31 Marzo 2022 DIGITAL FORENSICS

COSA SAPPIAMO DELL’ATTACCO A TRENITALIA

Un attacco hacker a Trenitalia il 23 marzo 2022 ha messo fuori servizio le biglietterie delle stazioni e le macchine self service.

Gli hacker hanno prima introdotto nei sistemi un virus cryptolocker per bloccare i dati sensibili, poi hanno chiesto un riscatto di alcuni milioni di dollari per decrittarli, obbligando l’azienda a sospendere in tutta Italia la vendita dei biglietti nelle stazioni per evitare ulteriori rischi di compromissione, che avrebbero potuto mandare in crisi altri sistemi informatici, compresi quelli che gestiscono l’infrastruttura.

Il pensiero è subito corso alla possibilità che si trattasse di un attacco di cyberterrorismo legato alla guerra in Ucraina, ma questa possibilità è stata smentita dopo qualche ora.

Si tratta in sostanza di un virus ransomware, un tipo di malware diffuso e pericoloso che blocca l’accesso al dispositivo infettato, rendendo inaccessibili i file dei computer, e rimuove le limitazioni solo dopo il pagamento di un riscatto (in inglese ransom): chi ha lanciato l’attacco è riuscito ad introdurlo nei sistemi compromettendo uno o più account degli amministratori di sistema o di chi, per conto di Ferrovie dello Stato, gestisce alcuni servizi di Trenitalia.

I dati non lasciano il computer, non vengono cancellati e non sempre vengono diffusi. Semplicemente sono sulla macchina del proprietario o del titolare, ma è come se fossero chiusi in una cassaforte di cui solo il cyber criminale possiede la chiave.

Per ottenere la chiave di decriptazione, di solito viene richiesto un pagamento, parametrato non solo alle dimensioni del data base sequestrato, ma anche alla consistenza del fatturato aziendale, da effettuarsi in criptovalute, seguendo specifiche istruzioni fornite dai criminali stessi.

I veicoli di diffusione di un ransomware sono le e-mail di phishing, le quali ci invitano a cliccare su link malevoli o scaricare file infetti, oppure a compiere azioni che aprono una falla nel sistema di protezione della rete e possono installare il malware al suo interno.

Questa modalità di attacco sfrutta da un lato l’enorme diffusione delle e-mail quotidianamente nel mondo, dall’altro la scarsa attenzione ed il basso grado di consapevolezza e di formazione degli utenti, che si fidano di e-mail mascherate da messaggi ufficiali, o da posta inviata da amici e conoscenti, o dalla propria banca o da enti istituzionali.

In caso di attacco è utile avere un sistema antivirus ed un sistema operativo sempre aggiornati. Questi costituiscono le basi di una tecnica di prevenzione efficace, poiché nella guerra perenne tra sviluppatori e criminali vince chi rimane più aggiornato.

Avere il backup, cadenzato con la stessa frequenza con la quale i dati si aggiornano, fa parte delle misure minime di sicurezza da adottare.

Ci sono molte protezioni che possono essere implementate dagli amministratori di sistema, dalle più semplici alle più complesse, ma poiché il phishing, la compromissione di credenziali e password e le falle nella sicurezza, costituiscono i principali canali di accesso, non dimentichiamo che l’anello più debole della sicurezza informatica è rappresentato dall’errore umano, per cui rimane fondamentale la formazione, l’informazione e l’aumento della consapevolezza degli utenti, che troppo spesso vengono sottovalutate.

La soluzione migliore, meno costosa e più efficace è quella di ripristinare i dati da backup.

Se si sono seguite le regole per un backup efficace, e quindi si ha a disposizione una copia dei dati recente e funzionante, e se si è stabilito precedentemente la tecnica di recupero, questa è la sola strada percorribile e quella a minore impatto.

Anche qualora il backup non dovesse essere il più recente, potremmo comunque sperare di ripristinare una versione precedente dei dati, che consentirebbe comunque di limitare i danni. Prima di recuperare i dati è bene eseguire una bonifica integrale del sistema, che preveda una formattazione completa di tutte le macchine infettate e solo successivamente si può procedere al ripristino.

A quel punto, sarà necessario individuare qual è stato il vettore di attacco, ed andare a reagire incrementando i livelli di sicurezza, riparando le falle o investendo maggiormente in formazione.

Ultima spiaggia, è pagare il riscatto, che in alcuni casi può essere anche molto elevato, come quello chiesto a Trenitalia, che sembra essere di cinque milioni di euro.

Allo stato attuale, l’azienda nega di aver ricevuto richieste in tal senso e tanto meno di avere pagato.

Pagare il riscatto è la soluzione a cui non si dovrebbe mai arrivare, in quanto incentiva la proliferazione dei malware a scopo estorsivo, ma finché non si arriverà, come per i sequestri di persona, a prevedere una legge che congeli i patrimoni aziendali per impedire di pagare il riscatto, questa pratica di per sé non è illegale, anche se molto rischiosa.

C’è comunque sempre la possibilità che i dati non vengano restituiti, anche dopo il pagamento, o che l’estorsione continui, con la minaccia di esposizione dei dati in caso di mancato versamento “periodico”. Una situazione in cui si spera veramente di non trovarsi mai, che purtroppo non è interamente e completamente possibile evitare, ma che si può cercare di ridurre al minimo solo con un’unica risposta possibile: prevenzione, formazione, consapevolezza.

Share: