30.07.2019 – Nelle settimane passate le imprese svizzere sono state bersaglio di un nuovo tipo d’attacco, con cui aggressori sconosciuti hanno infiltrato con successo reti aziendali e cifrato ampiamente i loro dati per mezzo di ransomware. Anche diverse ditte svizzere conosciute sono state colpite dagli attacchi
Dal 2016 MELANI mette in guardia regolarmente dal pericolo dei troiani di crittografia (cosiddetti „ransomware”). Anche il 9 maggio 2019 MELANI ha allertato la popolazione in merito agli attacchi ransomware consigliando, tramite il proprio bollettino d’informazione, misure di sicurezza concrete. Le raccomandazioni emanate sono tuttora attuali e dovrebbero essere messe in pratica dalle aziende. Dall’inizio di luglio sono stati annunciati più volte attacchi informatici, per i quali gli aggressori hanno utilizzato una nuova procedura. Imprese svizzere sono state attaccate in modo mirato tramite e-mail nocive (secondo il fenomeno conosciuto come „spear phishing“).
Al momento sono noti i seguenti scenari d’attacco:
• Gli aggressori inviano e-mail nocive in modo mirato ad aziende
svizzere al fine di infettarle con dei ransomware. In genere le e-mail
contengono un link a una pagina infetta o un allegato nocivo.
• Su specifici forum internet è possibile acquistare l’accesso a
computer compromessi di ditte svizzere. Questi dispositivi sono
generalmente infetti con i malware „Emotet“, „TrickBot“ o, in singoli
casi, con „Qbot”. Organizzazioni criminali „acquistano” i computer
infetti, per infiltrare la rete della vittima.
• Gli aggressori scannerizzano internet alla ricerca di server VPN e
Terminal server aperti e provano ad ottenere l’accesso tramite attacchi
brute force.
In tutte le varianti proposte i criminali utilizzano ulteriori strumenti d’attacco, ad esempio „Cobalt Strike“ o „Metasploit“, per ottenere i necessari diritti d’accesso dell’azienda. Se hanno successo collocano sui sistemi prescelti un ransomware (ad esempio „Ryuk“, „LockerGoga“, „MegaCortex“, ecc.) che cifra tutti i dati.
In considerazione della situazione attuale in rapporto a simili
minacce, MELANI insiste e mette nuovamente in guardia le imprese
svizzere dai ransomware invitandole ad adottare urgentemente le seguenti
misure:
• Effettuate regolarmente una copia di sicurezza (backup) dei dati, ad
esempio, sul disco rigido esterno. Utilizzate a questo scopo un
programma che permetta di effettuare il backup regolarmente (schema
nonno-padre-figlio [giornaliero, settimanale, mensile] / minimo due
gerarchie). Gli aggressori possono eliminare o cifrare tutti i backup ai
quali riescono ad accedere, pertanto è importante che la copia di
sicurezza sia salvata offline, ovvero su un supporto esterno (ad esempio
su un disco rigido esterno);
• Assicuratevi che i provider che offrono soluzioni cloud generino al
meno due gerarchie, analogamente ai salvataggi di dati classici.
L’accesso ai backup su cloud deve essere protetto dai ransomware, ad
esempio tramite l’utilizzo di un secondo fattore di autenticazione per
operazioni sensibili.
• Sia il sistema operativo sia tutte le applicazioni installate sul
computer e sul server (ad es. Adobe Reader, Adobe Flash, Java, ecc.)
devono essere costantemente aggiornati. Se disponibile, è meglio
utilizzare la funzione di aggiornamento automatico;
• Controllate la qualità dei backup e esercitatene l’istallazione in
modo che, nel caso di necessità, non venga perso tempo prezioso.
• Proteggete tutte le risorse accessibili da internet (ad es. terminal
server, RAS, accessi VPN, ecc.) con l’autenticazione a due fattori
(2FA). Mettete un Terminal server dietro un portale VPN.
• Bloccate la ricezione di allegati e-mail pericolosi nel Gateway della
vostra mail. Informazioni più dettagliate possono essere trovate alla
pagina seguente: https://www.govcert.ch/downloads/blocked-filetypes.txt
• Controllate che i file log della vostra soluzione antivirus non presentino irregolarità.
Pagare il riscatto?
MELANI sconsiglia il pagamento di un riscatto in quanto ciò rafforza
le infrastrutture criminali, permettendo agli aggressori di ricattare
altre vittime. Inoltre non c’è nessuna garanzia di ricevere la chiave
per decifrare i dati.
Seguendo questi collegamenti trovate ulteriori informazioni sui ransomware e sugli attacchi recenti:
GovCERT Blog attuale: Ransomware (in inglese)
https://www.govcert.admin.ch/blog/36/severe-ransomware-attacks-against-swiss-smes
Ulteriori informazioni su ransomware
https://www.melani.admin.ch/contro-i-ransomware
Promemoria sulla sicurezza delle informazioni per le PMI
https://www.melani.admin.ch/melani/it/home/dokumentation/liste-di-controllo-e-guide/promemoria-sulla-sicurezza-informatica-per-le-pmi.html
Giornata nazionale di sensibilizzazione contro i ransomware:
https://www.melani.admin.ch/melani/it/home/dokumentation/bollettino-d-informazione/ransomwareday.html
Il trojan Emotet attacca le reti aziendali
https://www.melani.admin.ch/melani/it/home/dokumentation/bollettino-d-informazione/Trojaner_Emotet_greift_Unternehmensnetzwerke_an.html
Fonte: https://www.melani.admin.ch/