Le autorità non si esprimono ancora su quale sia stato il Ransomware che ha colpito la regione Lazio, voci di corridoio in prima battuta parlavano di CryptoLocker ma ora l’ipotesi più accreditata pare essere LockBit 2.0, anche se dobbiamo precisare sul sito del gruppo non c’è nessuna notizia riguardante la regione Lazio o suoi affiliati.

Contesto

Da un paio di giorni ormai il portale, sul quale era possibile prenotare le vaccinazioni per la regione Lazio, non è più raggiungibile e veniamo accolti da un bel errore 502 oppure una semplice pagina bianca.

Le indiscrezioni

Inizialmente l’attacco era stato attribuito ad un qualche gruppo Hacktivist (unione fra le parole hacking e activism) ossia un gruppo hacker con qualche scopo politico, famoso è il gruppo Anonymous per questo tipo di azioni), ma ora è chiaro che l’ente che eroga questi servizi è stato colpito da un ransomware.

Come è già stato detto in testa all’articolo il ransomware in questione sembra essere Lockbit 2.0, una versione più avanzata del LockBit, in circolo dal 2019 come RaaS (Ransomware as a Service una formula che non richiede di essere programmatori per trarre profitto da dei malware).

Come si presenta la minaccia

Il gruppo di simpaticoni che diffonde LockBit ha deciso di chiamarlo così rimescolando la parola bitlocker, una funzionalità di protezione dei dati integrata in Windows, che permette di cifrare una partizione intera allo scopo di proteggere i propri dati.

L’utente che si trova ad usare un computer infetto con sua amara sorpresa troverà tutti i file a lui più cari con l’estensione “lockbit”; provandoli ad aprire compare la finestra che permette di scegliere con quale applicazione eseguire l’operazione, ovviamente, nessuna applicazione è in grado di aprirli.

Oltre questo in ogni cartella crittata appare un file chiamato "Restore-My-Files.txt” che con tono non troppo duro spiega per filo e per segno come riottenere i file: le istruzioni consistono in una guida piuttosto dettagliata sul come connettersi al darkweb, in modo da poter raggiungere una pagina, dove sarà presente una comoda chat per parlare con l’attaccante per negoziare il riscatto ed un box dov’è possibile fare l’upload di un file (di piccola dimensione) per avere la prova che esiste un decrypter.  Leggendo più avanti i toni si fanno più minacciosi, avvertendo l’utente che azioni non previste (come rinominare i file o usare tool di decrittazione di terze parti) porteranno ad un inevitabile perdita dei dati, o un incremento del prezzo (sottintendendo che dato che non è possibile decrittare i file senza il loro aiuto e il prezzo si comporrebbe del riscatto più il prezzo del servizio di terze parti).

La versione 2.0 di lockbit ha una vasta gamma di funzionalità, quella di stampare quante più copie possibili del messaggio usando le vostre stampanti di rete, diffondersi tramite group policy a tutti i computer dell’azienda, cancellare shadow copy (i vecchi punti di ripristino) e inviare i dati al centro di comando e controllo per poi essere diffusi.

Rimedio

Non esiste.

Se non avete una solida politica di backup non potete fare nulla… o vi tenete i file crittati e conseguente diffusione di materiale sensibile, oppure pagate sperando che i criminali siano seri businessmen e mantengano la promessa, bisogna confrontarsi poi anche con il GDPR che impone a tutte le vittime di fuga di informazioni di comunicare al più presto l’accaduto.

La regione Lazio ha provato a ripristinare i backup ma indovinate un po'? I backup erano a loro volta infetti e il malware continua a ripresentarsi. Certo sarebbe possibile ripristinare un backup più vecchio, ma questo forse è troppo vecchio per essere utile (a patto che esista).

Ricordiamo che anche pagare è una scelta rischiosa perché si rischia di venire colpiti di nuovo diventano vittime note disposte a pagare.

Perché è successo?

Un dipendente di Frosinone è caduto vittima del famosissimo emotet, un RAT (cavallo di troia per accesso remoto) che ha rubato le password di accesso VPN (rete virtuale privata) da cui poi è stato possibile saltare su un computer con privilegi d’amministrazione, e da lì si è scatenato l'attacco finale. Certo, questo si sarebbe potuto evitare, utilizzando un sistema di autenticazione a due fattori (quello che usiamo per le operazioni con la banca cioè inserire password e poi utilizzare un codice ricevuto per sms).

Lesson Learned

Speriamo che la fase di “lesson learned” venga affrontata con la necessaria attenzione da parte della pubblica amministrazione e i cittadini, basta così poco per cadere vittima di questi attacchi, una semplice distrazione o una mancanza di preparazione adeguata ci costringono a leggere ogni giorno di situazioni simili.

Nessuno è al sicuro, che sia un comune cittadino che deve proteggere i propri ricordi di paesaggi bucolici mozzafiato, la ditta invidiale con le informazioni dei clienti, la grande multinazionale, ecc… le falle nella sicurezza informatica si pagano a caro prezzo anche con valute diverse, euro, bitcoin e ore di lavoro che potrebbero essere dedicate ad altre attività piuttosto che a recuperare un danno facilmente evitabile. La formazione è l’unica chiave per non alimentare questo mercato. Diventare un Ethical Hacker può mettervi a sicuro dalle minacce esterne imparando a ragionare come il nemico, avere dipendenti preparati può mettervi al sicuro dalle minacce che non potete controllare in prima persona.

Ah! Dimenticavo, già che ci siete perché non fate un salto nella nostra Hacking Competition? Avete tempo ancora qualche giorno per iscrivervi gratuitamente e scoprire quanto ne sapete a riguardo!

Tweet