Due delle più importanti aziende spagnole sono state colpite da un attacco informatico di tipo Ransomware con la variante BitPaymer: sono la Everis, una società di consulenza informatica appartenente alla giapponese NTT Data Group e la Cadena SER, la più grande stazione radio spagnola.
Si tratta di attacchi informatici altamente mirati: i file crittografati sui computer della Everis hanno l’estensione “.3v3r1s“, riconducibile proprio alla società multinazionale di consulenza IT.
Dopo la scoperta, da parte di alcuni tecnici informatici del gravissimo attacco Ransomware, la Everis ha informato i propri dipendenti sulla necessità di non propagare ulteriormente l’infezione dicendogli di non utilizzare i computer.
Questo invece il messaggio degli hacker comparso sui computer infettati dal Ransomware BitPaymer
Secondo indiscrezioni, confermate in modo anonimo da alcuni dipendenti della Everis, la richiesta di riscatto avanzata dal gruppo di hacker per riottenere le normali funzionalità delle reti aziendali è di 750.000 € in bitcoin.
Come scritto in precedenza, la Everis non è stata l’unica azienda spagnola a essere colpita.
Anche la Cadena Ser, la più grande stazione radiofonica nazionale, risulta fra le vittime eccellenti di questo attacco informatico. La stazione radiofonica spagnola ha diffuso, attraverso il proprio sito web aziendale, un comunicato dove conferma la situazione critica in quanto tutti i suoi sistemi informatici sono al momento inutilizzabili.
Attraverso un comunicato, visibile sul proprio sito istituzionale, il DSN (Departamento de Seguridad Nacional) ha riferito dell’attacco in corso fornendo però scarsi dettagli in merito.
Seguendo il protocollo stabilito negli attacchi informatici, la SER ha visto la necessità di disconnettere tutti i suoi sistemi operativi. In questo momento, l’emissione della SER è garantita dalla sua sede di Madrid, supportata da squadre autonome. Allo stesso modo, i tecnici stanno già lavorando per il progressivo recupero della programmazione locale di ciascuna delle loro stazioni, con la collaborazione di INCIBE*.
E’ certo che gli attacchi siano riusciti approfittando di sistemi non protetti in maniera adeguata o configurati non correttamente. Viene ipotizzato che i cyber-criminali abbiano avuto accesso alle reti aziendali della Everis e della Cadena Ser sfruttando una connessione Remote Desktop Protocol Microsoft.
Per chi vuole attaccare un sistema l’individuazione di reti in cui il protocollo RDP non è sufficientemente protetto o mal configurato non è impresa difficile… anzi. Di default il protocollo sviluppato dalla Microsoft utilizza la porta 3389, e chi vuole effettuare un attacco di tipo brute-force questo lo sa bene.
Una delle soluzioni più pratiche per cercare di contrastare questo tipo di attacchi è la sostituzione del numero della porta “in ascolto” da utilizzare per una connessione RDP. Lo si può fare accedendo al registro di configurazione modificando il numero della porta
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
Inserendo il nuovo numero della porta in
Modifica > Modifica > Decimale
e dare l’OK.
Alla successiva connessione RDP basterà digitare il numero della nuova porta modificata nel registro, avendo in precedenza avuto cura di configurare la nuova regola anche sul firewall. Aggiungere una lista sicura (white-list) di indirizzi IP che potranno accedere alla connessione RDP è un’ulteriore accorgimento che può aumentare il livello di sicurezza.
Infine un’autenticazione a due fattori (2FA) è un ulteriore modo per proteggere la nostra rete da attacchi di forza bruta, anche se gli ultimi exploit collegati alla vulnerabilità BlueKeep hanno dimostrato che questo tipo di protezione potrebbe essere bypassata.
In Italia la protezione delle reti aziendali contro gli attacchi informatici lascia molto a desiderare, molte le società che investono poche risorse a livello di sicurezza IT e anche il personale interno che ogni giorno ha accesso ai terminali non viene addestrato sufficientemente.
Attualmente le aziende che operano in Italia che non hanno un’adeguata protezione, quando utilizzano una connessione Remote Desktop Protocol Microsoft, sono più di 30.000.
Fonte: BornCity