cybersecurity
(iStock)
cybersecurity
Cyber Security

Gli hacker hanno conquistato Brescia

La Rubrica - Cybersecurity Week

Pochi giorni fa il Comune di Brescia ha annunciato che la settimana prossima (questa per chi legge) i sistemi torneranno alla normale operatività dopo l'attacco hacker avvenuto nella notte tra il 30 e il 31 marzo. A conti fatti, il blocco dei servizi è durato un mese, ma quando si parla di "normale operatività" potrebbe non significare che tutto sarà come prima.

Facciamo un esempio semplice: posso affermare di avere ripristinato un servizio di posta elettronica nel momento in cui gli utenti sono in grado di inviare e ricevere messaggi, tuttavia questo non implica che siano disponibili anche gli archivi dei messaggi inviati e ricevuti. Questo vale a maggior ragione in un caso come quello del comune lombardo, colpito da un attacco in cui l'azione del ransomware è soltanto una parte del tutto. A tal proposito vale la pena capire come agiscono i criminali.

In primo luogo cercano un punto di ingresso che può essere il click di un utente nel posto sbagliato (spearphishing, e via dicendo), un sistema esposto su cui è attivo un tool per il controllo remoto oppure sul quale esiste una specifica vulnerabilità. Conquistato l'accesso mettono in campo il loro arsenale fatto di Trojan per ingannare gli antivirus e aprire un canale di comunicazione nascosto con i centri di comando e controllo, tool per l'individuazione di credenziali di accesso che gli consentano di effettuare dei movimenti laterali. Per chi non fosse addentro lo slang di settore si tratta dell'attività che porta un attaccante a penetrare in altri sistemi (orizzontali) oppure ad acquisire maggiori privilegi (verticali). Tutto questo per raggiungere il vero obiettivo dell'aggressione che in casi come quello di Brescia sono i backup on line perché a quel punto "il re è nudo" e può entrare in azione il ransomware.

A seconda di quanto esso sia sofisticato potrebbe non limitarsi a rendere indisponibili i dati "live" e relative copie di sicurezza, ma potrebbe modificare anche, esfiltrare i dati, modificare tutte le password per accedere ai sistemi. La prima azione serve a incrementare la forza del ricatto (se non paghi divulgo tutte le informazioni), la seconda a rallentare le operazioni di ripristino. Se perpetrato con adeguata pazienza e competenza, l'obiettivo vivrà un'esperienza di tipo catastrofico come appunto quella di Brescia che per un mese ha dovuto fare i conti con un sistema informatico in avaria. Penso si tratti dell'ennesima dimostrazione di come i criminali abbiano da un pezzo cambiato marcia, mentre chi si difende continua a viaggiare in "prima".

Ti potrebbe piacere anche

I più letti