Malware e attacchi informatici, alto rischio per tutti

Nessuno si senta escluso da un eventuale “contagio” Ransomware (il malware che cripta i tuoi archivi) o da un qualsiasi altro malware in circolazione, per non parlare degli attacchi DDoS (Distributed Denial od Service). Per rimanere solo alle ultimissime vittime che hanno fatto discutere, vi segnaliamo l’italiana Della Toffola Spa, IKEA, l’Asst e Ats Lombardia, la USSL 6 di Padova e ancora l’italiana Clementoni. Un elenco delle vittime più conosciute colpite tra fine novembre e questi primi giorni di dicembre. Il quadro è preoccupante e a quanto pare nessuno può sentirsi immune da un eventuale contagio.

L’attacco a Della Toffola Spa

I titolari dell’azienda di Treviso hanno definito l’attaco devastante, in quanto il ransomware della cyber-gang Conti, ha bloccato tutta la produzione per quasi un mese, hanno trafugato dati e creato un danno ingentissimo sia per la mancata produzione che per il ripristino dei sistemi che non si sa quando potranno tornare operativi.

IKEA

Quello di Ikea è probabilmente l’attacco più conosciuto e a prima vista potrebbe sembrare il più semplice, essendo partito da una campagna di phishing. In realtà, gli esperti hanno preso molto seriamente l’incidente.

I dipendenti di Ikea sono stati presi di mira da una campagna di phishing che utilizzava una tecnica estremamente insidiosa – “Stolen internal reply-chain emails”. In questa tecnica gli attaccanti riescono a compromettere i server mail e i messaggi di phishing sono inviati in risposta a una precedente mail. Individuare questi attacchi è davvero complesso, in quanto la mail di phishing arriva da un collega ed è una mail di risposta a un messaggio realmente inviato, in questo ricorda molto da vicino il sistema utilizzato da EMOTET.
Altre organizzazioni, fornitori e partner commerciali di Ikea sono esposte allo stesso attacco e stanno diffondendo ulteriormente email dannose a persone in Ikea.
I link contenuti nei messaggi di phishing terminano con 7 cifre, e cliccando su di essi si avvia un processo di infezione. Analizzando i link contenuti nelle email si è visto che puntavano a un archivio contenente un documento Excel. Una volta aperto il documento e abilitate le macro incluse si avvia il processo di infezione mediante il trojan Qbot.

Asst e Ats Lombardia

Non c’è pace nemmeno per i data center della regione Lombardia, che già nel mese di ottobre avevano subito attacchi DDoS che però erano stati sventati, proteggendo i sistemi informatici. Il gruppo attore dell’attacco, probabilmente degli hactivisti, ci hanno riprovato la notte del 20 novembre, quando i 2 data center sono stati attaccati con la stessa tecnica per oltre 2 ore con una intensità 3 volte superiore rispetto al precedente (circa 1,2 milioni di pacchetti Udp al secondo). Anche questa volta i sistemi e le difese hanno retto grazie a tutto il team impegnato pe rtutta la durata e il monitoraggio successivo, praticamente una notte insonne.

USSL 6 di Padova

Per la USSL 6 di Padova invece l’attacco consisteva in un ransomware. Inizialmente i criminali informatici hanno avuto accesso alla rete, bloccando alcuni server dell’infrastruttura IT, compreso il Cup, i punti prelievi, le nuove registrazioni dei pazienti, il sistema dei laboratori, alcuni punti tamponi e gli hub vaccinali.

Sul sito dell’Unità locale socio sanitaria si legge: “Nella notte i nostri server sono stati oggetto di attacco hacker. Stiamo intervenendo con la massima celerità per ripristinare i servizi. Ci scusiamo per il disagio non dovuto alla nostra volontà”. Dell’incidente se ne sta occupando anche la polizia postale.

Clementoni

L’azienda di Fontenoce di Recanati è stata colpita da ransomware della cyber-gang Conti. Loro stessi dichiarano di aver esfiltrato circa 111 GB di dati, tra cui informazioni personali. L’attacco ha causato la messa fuori uso dei sistemi informatici aziendali e ancora oggi vigilia dell’Immacolata, i tecnici del Centro Elaborazione Dati sta lavorando per tentare un ripristino. Non è dato sapere al momento se la produzione sia bloccata.

COnclusioni

Per concludere questa carrellata, riportiamo il test portato avanti dai ricercatori di sicurezza informatica di Palo Alto Networks. Il test consisteva nella creazione di un Honeypot compromesso di 320 nodi in tutto il mondo, composto da più istanze mal configurate di servizi cloud comuni, tra cui protocollo desktop remoto (RDP), protocollo shell sicuro (SSH), blocco messaggi server (SMB) e database Postgres.

L’80% dei 320 honeypot è stato compromesso entro 24 ore. Tutti sono stati compromessi in una settimana.

L’applicazione più attaccata è stata la secure shell, un protocollo di comunicazione di rete che consente a due macchine di comunicare.
Ogni honeypot SSH è stato compromesso in media 26 volte al giorno. L’honeypot più attaccato è stato compromesso per un totale di 169 volte in un solo giorno.

Nel frattempo, un utente malintenzionato ha compromesso il 96% degli 80 honeypot Postgres in un singolo periodo di 90 secondi.
“La velocità di gestione delle vulnerabilità viene solitamente misurata in giorni o mesi. Il fatto che gli aggressori possano trovare e compromettere i nostri honeypot in pochi minuti è stato scioccante”.

La domanda che consigliamo di farsi non è tanto se verremo attaccati… ma quando! Il che non sarebbe nemmeno un dramma se solo avessimo studiato un piano per la gestione delle emergenze e per il ripristino dei sistemi informatici.