Come si reagisce a un attacco ransomware: il caso Luxottica

Il recente attacco ransomware che ha colpito Luxottica è la dimostrazione tangibile di quanto questo malware non perda la propria posizione privilegiata nell’universo del cybercrime. Tutt’altro: a causa della pandemia e del ricorso pervasivo allo smart working, i principali analisti hanno rilevato una vera e propria impennata di campagne ransomware, alimentate dalle minori protezioni dell’IT domestico e dall’impatto psicologico di messaggi (relativi alla pandemia) creati ad arte per trarre in inganno le vittime. Il +715% rilevato da Bitdefender nel primo semestre 2020 è eloquente. Il ransomware che ha colpito Luxottica, però, non fa parte di quelli innescati dall’apertura di un allegato o dalla visita a un sito compromesso; piuttosto, l’azienda italiana è stata vittima di una vera e propria intrusione informatica da parte dei cyber criminali, intrusioni che sono presumibilmente in forte crescita anche a causa del minor presidio di reti e sistemi aziendali in era di pandemia.

 

I fatti: dal blocco della produzione alla conferma del furto di dati

I fatti risalgono allo scorso settembre, precisamente al giorno 21. A causa di quello che venne inizialmente definito “guasto informatico”, il colosso italiano degli occhiali si trovò costretto a bloccare la produzione e la logistica delle fabbriche in Cina, a sospendere l’attività nella sede di Milano e il secondo turno produttivo presso le sedi di Agordo e Sedico in provincia di Belluno. L’azienda commentò immediatamente l’accaduto identificando in un malware la causa della disruption: la situazione tornò sotto controllo, con ripresa progressiva di tutte le attività, entro le 24 ore successive; in questa prima fase, non venne comunicata alcuna sottrazione di informazioni sensibili, scongiurando l’ipotesi del data breach. Nei giorni successivi, nei media si fece largo l’ipotesi che si fosse trattato di un attacco ransomware ai sistemi aziendali sfruttando una vulnerabilità in Citrix Application Delivery Controller (ADC), da cui la cifratura e la possibile estrazione dei dati. Ultimamente, infatti, la tendenza dei cyber criminali è quella della doppia estorsione: la richiesta di una somma di denaro per l’accesso ai dati, ma anche per impedire che vengano diffusi e diventino di dominio pubblico causando danni talvolta incalcolabili. In pratica, oggi i dati vengono sia criptati che rubati, perché senza il secondo fattore un semplice backup potrebbe risolvere il problema in tempi accettabili.

Trascorso quasi un mese, che si può supporre essere il lasso di tempo concesso all’azienda dai cyber criminali per pagare la somma richiesta, il 18 di ottobre il caso Luxottica tornò a far parlare di sé con la pubblicazione, da parte del gruppo criminale Nefilim, di 2 GB di dati su un dominio accessibile sulla rete Tor e presumibilmente appartenenti ai dipartimenti HR e finance dell’azienda. Tutto ciò ha, quindi, rafforzato il sospetto della doppia estorsione, cui Luxottica non avrebbe fatto seguire alcun pagamento. Rapida la reazione dell’azienda, che ha confermato la titolarità dei dati presenti nel dark web e quindi il furto degli stessi: non si tratterebbe, però, di dati europei bensì provenienti da un server sudafricano dell’azienda e quindi contenente solo dati rilevanti per il mercato locale. In questo modo, la normativa europea che disciplina i data breach (GDPR) non è applicabile. Infine, quanto meno al momento in cui si scrive, ci fu un ultimo richiamo del caso il 31 ottobre, quando venne pubblicato un secondo pacchetto di dati con 13 GB di supposti documenti finanziari.

 

Il malware Nefilim e come difendersi da un attacco ransomware

A colpire i sistemi aziendali è stato Nefilim, un malware con capacità di esfiltrazione di dati. Non è completamente chiara la dinamica di distribuzione, che però pare riconducibile a vulnerabilità o all’impiego di servizi RDP (Remote Desktop Protocol) esposti pubblicamente. Dal punto di vista esecutivo, prima vengono sottratti i dati, poi installato il malware che si focalizza sulla cifratura. Per questa operazione viene usato l’algoritmo AES-128: i documenti vengono completamente cifrati se di dimensioni inferiori a 1.2 MB, altrimenti il procedimento coinvolge unicamente i primi 600 KB. Per cifrare le chiavi AES viene utilizzato l’algoritmo RSA 2048 bit: di conseguenza, per sbloccare i file è necessaria la chiave privata RSA. A tutti i file cifrati, il ransomware aggiunge l’estensione .NEFILIM.

Come ci si difende, meglio se proattivamente, non tanto da questo attacco specifico quanto, più in generale, da un attacco ransomware? Nella fattispecie di cui sopra, se fosse confermato lo sfruttamento del protocollo RDP, vanno chiuse le porte inutilizzate e, nel caso in cui non sia possibile, vanno senza dubbio limitati gli indirizzi che vi possono accedere; in termini più generici, invece, a tutto ciò va certamente sommato il monitoraggio costante della rete, al fine di rilevare per tempo segnali di attacco e intervenire proattivamente. Non può mancare, poi, l’aggiornamento costante dei sistemi operativi e del software in generale, per proteggere la rete aziendale dalle loro vulnerabilità, fino all’impiego di sistemi avanzati basati sull’analisi comportamentale e il Machine Learning per la protezione degli endpoint, dei server e delle reti. Se poi il malware dovesse colpire, allora bisogna contrastarlo con la massima tempestività ponendo in essere attività di isolamento dell’infezione e monitoraggio costante del traffico per evitarne la propagazione, mentre per il recupero dei file cifrati, l’opzione migliore resta senza dubbio il ripristino da backup.

 

Cyber rischio: prevenire e rispondere agli incidenti

Condividilo su: