Attraverso un comunicato, visibile sul proprio sito istituzionale, il DSN (Departamento de Seguridad Nacional) ha riferito dell’attacco in corso fornendo però scarsi dettagli in merito.

Seguendo il protocollo stabilito negli attacchi informatici, la SER ha visto la necessità di disconnettere tutti i suoi sistemi operativi. In questo momento, l’emissione della SER è garantita dalla sua sede di Madrid, supportata da squadre autonome. Allo stesso modo, i tecnici stanno già lavorando per il progressivo recupero della programmazione locale di ciascuna delle loro stazioni, con la collaborazione di INCIBE*.

*Instituto Nacional de Ciberseguridad

E’ certo che gli attacchi siano riusciti approfittando di sistemi non protetti in maniera adeguata o configurati non correttamente. Viene ipotizzato che i cyber-criminali abbiano avuto accesso alle reti aziendali della Everis e della Cadena Ser sfruttando una connessione Remote Desktop Protocol Microsoft.

Per chi vuole attaccare un sistema l’individuazione di reti in cui il protocollo RDP non è sufficientemente protetto o mal configurato non è impresa difficile… anzi. Di default il protocollo sviluppato dalla Microsoft utilizza la porta 3389, e chi vuole effettuare un attacco di tipo brute-force questo lo sa bene.

Una delle soluzioni più pratiche per cercare di contrastare questo tipo di attacchi è la sostituzione del numero della porta “in ascolto” da utilizzare per una connessione RDP. Lo si può fare accedendo al registro di configurazione modificando il numero della porta

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

Inserendo il nuovo numero della porta in

Modifica > ModificaDecimale

e dare l’OK.

Alla successiva connessione RDP basterà digitare il numero della nuova porta modificata nel registro, avendo in precedenza avuto cura di configurare la nuova regola anche sul firewall. Aggiungere una lista sicura (white-list) di indirizzi IP che potranno accedere alla connessione RDP è un’ulteriore accorgimento che può aumentare il livello di sicurezza.

Infine un’autenticazione a due fattori (2FA) è un ulteriore modo per proteggere la nostra rete da attacchi di forza bruta, anche se gli ultimi exploit collegati alla vulnerabilità BlueKeep hanno dimostrato che questo tipo di protezione potrebbe essere bypassata.