Dov’è il backup?

All’inizio del 2016 ho avuto la fortuna di essere sufficientemente vicino a un’infezione da ransomware da vederne gli effetti e da capirne il funzionamento, ma anche di non esserne direttamente interessato e quindi di poter rimanere abbastanza tranquillo e poter aiutare i colleghi che ne erano stati colpiti.

Leonardo Lanzi è da maggio 2018 coordinatore del GARR CERT. Laurea in Fisica, dottorato in Informatica, è stato docente di Informatica per il corso di studi in Fisica e Astrofisica dell'Università di Firenze.

Si trattava di una variante di crypto-ransomware, oggi considerato un classico, arrivato come file allegato di una mail "ufficiale", e attivato con la sua apertura. Questo ha cifrato tutti i file che ha trovato con estensione doc, xls e analoghi, oltre che pdf e zip, non solo sull’hard-disk locale ma, ancora prima, su un file server Samba dedicato alla condivisione di documenti amministrativi e contabili, al quale il PC appena infettato aveva accesso come client da rete esterna. In meno di un’ora oltre 35000 file, in pratica la “vita digitale” dell’ente, erano diventati inservibili.

In ogni directory, un messaggio, sia in un file testo che in un’immagine, spiegava chiaramente cosa c’era da fare: si doveva versare un contributo in Bitcoin pari a varie migliaia di dollari su uno specifico portafoglio entro tre giorni; così da una mail di contatto sarebbe stato fornito il software necessario e la chiave di decifratura per avere di nuovo l’accesso ai file. Trascorsi i tre giorni, la mail di contatto non sarebbe stata più attiva, e quindi .. addio dati!

Come è andata a finire?

Nel nostro ambiente di lavoro, I ransomware non erano ancora così noti nel 2016. Non c’era un piano di reazione a un incidente di questo tipo, e sono stati commessi alcuni errori, il peggiore e spesso ancora non compreso: il riavvio del PC [per evitare dettagli noiosi adesso, se siete interessati all’argomento non esitate a contattarmi per domande tecniche].

Il riscatto comunque non è stato pagato.

I dati condivisi che si trovavano sul file server sono stati quasi tutti recuperati da un backup notturno; è andato perduto solamente il lavoro svolto dalla mattina fino all’esecuzione del ransomware. Ci sono stati alcuni problemi con i timestamp (la data di modifica del documento vista dal sistema operativo) durante il restore, per cui è stato necessario un lavoro accessorio di “forensics” per reimpostare le date corrette di ogni singolo file recuperato.

Possiamo dire che per una volta è andata bene.

Potrebbe andare peggio

Tutte le minacce informatiche si evolvono, e i ransomware sono tra quelle in fortissimo sviluppo: non si limitano più alla sola cifratura dei file, ma sono diventati una delle componenti di attacchi complessi di organizzazioni criminali, che scelgono spesso target specifici e che a questi adattano le risorse tecnologiche usate. E come in ogni evoluzione, si assiste a una diversificazione.

Alcuni ransomware agiscono a basso livello del sistema operativo ed impediscono l’avvio del computer, o cancellano le copie Shadow per il ripristino; altri sono focalizzati sulle tecniche di offuscamento del codice, presentando oltre 200 funzioni di cifratura distinte e potenzialmente utilizzabili, o puntano sulle prestazioni: rilevato il tipo di CPU e la memoria disponibile, mandano in esecuzione anche decine di thread contemporaneamente. Altri ancora abilitano un controllo manuale remoto dopo che una prima esecuzione ha creato una mappa della rete locale, cercando vulnerabilità sfruttabili tra bersagli più interessanti come server accessibili di vario tipo.

Si assiste ormai spesso alla doppia estorsione: insieme alla richiesta di riscatto vengono pubblicati dei siti di data leak, per aumentare la pressione psicologica con l’ulteriore minaccia di diffondere pubblicamente i dati, nel caso in cui il riscatto non venga pagato. Una variante recente per la seconda minaccia è un attacco DDoS alla rete delle vittime (anche questa, accompagnata da una prova reale di fattibilità).

Alcuni gruppi criminali hanno dato un’impronta professionale alle loro azioni, pubblicando l’elenco delle loro vittime in ordine di budget, o offrendo assistenza online ai loro “clienti” che vengono guidati con gentilezza nelle varie fasi del recupero dati. Altri infine fanno notare che scelgono in modo accurato i loro bersagli, per essere sicuri di chiedere riscatti “equi”, a costi totali inferiori rispetto a un ripristino dai backup e alle noie associate alle denunce all’autorità e al Garante per la protezione dei dati personali.

Cosa si impara da un attacco ransomware

Si impara la cosa più ovvia, ma che ancora a fine 2020 è considerata un argomento da addetti ai lavori, mentre dovrebbe essere al primo posto tra i compiti che la nostra vita sempre più digitale ci ha assegnato: assicurarci che i nostri dati siano al sicuro da qualunque tipo di minaccia. Ogni nostro dispositivo contiene i nostri dati (ma anche una certa quantità di dati altrui), in particolare quelli smart sono interessati ad archiviare e a semplificarci l’esistenza per quantità e tipologie sempre crescenti (mail, messaggi, documenti, foto, video). Lo stesso accade sempre di più anche con i dati aziendali sui nostri PC, basti pensare un attimo alla nostra attività lavorativa durante il lockdown. Riassumendo in un’unica frase: “tutto su cloud, e sempre disponibile online”.

Il punto critico è proprio questo: il “sempre online”. Le copie di sicurezza devono essere offline, almeno nel senso di non essere direttamente accessibili con le sole credenziali e con i sistemi di autenticazione che l’utente usa per accedere ai propri dispositivi connessi. Imparare a eseguire un backup sicuro dei propri dati è un po’ come cominciare un allenamento: all’inizio sembra solo fatica, almeno finchè non diventa un’abitudine e cominciamo a vederne qualche effetto positivo.

È chiaro che il backup non è sufficiente, ma è un ottimo punto di partenza. Se poi si tratta dei dati di un team, che sia un’azienda, un ateneo, o un ospedale, servono risorse specifiche proporzionate al valore dei dati e ai rischi associati agli attacchi, ed è bene che ci sia almeno un allenatore esperto che coordini tutta la squadra in questo tipo di avventure.