L’attacco hacker ad un’azienda foggiana e le insidie dello smart working

Molte aziende, pubbliche e private, a causa dell’emergenza Coronavirus si sono ritrovate a dover implementare tutti gli strumenti necessari per attivare lo smart working. I requisiti essenziali sono pochi e di rapida implementazione, come una connessione ad internet, un computer portatile e software che consentono il collegamento alla rete dell’azienda (Citrix tra i più noti).

Qualcuna, però, ha trascurato un altro componente fondamentale: la sicurezza informatica. Purtroppo, infatti, smart working e sicurezza informatica sono strettamente correlati. Ovviamente i cyber criminali hanno colto la palla al balzo e in questo periodo hanno approfittato della situazione, sferrando numerosissimi attacchi per impossessarsi di dati personali, credenziali, informazioni aziendali e, come nel caso che vedremo di seguito, per compiere una vera e propria estorsione in cambio delle informazioni conservate nei supporti di memoria dell’intero sistema.

È fine maggio 2020, quando nottetempo uno sconosciuto ottiene l’accesso alla rete informatica di un’azienda foggiana (con ramificazioni su tutto il territorio provinciale) in prima linea contro il Covid-19.

Il tutto avviene utilizzando, probabilmente, le credenziali sottratte da un tablet privato (Android) di un ignaro dipendente. Il risultato è devastante, tanto da ottenere il pieno controllo del server di dominio tramite il quale ha poi cifrato i dischi rigidi di diverse macchine operative in quel momento (circa 150 PC e 11 server) rendendole, di fatto, inutilizzabili. L’attacco, almeno per quanto trapelato in una mail inviata a suo tempo a tutti i dipendenti, pare sia avvenuto sfruttando un bug della versione del sistema operativo in uso, installato sui server sparsi nelle varie sedi, e tramite la funzionalità BitLocker (l’utility di cifratura dei dischi rigidi). E per questo non rilevato dagli antivirus come attività anomala.

Ad operazione compiuta, il giorno dopo ecco l’amara sorpresa: «Tutti i server presentavano all’accesso un messaggio di richiesta di contatto a mezzo email tramite il quale procedere alla quantificazione del riscatto da erogare in Bitcoin (una criptovaluta che consente il possesso e il trasferimento anonimo delle monete, ndr)  per poter ottenere le chiavi per la decifratura delle macchine colpite». Dopo lo smarrimento iniziale e la revoca per alcuni giorni del lavoro agile, il reparto ICT è riuscito, non con poca fatica, a rimettere in piedi l’intera rete aziendale grazie ai backup in possesso (“vecchi” però di due giorni), senza versare alcunché nelle tasche dell’ignoto hacker.

Come difendersi?

Mettendo da parte tutti gli accorgimenti di natura tecnica (firewall perimetrali, vpn, politiche di backup, password robuste e relativo cambio frequente, ecc) è essenziale far crescere nei dipendenti la cultura della sicurezza.

Altro fattore chiave è il dispositivo con cui si effettua la connessione. Dal momento che in larga parte questo avviene con personal computer  privati, è buona norma che l’azienda, tramite i propri esperti, provveda ad un controllo accurato delle macchine che andranno a connettersi da casa (antivirus e sistema operativo sempre aggiornati con le ultime patch di sicurezza) e, se necessario, provvedere alla loro formattazione limitandosi ad installare solo il software necessario e soprattutto licenziato.

È proprio dall’uso di programmi piratati che arrivano le maggiori insidie: il «tutto gratis» a colpi di crack ha sempre un prezzo altissimo in fatto di sicurezza.