Dal sequestro delle persone al sequestro dei dati

MILANO - Nell'ultimo decennio abbiamo affrontato varie tipologie di malware che utilizzando la tecnica del ransom (riscatto) hanno generato ingenti guadagni illeciti. Siamo passati dai Ransom Trojans che attraverso tecniche di ingegneria sociale convincevano la gente ad accettare i termini del malware, come ad esempio il download di un software (malevolo) per disinfettare il computer, il pagamento di una cifra X per eliminare un virus, il pagamento di una cifra X per riparare un errore di windows, e tanti altri esempi, ai ransomware con la tecnica dell'encryption integrata, ancora oggi molto utilizzati dalle organizzazioni criminali.

Con questa tecnica, i dati vengono lasciati sul computer della vittima, criptati e resi inutilizzabili. Viene chiesto un riscatto che in alcuni casi arriva anche a diverse migliaia di euro, ponendo la vittima in grandi difficoltà, soprattutto in situazioni dove non ci sono politiche di sicurezza adeguate e quindi la possibilità di recupero dei dati da copie di backup o altre tecniche di archiviazione sicura.

La tecnica del riscatto viene utilizzata anche in situazioni diverse, in alcuni casi le organizzazioni criminali sfruttando debolezze soprattutto nei sistemi di autenticazione sono riusciti a copiare interi database chiedendo il riscatto. In alcuni casi hanno ottenuto l'accesso ad alcuni pannelli di amministrazione di server dedicati attraverso url del tipo "http://indirizzoipdelserver/phpmyadmin/" oppure attraverso l'amministrazione remota di Mysql sfruttando l'apertura della porta 3306 verso l'esterno. Anche in questo caso le vittime vengono messe in grandi difficoltà.

Con questo modus operandi, sfruttando le debolezze delle password, le organizzazioni criminali colpiscono i servizi copiando prima tutti o parte dei dati sui loro server e successivamente chiedono il riscatto alle vittime per ottenere la restituzione dei dati rubati.

E' notizia recente che anche repository Git sono stati oggetto di queste tipologie di attacco.

Per essere estremamente pratici e sintetici su come mitigare il rischio ransom indico innanzitutto alcune contromisure da prendere in considerazione:

1) Utilizzare password complesse ad esempio: ka*ha78z12SD@#akij

2) Chiudere o filtrare le porte di comunicazione dei servizi, ad esempio la porta 3306 di mysql, che dovrebbe restare aperta solo ed esclusivamente per il Web Server su cui è situato il codice sorgente dell'applicativo che interagisce con il database, ed al massimo all'indirizzo IP pubblico da cui si collega lo sviluppatore che per motivi di gestione e manutenzione dell'applicativo ha la necessità di connettersi direttamente al DB Mysql
3) Effettuare il Backup periodico con conservazione sicura dei vari archivi, sia di tipologia file system che database
4) Abilitare, ove possibile, autenticazioni di tipo Multi-factor authentication (MFA).

(articolo di Massimo Chirivì)