di Amedeo Lupinelli
In questi giorni di inizio agosto siamo tutti scossi dall’attacco ransomware che ha subito la struttura IT
della Regione Lazio. È ancora troppo presto per fare delle analisi, al momento possiamo solo sperare che
i dati non siano fuoriusciti e che si riesca a trovare un backup da cui ripristinare il sistema.
Chi sta indagando sull’accaduto giustamente non rilascia nessuna informazione di dettaglio, ogni
particolare deve essere analizzato nel più assoluto riserbo per non compromettere la possibilità che
qualche elemento possa dare informazioni sugli autori o sulle modalità con cui l’intrusione è avvenuta.
In attesa di saperne di più, ho provato ad analizzare un episodio simile avvenuto a marzo di quest’anno e
cha ha visto i criminali prendere di mira il sistema informatico di un importante comune lombardo. Non
è difficile trovare informazioni in merito, ne hanno parlato i media generalisti oltre, naturalmente, alla
stampa specializzata italiana e non. Il gruppo criminale che ha rivendicato l’azione si fa chiamare
DoppelPaymer ed ha agito secondo il copione classico di un attacco ransomware: dopo la
compromissione dei sistemi hanno cifrato i dati dopo averli esfiltrati, rendendoli di fatto non più
accessibili. Hanno poi richiesto il pagamento di una somma in criptovaluta per la consegna della chiave
che avrebbe rimesso in chiaro le informazioni non più fruibili da parte del legittimo proprietario,
minacciando di pubblicare il tutto se non si fosse proceduto al pagamento.
Non è difficile recuperare l’indirizzo onion che consente di raggiungere la pagina web, naturalmente su
rete Tor, di questo gruppo criminale e, dopo una verifica con captcha (hanno paura di essere monitorati
da automatismi) si accede alla lista dei sistemi che hanno compromesso. Questi sono divisi in due
categorie, quelli per i quali l’ultimatum non è ancora scaduto (per i quali sono pubblicati solo pochi
esempi delle informazioni prelevate come prova che ne sono davvero in possesso), poi quelli per i quali
l’ultimatum è scaduto e la vittima non ha accettato di pagare. Per questi ultimi sono pubblicati i dati
trafugati suddivisi in diversi files che tutti insieme dovrebbero ricostruire l’archivio originale.
È doveroso a questo punto ribadire almeno due punti essenziali per chi fosse stuzzicato dalla curiosità e
pensasse di scaricare quei files:
1) Né voi né chi ve li sta fornendo siete proprietari di quei dati che, in quanto rubati vi
metterebbero in una posizione molto scomoda se, per qualche motivo, ne veniste trovati in
possesso;
2) State scaricando files da una pagina gestita da criminali, non fidatevi: se non utilizzate gli
strumenti corretti e non avete il pieno controllo di quello che state facendo, insieme ai dati
potreste scaricare sul vostro sistema anche qualcos’altro che, nel giro di un tempo più o meno
lungo, potrebbe far finire anche i vostri files (o della vostra azienda) su quella lista.
Nella lista dei target con ultimatum scaduto è presente il nostro comune lombardo (fa un certo effetto
vedere anche altri comuni italiani) ed entrando nella pagina specifica si possono vedere i files da
scaricare che consentono di ricostruire l’archivio rubato. In fondo alla pagina è presente un’altra lista, la
“Machines List”, con tutte le macchine che sono state rilevate sulla rete del target a seguito
dell’intrusione. Per ciascuna sono presenti informazioni sul nome macchina, l’unità organizzativa alla quale appartiene e, tra le altre cose, il sistema operativo che utilizza. Se quelle informazioni sono
corrette, balza all’occhio immediatamente qualcosa che è difficile capire: troviamo molti sistemi che non
dovrebbero esserci, Windows 2000 Server, Windows Server 2003, diversi Windows NT oltre a tanti
Windows XP Professional e Windows 2000 Professional per le postazioni di lavoro. Anche chi non è
addetto ai lavori sa che si tratta di sistemi molto vecchi non più supportati da Microsoft da diversi anni,
Windows NT addirittura è stato rilasciato 25 anni fa e non è più supportato dal 2004.
Utilizzare sistemi che hanno superato da tempo la data di “End of Life” pone l’infrastruttura nella quale
sono inseriti a rischi molto seri in quanto, non essendo più supportati dal produttore, non ricevono
nessun aggiornamento, neanche quelli necessari a correggere i problemi di sicurezza che da quella data
in poi sono stati scoperti. Quei problemi, ben noti ai criminali, restano lì a disposizione di chi li vuole
sfruttare.
Ad oggi il livello di preparazione tecnica di chi compie queste intrusioni è decisamente elevato, basti
pensare alla complessità di funzionamento dei vari tool di ransomware per evitare di essere intercettati
dai normali strumenti di rilevazione del malware, ma è davvero assurdo rendere la vita così facile a
questi signori semplicemente continuando ad utilizzare sistemi che tutti sanno essere vulnerabili.
Utilizzare software supportato, tenerlo sempre aggiornato, deve essere una regola fondamentale per chi
gestisce sistemi IT, l’obsolescenza del parco software, a partire dai sistemi operativi, è un problema
immenso quando quel software è utilizzato in contesti critici.
In questi giorni ci siamo sentiti dire spesso una cosa ovvia ma che è giusto ripetere: la sicurezza al 100%
non esiste. Possiamo però alzare quell’asticella, fare tutto quello che è nelle nostre possibilità per
rendere il compito a queste persone il più difficile possibile. I criminali ci sono, e purtroppo ci saranno
sempre, hanno molto tempo a disposizione, a volte hanno grandi risorse a disposizione e spesso sono
motivati dalla possibilità di realizzare grossi guadagni, non agevoliamoli nei loro intenti.
Quanti di voi lascerebbero sulla propria porta di casa una serratura del secolo scorso, una di quelle che
dopo un paio di video su Youtube molti sarebbero in grado di aprire in qualche minuto?
