorno successivo, che è il primo d’aprile, di essere oggetto di un tentativo di estorsione.
Nel frattempo l’FBI ha avviato un’indagine informatica e ha scoperto che l’intruso si è collegato via Internet ai computer di Ubiquiti usando Surfshark, un software di VPN (Virtual Private Network o “rete privata virtuale”), per mascherare l’origine del collegamento e impedire qualunque tentativo di rintracciarlo tramite il suo indirizzo IP, che normalmente verrebbe registrato nei log aziendali, e poi è entrato nei sistemi della Ubiquiti usando delle credenziali di amministratore, proprio come dice il whistleblower. Ma l’aggressore ha commesso un breve, fatale errore.
In due brevissime occasioni si è collegato senza accorgersi che un’interruzione momentanea del suo accesso a Internet aveva impedito a Surfshark di attivarsi correttamente, e così si è collegato a Ubiquiti direttamente, comunicando il suo vero indirizzo IP. Cosa peggiore, durante questi collegamenti ha trasferito parte dei dati sensibili dell’azienda.
L’FBI ha insomma tutto il necessario per identificare l’aggressore, e procede così a una perquisizione e a un arresto, seguiti da un atto di accusa del Dipartimento di Giustizia di New York che è stato recentemente reso pubblico.
Questo atto di accusa rivela il dettaglio che spinge lo storico hacker Kevin Mitnick a descrivere su Twitter la vicenda come “un colpo di scena interessante nel ransomware” e a esclamare “Busted!” (“Beccato!”): l’aggressore e il whistleblower sono infatti la stessa persona, e si tratta di un dipendente della Ubiquiti.
Secondo l’atto di accusa, che non fa esplicitamente il nome dell’azienda ma consente di dedurlo, il dipendente in questione è Nickolas Sharp, un trentaseienne di Portland, in Oregon, che lavorava alla Ubiqiti come senior software engineer ed era responsabile per lo sviluppo del software e per la sicurezza delle infrastrutture aziendali.
Sharp, paradossalmente, faceva proprio parte del team di specialisti della Ubiquiti incaricati di indagare sulla violazione. Quella violazione che lui stesso aveva commesso, usando le proprie credenziali di amministratore e la propria conoscenza dei sistemi informatici aziendali.
Quando il suo tentativo di estorsione è fallito perché Ubiquiti ha deciso di non pagare, ha tentato di danneggiare l’azienda e di depistare le indagini diffondendo notizie false su un presunto aggressore esterno. Ma è stato tradito da una banale caduta di linea. Come ha dichiarato Michael J. Driscoll, Assistant Director dell’FBI, “Il signor Sharp forse riteneva di essere abbastanza astuto da far funzionare il suo piano, ma un semplice guasto tecnico ha messo fine ai suoi sogni di ricchezza.”
Il processo deciderà se le accuse molto circostanziate dell’FBI sono fondate: in tal caso, Nickolas Sharp rischia fino a 37 anni di carcere.
L’esperto di sicurezza informatica Graham Cluley ha commentato questa insolita tentata estorsione osservando che “tutte le aziende farebbero bene a ricordare che probabilmente la minaccia peggiore non proviene da hacker esterni, ma dai dipendenti che sono stati assunti e ai quali è stata data fiducia nel gestire i sistemi informatici e nell’interagire con i dati aziendali”.
Non che gli hacker esterni facciano pochi danni, intendiamoci, ma un addetto interno può fare ben di peggio. Un buon rimedio è vincolare tutti gli accessi ai dati più sensibili in modo che serva l’autorizzazione contemporanea di almeno due persone e altre persone vengano allertate di ognuno di questi accessi. Questo rende molto più difficili sabotaggi dall’interno come quello che ha colpito l’azienda statunitense.
E per tutti gli aspiranti hacker che pensano che usare una VPN li renda invisibili e impossibili da rintracciare e identificare: pensateci due volte. Storie come quella di Nickolas Sharp dimostrano che non è così semplice, neanche per un addetto ai lavori.
Fonti aggiuntive: Catalin Cimpanu, Bleeping Computer, Bitdefender.
Nessun commento:
Posta un commento