giovedì 7 novembre 2019

Non aprite quella mail (o quella PEC), come distruggere un'azienda con un clic ingenuo (ransomware)

Cari lettori, scrivo questa storia vera, nel cercare di dissuadervi dal compiere un'azione semplicissima:
un click!
..cosa potrà mai accadere con un click?

Azioni rapide e apparentemente insignificanti, a volte, possono avere conseguenze molto serie....

Invece di cominciare dall'inizio, comincerò dalle conseguenze:
Un'azienda di più di 10 persone ferma per 3 giorni. 2 giorni di ricerca dell'origine del cryptolocker + 1 giorno di restore dei file e dei sistemi compromessi.
Un 5% di file definitivamente persi.
E siamo stati anche fortunati, in molti casi reali potrebbe decisamente andar peggio.

Qualche giorno fa mi viene aperto un ticket:
"Buongiorno,
stamattina dalla nostra PEC sono partite circa 40 mail sospette..... senza che noi ci fossimo collegati
Trattandosi di PEC, a chi la devo far controllare?"

Dopo aver consigliato il classico cambio password, un'altro dipendente della stessa azienda, verso le 11 mi comunica che non riusciva ad aprire più i suoi file in rete e mi manda la foto su whatsapp...

files con estensione ".CE39E8" ... ALLARME CRYPTOVIRUS !!!! SPEGNETE TUTTO SUBITOOOOOO!!!

Questa tempestività nello spegnere tutto ci ha risparmiato tanti tanti mal di testa....

Analizzo i log antivirus ... nulla da segnalare .. mi precipito dal cliente!
In  questi casi la prima preoccupazione è capire dove ha attecchito l'infezione, quali computer, una volta riaccesi inizieranno di nuovo a criptare inesorabilmente qualsiasi file di dati a tiro.
Questo significa anche bloccare completamente un'azienda.

Faccio partire da USB Stick tutti i PC con KRD e inizio le scansioni .... discretamente lunghe.
Nel Frattempo faccio lo snapshot delle VM ed eseguo dei backup per congelare la situazione attuale, anche a fini di studio, perchè l'ANTIVIRUS QUESTA VOLTA HA FATTO CILECCA.

KRD trova un po' di cose, ma davvero niente di grave, quasi tutte stupidaggini. Anche lui non riesce ad identificare il Cryptovirus.

Il fatto di avere anche parte dell' infrastruttura lato client in virtuale mi consente di continuare a lavorare da remoto, anche in orari poco consoni e fare il boot delle VM con diversi tool di analisi. Carico i file cryptati sul web ed ecco "la firma" una variante di FTCODE.
A giudicare dal CERT-PA, di gran voga sulle PEC italiane.

Grazie alla buona linea di comando BASH, inizio delle indagini sulla portata dell'infezione, indagini che si riveleranno poi molto utili a capire come è avvenuto il tutto.
Il malware non ha cryptato i file locali, ha iniziato subito ad intaccare uno share in rete:

  • ha operato dalle 9.52 alle 10.30
  • fino alle 11.14 in cui è stato ordinato lo spegnimento, dovrebbe essersi incagliato in un file molto molto pesante.
  • in quel frangente di tempo ha criptato 23.382 file su 112.993 (circa il 20%).
Le PEC virali però sono iniziate a partire dalle 7.30 .... che strano....
Chiedo la password dela PEC e la verifico su https://haveibeenpwned.com/Passwords

Ecco il risultato:

La password risulta in ben 5 data-breaches!!!
Quindi l'ipotesi che questa sia stata forzata direttamente dall'esterno risulta quantomeno probabile.

Visto che gli antivirus non sono d'aiuto, inizio a curiosare nella VM che probabilmente ha scatenato tutto tramite con una linux live (per avere un'ambiente asettico) utilizzando l'antivirus contenuto nella scatola cranica.

BINGO!!! nella cartella Download di un'utente alle 9.51 risultava un bel file zip ... con all'interno un bel file doc ....





Praticamente, i contatti dell'azienda hanno iniziato a chiamare chiedendo cosa fosse stato inviato e che "non si apriva" (!!!), al che la segreteria è andata a verificare cosa fosse partito dalla loro PEC in orario così inconsueto, andando addirittura ad aprire l'allegato....

E da questa enorme ingenuità è partita la frittata.

La scoperta del punto di origine mi ha confortato molto, potevo pensare di iniziare a rimettere on line la VM server e i vari PC fisici.

Per la VM client, ho restorato uno snapshot precedente.
Per i dati sul server sono andato a ripristinare sempre uno snapshot su di una diversa VM. Poi grazie a BASH sono andato ad integrare solo i file che erano stati criptati, in totale 17.800 circa.

L'azienda ha quindi perso un 4,5% dei file.

L'azienda ha poi investito in:
-storage per backup locali differenziali
-storage di backup in cloud
-utilizzo di GMAIL come "filtro" ed interfaccia della PEC

Che cosa ci insegna questa storia reale?

Per l'utente:

  • Le PEC vengono ritenute sicure. Non è così, perchè su di esse non viene effettuato alcun controllo antivirus. Inoltre gli utenti delle PEC scelgono spesso password rintracciabili dagli hacker.
  • Per tutti i servizi accedibili da Internet è necessario utilizzare password sicure e che non siano già pubblicate in qualche data-breach.
  • Come dico sempre, l'Antivirus bisogna proprio averlo, ma è una falsa sicurezza. Il virus sarà sempre quello che tira fuori la pistola per primo. L'antivirus non può essere la scusa per aprire con leggerezza tutto quello che arriva.
  • Per quale motivo una persona che vi scrive abitualmente dovrebbe mandarvi un .doc che si chiama con tutti numeri, dentro un file .zip che si chiama con tutti numeri ..... Non puzza abbastanza di bruciato da lontano?
  • Per quale motivo si deve aprire un messaggio che si è certi di non aver mandato! Alle 7.30 in ufficio non c'era sicuramente nessuno ad inviare PEC.....
  • In generale gli utenti considerano affidabile il mittente, ma questo non è un buon criterio perchè le mailbox possono essere forzate, e perchè il campo MITTENTE di un'email PUO' ESSERE FALSIFICATO!
  • I messaggi inviati dai virus sono quasi sempre inattesi, inoltre c'è sempre qualche elemento del messaggio, quantomeno strano! I saluti inconsueti, delle forme verbali non perfette o troppo sintetiche, delle frasi non contestuali all'oggetto e degli allegati inusuali (per posta si mandano quasi sempre PDF ....) .
    PRIMA DI APRIRE QUALSIASI ALLEGATO O QUALSIASI LINK, CONTATTARE SEMPRE IL MITTENTE!
Per le aziende:


  • Investire sempre tempo e denaro in un disaster recovery plan dettagliato che preveda forme di backup locali e in cloud. Questo significa anche fare delle verifiche periodiche sull'esito delle procedure di backup!
  • Investire in virtualizzazione, offre una flessibilità e una capacità di recupero impensabili con l'hardware fisico.
  • Investire in servizi email moderni come GMAIL. Chi usa Google Suite, o usa GMAIL semplicemente come interfaccia o come filtro ha molti molti meno problemi sia di virus che di SPAM.
  • Assicurarsi che le password scelte per i servizi accedibili da internet siano sicure e non presenti in elenchi.
  • Selezionare il personale anche alla base delle conoscenze informatiche, negli USA, chi si presenta con una mail pizza e fichi diversa da GMAIL viene subito scartato. Così come dovrebbe esserlo chi sa solo usare Outlook.
  • Investire nella formazione del personale in merito alla sicurezza informatica.
  • Investire in campagne di phishing generate ad hoc per capire chi ci casca maggiormente e con la sua ingenuità mette a rischio l'intera operatività aziendale.
  • Scegliere sempre software che non richiedono diritti amministrativi per essere utilizzati!
  • Non lasciare che gli utenti utilizzino permanentemente il PC con diritti amministrativi.

In generale non si può avere un approccio ai  servizi informatici, come la chiamata dell'idraulico.
L'informatica è una cosa che va seguita di continuo (e che quindi va finanziata come un costo ricorrente).
Purtroppo ci si rende conto di quanto sia importante oggi l'informatica, solo quando l'operatività viene a mancare.


Elementi fortuiti:

  • un'utente ha ritenuto strano cosa stava avvenendo e ha pensato di comunicarmelo tempestivamente. Questo ha ridotto enormemente il danno e il tempo necesario per ripristinare i files.
  • Insisto sempre molto sul fatto che gli utenti non devono utilizzare il PC con credenziali amministrative! Questo elemento ha fatto in modo che il virus non fosse in grado di propagarsi sulla rete ed installarsi sulla macchina!


Considerazioni tecniche:

  • Aruba si è dimostrata impreparata, ho chiesto i log per capire se si fosse trattato di un'attacco bruteforce dall'esterno, e dopo giorni ancora non mi hanno risposto. Inoltre non viene fatta la minima verifica di sicurezza su cosa venga inviato e da dove. Mi piacerebbe sapere quale sia il livello di sicurezza offerto dagli altri gestori PEC.
  • Webroot in questa occasione è stato davvero pessimo. Non solo non ha rivelato il virus, ma sul server non si è accorto di quello che stava succedendo. Qualcosa che cripta file per 40 minuti e gli cambia per giunta nome è sicuramente sospetto. Non è che l'utente non possa criptare di sua spontanea volontà, ma l'atteggiamento giusto in questo caso è bloccare e poi semmai dare la possibilità di sbloccare. Il marketing di Webroot vende favole. Ciò non toglie che la scelta di un Antivirus è fatta di tanti fattori che giocano a favore di Webroot e che in altre occasioni si sia comportato egregiamente. Nelle successive scansioni, ESET ha rilevato il virus, ma anche chrome mi ha impedito di scaricarlo. Chrome in precedenza però non ha impedito all'utente di scaricare il virus, segno che si è trattato di una variante molto "fresca".


Nessun commento:

Posta un commento