Hiltzik: la minaccia del ransomware

0 0


Fran Finnegan era in vacanza a New York poco prima del fine settimana del 4 luglio quando ha ricevuto un messaggio di testo inquietante da uno dei suoi clienti: come mai il suo sito web non era attivo?

Finnegan ha rapidamente cercato un computer per esaminare in remoto il suo sito, che fornisce l’accesso a milioni di documenti archiviati presso la Securities and Exchange Commission.

Lì ha scoperto un disastro che si stava svolgendo davanti ai suoi occhi in tempo reale. Gli hacker avevano violato la sicurezza del suo sito e ne avevano preso il controllo. Osservò impotente mentre crittografavano tutti i suoi file, mettendoli fuori portata.

Il ransomware è ovunque. Non esiste una singola industria che non si occupi di questo problema in questo momento. Non è uno scontro leale.

L’esperto di sicurezza informatica Brian Krebs

“Non appena ho potuto, li ho spenti”, mi ha detto Finnegan, 70 anni, dalla sua casa nella Bay Area di San Francisco. “Ma il danno è stato fatto”.

L’attacco era iniziato il fine settimana precedente, quindi per quattro giorni gli hacker hanno avuto libero accesso, saccheggiando la materia prima degli affari di Finnegan come ladri che fanno irruzione in un museo senza paura di essere catturati. “Ho perso tutto ciò che essenzialmente costituisce la mia intera operazione.”

Quando gli hacker ebbero finito, lasciarono a Finnegan un messaggio con un teschio e ossa incrociate su uno sfondo nero sinistro, con la scritta “I tuoi file sono crittografati” e fornendo un indirizzo e-mail a cui scrivere per conoscere il costo di una chiave di decrittazione per ripristinare il suo File.

È stato l’ennesimo attacco ransomware esorbitante, in cui gli hacker rapiscono efficacemente la linfa vitale digitale di un’azienda e si offrono di ripristinarla, a un prezzo.

Questi attacchi stanno diventando quasi quotidiani, anche se in genere sono rivolti a grandi aziende con i mezzi per pagare un riscatto multimilionario (generalmente richiesto in bitcoin o un’altra valuta digitale).

Gli obiettivi spesso devono avere quel tipo di impronta commerciale, politica o economica – si pensi ai sistemi ospedalieri, alle università e alle agenzie governative – che rendano indispensabili risoluzioni tempestive.

Notevoli attacchi ransomware quest’anno hanno colpito Colonial Pipeline, che ha dovuto ridurre le consegne di benzina ai clienti nel nord-est durante l’episodio, e JBS Foods, un produttore di carne internazionale. Entrambe le società hanno pagato un riscatto: rispettivamente $ 4,4 milioni e $ 11 milioni, sebbene gran parte del profitto coloniale sia stato recuperato dall’FBI.

L’attacco più di vasta portata sembra essere quello che ha colpito Kaseya, una società di tecnologia dell’informazione i cui clienti servono migliaia di piccole imprese, poco prima del fine settimana festivo del 4 luglio.

Ma la maggior parte degli attacchi sembra sfuggire al radar. Il servizio di informazione dei consumatori Comparitech ha documentato 92 attacchi ransomware nel settore sanitario statunitense nel 2020, che hanno colpito più di 600 cliniche, ospedali e altre organizzazioni e oltre 18 milioni di cartelle cliniche. Comparitech ha stimato il costo di tali attacchi, inclusi riscatti pagati, tempi di inattività e ripristino, a circa 21 miliardi di dollari.

“Il ransomware è ovunque”, afferma l’esperto di sicurezza informatica Brian Krebs. “Non c’è una singola industria che non stia affrontando questo problema in questo momento.”

Ciò non significa che stiano avendo molto successo. “Ci sono molti predatori là fuori che fanno questo, e il motivo per cui ne abbiamo così tanti è perché ci sono molte prede facili”, dice Krebs. “O dobbiamo fare qualcosa per il volume di prede là fuori, o iniziare a togliere alcuni predatori dal tabellone. Al momento non è una battaglia leale per molte aziende”.

Parte del messaggio lasciato dagli hacker su secinfo.com, informando il suo proprietario che avrebbe dovuto pagare per recuperare il database della sua attività.

(Fran Finnegan)

L’attacco al sito di Finnegan è una svolta rispetto a quello che potrebbe essere considerato un ransomware tradizionale, che generalmente prevede l’impianto di software dannoso in un sistema di destinazione e il suo utilizzo per provocare il caos dall’interno. Finnegan crede che i suoi aggressori abbiano ottenuto l’accesso ai suoi dati attraverso un metodo diverso, l’uso di una password rubata.

Ma rientra nella categoria più ampia dell’estorsione digitale. Finnegan non ha contattato gli hacker tramite l’indirizzo e-mail che hanno lasciato perché ha scoperto tramite una ricerca su Internet che è associato a un gruppo accusato di aver preso i soldi delle vittime ma di non aver consegnato una chiave di decrittazione. Quindi è rimasto con il ripristino dei suoi dati virtualmente a mano.

L’attività di Finnegan, secinfo.com, fornisce ai suoi abbonati l’accesso a ogni documento di divulgazione finanziaria depositato presso la Securities and Exchange Commission: relazioni annuali e trimestrali, dichiarazioni di delega, comunicazioni dei principali azionisti e molto altro, un vasto magazzino di informazioni finanziarie disponibili al pubblico.

Questi documenti sono tutti disponibili gratuitamente direttamente dal sito web della SEC o da quelli delle società emittenti. Ma secinfo.com è prezioso come sportello unico per i dati. Il servizio rendeva disponibili più di 46 milioni di documenti, di cui più di 1,6 miliardi di pagine facilmente ricercabili.

Gli abbonati potrebbero impostare avvisi per ogni volta che un’azienda o un grande investitore ha presentato un altro documento e sgranocchiare le informazioni incorporate in una miriade di modi. Per chiunque faccia ricerche sulle società pubbliche, secinfo è stato uno strumento che fa risparmiare tempo per trovare ciò di cui ha bisogno, per una tariffa trimestrale nominale. (Sono abbonato da anni.)

Per ora è inutilizzabile. Finnegan stima che potrebbero volerci settimane per ripristinare tutto alle condizioni precedenti all’hacking.

Finnegan ha lanciato secinfo.com nel 1997. Ha studiato informatica a Notre Dame e ha conseguito un MBA all’Università di Chicago, quindi ha trascorso circa una dozzina di anni a Wall Street come banchiere d’investimento presso EF Hutton e First Boston.

“Mi sono stufato di questo”, mi ha detto Finnegan. “Il software era molto più divertente, quindi ho deciso di tornare al software”. Con uno staff di 15-20 persone, si è assunto come progettista di software per grandi aziende.

Poi, a metà degli anni ’90, la SEC subì un cambiamento epocale. Un attivista ribelle per il libero accesso ai documenti governativi di nome Carl Malamud ha convinto l’agenzia a mettere online gratuitamente il suo database EDGAR di documenti aziendali, rompendo il quasi monopolio allora detenuto dal servizio commerciale Lexis/Nexis.

L’agenzia, che inizialmente ha resistito all’iniziativa, ha presto appreso che l’accesso gratuito ha aperto il database a una moltitudine di formati innovativi sviluppati da organizzazioni non profit e servizi a scopo di lucro, ampliandone notevolmente l’utilità per il pubblico.

Finnegan è stato un pioniere nel rendere il database più accessibile. “Ho pensato, conosco il software e conosco Wall Street, e posso fare un lavoro migliore della SEC”, dice, “quindi sono passato a fare la cosa EDGAR, ed è quello che ho fatto negli ultimi 24 anni.” Alla fine è diventato uno dei più grandi fornitori di terze parti di documenti SEC.

Il sito web secinfo.com ha un aspetto utilitaristico, ma è così completo e fornisce così tante opzioni di analisi e download che sembra il prodotto di uno staff considerevole. Ma è un’operazione individuale, grazie all’abilità di Finnegan nell’automazione delle sue funzioni. Il suo sistema è impostato per interrogare il database della SEC due o tre volte al secondo e per catturare ogni nuovo file che si presenta.

Il database dei documenti di Finnegan, di dimensioni comprese tra 15 e 20 terabyte, è stato archiviato su una coppia di server su larga scala in un data center a San Francisco. (Un terabyte è l’equivalente di 1.000 gigabyte; una versione digitale di un film può occupare da 1,5 a 3 gigabyte di spazio.) I due server erano ridondanti, quindi se uno si fosse fuso, l’altro avrebbe funzionato come backup.

“Pensavo di essere coperto”, dice Finnegan.

Il problema era che il suo sistema di sicurezza aveva un paio di buchi.

Uno era che la ridondanza lo proteggeva da un guasto hardware di entrambi i server, ma non da una violazione della sicurezza.

Il secondo era più pericoloso. Quando Finnegan ha originariamente impostato secinfo, si è dato i privilegi amministrativi in ​​modo da poter gestire il sistema e ha protetto il suo accesso con una password. La password che ha usato, tuttavia, era la stessa che stava usando per il suo account di posta elettronica Yahoo.

Quella password è stata probabilmente rubata in un massiccio attacco nel 2013 che ha compromesso anche nomi, indirizzi e-mail, numeri di telefono, date di nascita e domande e risposte di sicurezza di 3 miliardi di titolari di account Yahoo.

Yahoo aveva consigliato ai suoi utenti di cambiare le password sui loro account Yahoo, ma Finnegan aveva dimenticato da tempo di averla usata anche come password amministrativa.

“Se mi fossi ricordato che stavo usando una password di 24 anni fa”, dice, “l’avrei sicuramente cambiata”.

Ha ipotizzato che fosse rimasto come una bomba a orologeria nelle mani di chiunque avesse accesso ai dati Yahoo rubati. Se sei un hacker, dice, “prendi un lungo elenco di password e continui a tornare indietro e testare ogni password, e forse avrai un successo”.

Il servizio firewall di Finnegan, che lo proteggerebbe da un tentativo di violazione casuale, non proteggerebbe dall’uso di una password legittima. Come ha scoperto in seguito, a partire dal 26 giugno i suoi hacker hanno eseguito il ping del suo sistema 2,5 milioni di volte prima di trovare finalmente la password giusta. Dice che i log del firewall hanno stabilito che l’hacking ha avuto origine in Russia.

Ciò non significa che gli hacker agissero per conto dello stato russo, ma indica le conclusioni degli esperti di sicurezza informatica secondo cui il presidente russo Vladimir Putin ha dato una casa a hacker come REvil, che si pensa abbia lanciato il Kaseya e Attacchi Colonial Pipeline, purché non mirino a obiettivi russi.

Il presidente Biden ha lanciato un avvertimento indiretto a Putin sulla sua tolleranza nei confronti degli hacker durante il loro incontro in Svizzera il 16 giugno. “I paesi responsabili devono agire contro i criminali che conducono attività di ransomware sul loro territorio”, ha detto Biden dopo l’incontro.

Una volta che gli hacker sono entrati in secinfo, sono stati in grado di crittografare tutto su entrambi i server, non solo il database dei documenti, ma anche il sistema di posta elettronica di Finnegan e persino il suo elenco di utenti e le loro informazioni di contatto.

Ciò significa che una volta che secinfo.com sarà di nuovo operativo, non sarà in grado di informare in modo proattivo i suoi clienti dell’accaduto: dovrà aspettare che si mettano in contatto con lui. Non ci sono indicazioni che i suoi oltre 500.000 clienti, che secondo lui hanno incluso individui e società di servizi finanziari come Bank of America, Goldman Sachs e JPMorgan Chase & Co., siano stati messi a rischio.

Se c’è una grazia salvifica, gli hacker non sono stati in grado di violare un altro set di server su cui ha archiviato il suo software per automatizzare la funzione di ricerca e altre funzionalità del suo sito web.

Ma a parte questo, Finnegan dice: “Devo ricreare tutto, e questo richiede tempo. Spero che non sia più di un mese, ma non c’è modo di saperlo adesso”. Dice che non pensa che il ripristino gli costerà molto di tasca propria, ma il pedaggio sul suo tempo e il costo dell’aggravamento, così come la perdita di utenti, è incalcolabile.

“Ci sono un sacco di cose da fare”, dice. “Non crederesti a quanto sia complicato.” Fino a giovedì, non era nemmeno in grado di pubblicare un messaggio sul suo sito Web per informare i visitatori che il servizio è “inattivo a causa di un attacco ransomware” e “sarà attivo il prima possibile”. Fino ad allora, l’indirizzo secinfo.com restituiva solo una schermata vuota.

Poi c’è la questione di dove trovare un rimedio alla frenesia dei ransomware. Finnegan e Krebs osservano entrambi che il crimine è stato facilitato dall’ascesa di valute virtuali come il bitcoin, che sono più difficili da rintracciare rispetto alle tradizionali forme di pagamento.

“L’unico modo per fermare questo è che gli Stati Uniti mettano fuorilegge il bitcoin”, afferma Finnegan. “Ciò toglierebbe il meccanismo di pagamento anonimo e questo toglie l’incentivo”.

Nel frattempo, la minaccia non farà che peggiorare.



También podría gustarte
Deja una respuesta

Su dirección de correo electrónico no será publicada.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More