19.02.2020 - Nelle ultime settimane MELANI / GovCERT ha trattato oltre una dozzina di casi di ransomware in cui criminali sconosciuti hanno criptato e di conseguenza reso inutilizzabili i sistemi di PMI e grandi aziende svizzere. Gli aggressori hanno chiesto un riscatto di diverse decine di migliaia di franchi, in alcuni casi addirittura dell’ordine di milioni.
Durante l’analisi tecnica degli incidenti è emerso che gran parte dei sistemi informatici delle aziende colpite presentava lacune di sicurezza e che le consuete «best practices» (Promemoria sulla sicurezza delle informazioni per le PMI) non sono sempre state applicate. Inoltre, sono anche stati ignorati gli avvertimenti delle autorità.
Nel corso delle indagini sugli incidenti delle ultime settimane, quale varco di accesso per i ciberattacchi sono stati individuati in particolare i punti deboli riportati di seguito. Essi possono essere eliminati se si attuano le raccomandazioni di MELANI.
1. Antivirus e messaggi di allerta
Le aziende non hanno notato o preso sul serio i messaggi di allerta dei software antivirus che indicavano la presenza di malware sui server (ad es. domain controller). Su alcuni server non era nemmeno stato installato un software antivirus. Questo può contribuire in misura determinante alla propagazione di malware all’interno delle reti aziendali.
Raccomandazioni:
• i software antivirus devono essere installati e attivati in modo capillare su tutti i sistemi client e i sistemi server;
• i messaggi di allerta dei software antivirus devono essere registrati e verificati regolarmente. Se non è possibile effettuare una verifica completa degli avvertimenti (ad es. perché sono troppo numerosi), dovrebbero almeno essere analizzati quotidianamente quelli dei server (ad es. domain controller, backup ecc.).
2. Protezione dagli accessi remoti
Spesso gli accessi remoti su sistemi («remote desktop protocol», RDP) erano protetti soltanto da una password debole e l’accesso veniva impostato semplicemente di default (portale standard 3389) senza restrizioni (ad es. VPN o filtro IP). In tal modo i sistemi erano facilmente accessibili e gli aggressori hanno potuto introdursi comodamente, restando inosservati, nelle reti aziendali per installare i malware.
Raccomandazione:
• tutti gli accessi remoti (VPN e RDP terminal server) devono essere protetti dall’autenticazione a due fattori. Inoltre, se possibile, non dovrebbero essere effettuati su portali standard (ad es. 3389 per RDP). Al riguardo è indispensabile impartire e far applicare pertinenti istruzioni per evitare l’impiego di password semplici («123456», «password» ecc.).
3. Avvertimenti delle autorità
Le aziende colpite dagli attacchi hanno ignorato o non hanno preso sul serio le segnalazioni delle autorità o degli Internet Service Provider (ISP) su possibili infezioni, ragion per cui non sono state eliminate, o solo parzialmente, causando quindi una cifratura completa della rete aziendale.
Raccomandazione:
• le segnalazioni delle autorità o degli ISP su possibili infezioni devono essere prese sul serio. In caso di dubbi (ad es. sull’autenticità di un messaggio di allerta) occorre contattare l’autorità o il provider che ha inviato il messaggio di allerta.
4. Backup offline e aggiornamenti
Numerose aziende disponevano soltanto di backup online, senza copia di sistema (offline). Il ransomware ha dunque criptato o cancellato definitivamente anche i backup. Di conseguenza, in vari casi un ripristino delle attività aziendali, quando possibile, ha richiesto un notevole dispendio.
Raccomandazioni:
• effettuare regolarmente una copia di sicurezza (backup) dei dati. La copia di sicurezza deve essere salvata offline (su un supporto esterno ad es. un disco rigido esterno). Il supporto deve essere scollegato fisicamente dal computer, ovvero dalla rete, dopo il backup. È inoltre importante definire una procedura che garantisca il regolare salvataggio dei dati e applicarla in modo coerente;
• effettuare aggiornamenti regolari. Sia i sistemi operativi sia i software installati su computer e server (ad es. Adobe Reader, Adobe Flash, Oracle Java ecc.) devono sempre essere aggiornati. Se possibile, impostare l’aggiornamento automatico.
5. Gestione degli aggiornamenti e del ciclo di vita
Spesso le aziende non hanno una gestione degli aggiornamenti e del ciclo di vita accurata. Ciò significa che venivano impiegati sistemi operativi e software vecchi non più supportati. Sfruttando le lacune di sicurezza, i criminali hanno quindi potuto accedere alla rete aziendale e ad altri sistemi interni.
Se la gestione degli aggiornamenti e del ciclo di vita è lacunosa, una volta ottenuto l’accesso alla rete, l’aggressore riesce più facilmente diffondere ulteriormente il malware all’interno.
Raccomandazioni:
• predisporre una gestione degli aggiornamenti e del ciclo di vita. Scollegare dalla rete i vecchi sistemi non più necessari o sostituirli quanto prima;
• isolare sistemi con una scarsa protezione. Se sono in uso vecchi sistemi operativi (ad es. Windows XP, Windows 2003 Server, Windows 2008 Server) che non possono essere migrati, è imperativo isolarli. Dovrebbero essere consentiti soltanto i collegamenti dal e verso il sistema indispensabili per un corretto funzionamento.
6. Nessuna segmentazione
Le reti non erano separate (segmentate). Ciò significa che un’infezione, ad esempio su un computer della divisione del personale, ha consentito all’aggressore di accedere direttamente anche alla divisione della produzione.
Raccomandazione:
• le reti dovrebbero avere almeno una segmentazione semplice, affinché gli ambienti critici possano essere isolati.
7. Troppi diritti agli utenti
Spesso agli utenti sono accordati troppi diritti. Ad esempio un utente con diritti di backup e diritti di amministratore di domini oppure un responsabile di sistema che naviga in Internet e gestisce i sistemi con gli stessi diritti.
Raccomandazione:
• nel quadro di una definizione dei ruoli, attribuire agli utenti i diritti necessari al pertinente ruolo. Garantire che in caso di cambiamento a livello di personale (uscita, trasferimento in un’altra divisione) i diritti vengano adeguati di conseguenza.
Attenzione in caso di richieste di riscatto
Se i sistemi sono stati cifrati da ransomware, MELANI raccomanda di ignorare le richieste di riscatto, perché pagando un riscatto si sosterrebbe l’infrastruttura dell’hacker. Occorre inoltre tenere presente che nemmeno il pagamento del riscatto garantisce che i dati verranno effettivamente decifrati.
È importante che le aziende colpite da hackeraggio contattino immediatamente la polizia cantonale per sporgere denuncia e discutere l’ulteriore modo di procedere.
Fintantoché ci saranno aziende disposte a pagare un riscatto, gli aggressori continueranno a ricattare.
Se il pagamento di un riscatto rimane comunque un’opzione da considerare, occorre tenere presente che, anche se i sistemi e i dati potrebbero essere nuovamente disponibili, l’infezione di base causata dal malware (ad es. Emotet o TrickBot) rimarrebbe comunque attiva. Gli hacker continuerebbero dunque ad avere libero accesso alla rete dell’azienda e potrebbero installare un altro ransomware oppure rubare dati sensibili. Infatti, MELANI è a conoscenza di casi sia in Svizzera che all’estero in cui le medesime aziende sono rimaste vittime di più attacchi di ransomware nel giro di pochissimo tempo.
Maggiore responsabilità individuale
Nell’ambito del partenariato pubblico-privato, già l’anno scorso MELANI e i partner hanno adottato misure per ridurre il rischio di attacchi da singoli attori e la propagazione di malware in Svizzera. Nonostante ciò, MELANI continua ad appellarsi di principio alla responsabilità individuale di tutte le aziende svizzere, affinché gestiscano un’infrastruttura informatica sicura.