Un team di esperti di cybersecurity ha individuato una pericolosa falla all’interno di Windows 10: il bug prende il nome di Zerologon e sembrerebbe essere uno dei peggiori mai segnalati all’azienda.

Falla nel processo di autenticazione di Netlogon

La vulnerabilità di Windows ha ottenuto il punteggio CVSSv3 10/10 come massimo livello di gravità, comportando un’”elevazione di privilegi” su Netlogon (il protocollo che autentica gli utenti rispetto ai controller di dominio).
Si tratta degli unici dati rilasciati da Microsoft: né gli utenti né tantomeno gli admin IT erano a conoscenza delle caratteristiche e della portata di un errore che avrebbe potuto potenzialmente concedere l’accesso a qualsiasi sistema Windows Server.
Le informazioni aggiuntive sono state carpite da Secura, un gruppo di ricercatori olandesi, che ha redatto un rapporto tecnico all’interno del quale viene approfondita la natura del bug, inquadrando una problematica che si basa sulla debolezza dell’algoritmo crittografato utilizzato nel processo di autenticazione di Netlogon. In particolare, la falla potrebbe consentire ad un aggressore virtuale di manipolare e controllare tale procedura semplicemente aggiungendo una serie di “0” all’interno di alcuni parametri (da qui il nome). Il criminale informatico, di conseguenza, potrebbe:

• Fingere di essere una qualsiasi macchina presente all’interno della rete;
• Disabilitare i sistemi di sicurezza che proteggono l’autenticazione;
• Modificare la password di accesso di un computer sul controller di dominio Active Directory.

Il piano di risanamento di Microsoft e le accortezze in tema di sicurezza informatica

La pericolosità del bug è elevatissima, non solo in ragione del fatto che la durata di un attacco può essere di pochi secondi, ma anche perché è evidente che Zerologon concede agli hacker ampio spazio di manovra: gli aggressori hanno la possibilità di prendere il controllo di un’intera rete aziendale, nonché di comprometterla infettandola con malware e ransomware. Ciononostante, la vulnerabilità presenta una limitazione particolarmente significativa: non può essere sfruttata per aggredire le reti se non si è già collegati con le stesse. Inoltre, è già stato impostato un piano di risanamento che prevede due fasi:

1. La prima, completata in occasione del Patch Tuesday di agosto, ha applicato il primo fix temporaneo (fix CVE-2020-1472), che rende obbligatori, per l’accesso a tutte le reti, quei sistemi si sicurezza di Netlogon che l’attacco va ad insidiare;
2. La seconda è prevista per febbraio 2021. Secondo Microsoft, quest’ultimo passaggio dovrebbe impedire definitivamente l’autenticazione su alcuni dispositivi.

Rimane indubbio, tuttavia, che Zerologon rappresenta un rischio enorme per le realtà aziendali, in quanto potrebbe essere facilmente sfruttato da cyber criminali o enti malevoli. Per tale ragione, è doveroso adottare tutte le accortezze in tema di sicurezza informatica, come l’aggiornamento periodico di tutti i dispositivi e l’utilizzo di strumenti come lo script Python offerto da Secura per verificare la protezione delle infrastrutture.

La criminalità digitale contro la sperimentazione medico-scientifica

L’Università Tor Vergata di Roma è stata recentemente colpita da un attacco hacker che, facendosi strada all’interno della rete, ha compromesso oltre 100 computer e ha reso inaccessibile una serie di informazioni di importanza planetaria.
In poco tempo, i criminali digitali hanno cifrato tutti i file presenti all’interno dei dischi rigidi e hanno bloccato l’accesso ai dati riferiti al Coronavirus (studi sulle molecole per impedire l’ingresso del virus nelle cellule umane, biomarcatori della voce per effettuare le diagnosi grazie all’intelligenza artificiale, eccetera), ma anche a una serie di altri preziosi supporti di fondamentale rilevanza per la sperimentazione medica e scientifica.
In generale, dunque, gli hacker hanno criptato ogni singolo documento presente all’interno del sistema cloud, pregiudicando anche il normale svolgimento di quella didattica a distanza che, durante la quarantena, aveva permesso il sostenimento di 71mila esami.

Un team di esperti per contrastare l’offensiva informatica

Il rettore Orazio Schillaci si è immediatamente rivolto a un team di informatici e a un professionista nel campo della cybersecurity di comprovata esperienza, in modo tale da mettere in atto sin da subito le necessarie contromisure atte a contrastare l’offensiva, recuperare il backup dei dati e ripristinare i sistemi informativi. Ha affermato, inoltre, che non è stata ricevuta alcuna richiesta di riscatto e che, ad oggi, la provenienza dell’attacco non è ancora nota.
I tecnici sono al lavoro per identificare tutti gli indicatori di compromissione, un processo che richiede l’analisi dei log dei sistemi di intrusione, l’esame degli indirizzi ip e l’individuazione delle tecniche utilizzate.

Attacchi tecnologici a scopo estorsivo: un caso tanto complesso quanto diffuso

L’obiettivo ultimo degli esperti digitali è quello di rintracciare i responsabili – un’operazione tutt’altro che semplice. Per tale ragione, il team collaborerà con la Polizia Postale, anche in considerazione del fatto che la vicenda rappresenta un caso tanto complesso quanto diffuso: altri atenei sono stati colpiti con le stesse modalità e, se si volesse osservare la questione da un punto di vista più ampio, ci si renderebbe conto che non si tratta del primo episodio di questo genere (basti pensare al recente sabotaggio informatico ai danni del laboratorio del San Camillo). I tentativi di incursione sono aumentati esponenzialmente dall’inizio della pandemia e le autorità di tutto il mondo hanno segnalato una serie di attacchi tecnologici a scopo estorsivo anche a discapito di strutture come ospedali e centri di ricerca. Tali vicende si uniscono a una lunga serie di offensive legate alla criminalità informatica, alcune delle quali, servendosi di tecniche e strumenti sempre più sofisticati e all’avanguardia, sono in grado di bypassare anche i controlli di sicurezza più serrati.

IBM Security ha pubblicato il suo quindicesimo report annuale sui danni economici derivati dai data breach aziendali. Le cifre presentate, basate sull’esaminazione di oltre 500 attacchi verificatisi in tutto il mondo nel giro dell’ultimo anno (tra cui 21 avvenuti in Italia), sono state analizzate dal Ponemon Institute e corredate di commenti e interviste ai manager e agli amministratori di sistema direttamente interessati.
Il quadro prospettato, dunque, delinea una panoramica che illustra i costi legati a questo particolare tipo di offensiva informatica indicando che, in media, nel nostro Paese ci vogliono circa 229 giorni per identificare la violazione digitale, e altri 80 per arginarla.
Si stima, inoltre, che ogni aggressione implichi una spesa che si aggira intorno ai 3 milioni di euro, necessari alla riattivazione dei sistemi, alla ripresa della produttività e al ripristino della reputazione aziendale. Il costo relativo al furto e/o alla perdita di ogni singolo dato o file, invece, è di circa 125 euro.

Italia in miglioramento sul fronte sicurezza informatica

L’Italia si posiziona discretamente in confronto a tanti altri Paesi, mostrando anche un relativo miglioramento sul fronte sicurezza informatica: da 213 giorni per individuare una violazione si è passati a 203, e il costo complessivo è diminuito del 4,9% rispetto allo scorso anno.
Il settore maggiormente colpito dalle aggressioni è quello finanziario, seguito da quello farmaceutico e dal terziario. Le cause sono di diversa natura, ma le principali riguardano attacchi malevoli (52%), errori umani (29%) e problematiche a livello di sistema (19%).

Indicazioni utili per evidenziare le vulnerabilità digitali più comuni

I dati presi in considerazione comprendono una serie di indicazioni utili che evidenziano le vulnerabilità più comuni: il furto e l’alterazione delle credenziali – posti in essere dai pirati informatici a scopi economici – uniti alla configurazione errata dei server cloud, rappresentano le fonti di maggiore esposizione e sottostanno all’origine del 40% delle offensive digitali. Numerosi cyber attacchi, tuttavia, sono mossi anche dai cosiddetti hacker nation-state (i criminali informatici a servizio dei governi), che muovono mediamente 4,43 milioni di dollari per incidente. È interessante, inoltre, prendere in considerazione il fatto che, nel corso del 2019, più di 8,5 miliardi di record sono risultati vulnerabili di fronte agli hacker i quali, in 1 caso su 5, sono stati in grado di accedere ai sistemi grazie allo sfruttamento di indirizzi di posta elettronica e codici di identificazione sprovvisti di sistemi di protezione adeguati.

Programmi di sicurezza efficienti e tecnologie all’avanguardia per arginare i cyber attacchi

Wendi Whitmore, la direttrice del settore X-Force Threat Intelligence di IBM, sostiene che “la capacità di mitigare gli attacchi informatici vede in netto vantaggio le organizzazioni che hanno investito nelle tecnologie più evolute“: questo significa che, più rapida è la risposta, minori saranno i costi. A tal proposito, è fondamentale investire in strumenti affidabili e performanti in grado di gestire correttamente i rischi e, quando necessario, ripristinare rapidamente i sistemi colpiti, con l’obiettivo di assicurare la continuazione delle attività aziendali: l’esperienza del team deve essere messa a frutto grazie al confronto con il management per testare i programmi di sicurezza e sperimentare tecnologie sempre nuove e all’avanguardia.
L’Italia si sta muovendo proprio in questo senso: è stato appena pubblicato sulla Gazzetta Ufficiale un concorso per settanta specialisti in cyber security e il Consiglio Nazionale delle ricerche è al lavoro per impostare, presso l’Università Sapienza di Roma, un corposo programma di dottorato e borse di studio riguardanti temi come la cyber security e l’intelligenza artificiale.

La Carlson Wagonlit Travel (CWT) è stata colpita dal ransomware “Ragnar Locker”, che ha condotto l’amministrazione della nota società di travel management a pagare un riscatto pari a 4,5 milioni di dollari in Bitcoin (dato verificabile sulla Blockchain). Il malware ha agito crittografando i file di circa 30.000 computer, rendendoli inutilizzabili fino al momento in cui le vittime non hanno corrisposto la somma richiesta.
In una nota di riscatto lasciata su un dispositivo CWT infetto – ma anche in alcuni screenshot pubblicati online – gli hacker hanno affermato di aver rubato due terabyte di file, inclusi report finanziari, documenti di sicurezza e dati personali dei dipendenti (indirizzi e-mail, informazioni sullo stipendio, eccetera).

Una trattativa pubblica, consultabile su una chat online

In un primo momento, i criminali digitali avevano richiesto a CWT 10 milioni di dollari per ripristinare i file ed eliminare tutti i dati rubati, tuttavia hanno accettato una cifra inferiore: un rappresentante della società statunitense, dopo aver fatto loro presente i danni economici subiti a causa della pandemia di Covid-19, è stato in grado di ottenere una riduzione pari a 414 Bitcoin, che sono stati versati nel corso di due diverse transazioni. Una volta ricevuto il pagamento, gli hacker hanno prontamente trasferito i fondi a un altro indirizzo per non essere rintracciati.
Le trattative si sono svolte in modo cordiale, semplice e veloce, specialmente in considerazione della natura del reato in essere: le due parti, un dipendente e un membro del gruppo di hacking, si sono accordate sul prezzo del riscatto in una chat online pubblica, attraverso la quale è possibile osservare un esempio della relazione tra criminali informatici e vittime: gli assalitori hanno sostenuto che la cifra era nettamente inferiore a quella che la società avrebbe dovuto sostenere con le spese legali e che le perdite in termini di reputazione sarebbero state piuttosto pesanti, offrendo anche dei consigli di cyber security come “bonus”:

• Modificare periodicamente le password;
• Prevedere la presenza di almeno tre amministratori di sistema durante l’intero arco della giornata;
• Controllare gli user privilege.

La conversazione si è conclusa con un messaggio degli hacker, con il quale ringraziavano il loro interlocutore per la sua professionalità.

Le dichiarazioni di CWT dopo l’attacco informatico

CWT ha dichiarato di aver immediatamente informato le forze dell’ordine statunitensi e le autorità europee incaricate della protezione dei dati personali.
La società, dunque, ha ammesso di aver subito l’attacco ma ha rifiutato di commentare i dettagli dell’avvenimento di fronte a quella che, di fatto, era un’indagine ancora nel suo pieno svolgimento:

“Possiamo confermare che, dopo aver spento temporaneamente i nostri sistemi come misura precauzionale, siamo tornati online: l’incidente è cessato”. “L’indagine è in una fase iniziale e non abbiamo alcuna certezza che le informazioni di identificazione personale o i dati di clienti e viaggiatori non siano stati compromessi”. Non è ancora chiaro, infatti, se i dati sottratti e compromessi appartengano solo ai dipendenti o anche ai clienti di CWT.

La situazione, tuttavia, appare meno drammatica di quella che si era inizialmente delineata: una persona che ha familiarità con le indagini ha affermato che l’azienda ritiene che il numero di computer infettati sia considerevolmente inferiore ai 30.000 dichiarati dai cyber criminali.

È consigliabile pagare i riscatti richiesti dagli hacker?

Gli attacchi ransomware rappresentano una minaccia particolarmente grave e onerosa per aziende e società private: si ritiene che tali attacchi costino miliardi di dollari ogni anno, sia in termini di pagamenti estorti che di costi di recupero.
Gli esperti di sicurezza informatica sostengono che la miglior difesa sia quella di mantenere un backup dati sicuro e affidabili e sconsigliano, quando possibile, di corrispondere i riscatti: questi potrebbero incoraggiare ulteriori minacce e, soprattutto, non danno alcuna garanzia che i file crittografati vengano ripristinati.
Tuttavia – anche se sicuramente a ragion veduta – molte società ed enti colpiti dalle offensive digitali preferiscono pagare cifre anche piuttosto ingenti piuttosto che rischiare la diffusione di dati sensibili o il blocco permanente dei propri sistemi informatici.

Un attacco hacker senza precedenti ha preso di mira diversi profili Twitter fra i più popolari e seguiti: da Barack Obama a Bill Gates, da Warren Buffett a Jeff Bezos, da Joe Biden a Michael Bloomerg, continuando con Elon Musk, Kanye West e Kim Kardashian. Nemmeno gli account ufficiali di Apple, Uber, Coinbase e Gemini sono stati risparmiati.
In base a quanto riportato dai media americani, si tratta di un’azione criminale volta a promuovere una truffa legata alle cryptovalute, che si profila come la più grande violazione del sistema di sicurezza nella storia del social network.

Un messaggio che invita gli utenti a versare cryptovalute in un portafoglio digitale

Gli account delle vittime sono stati utilizzati per pubblicare un messaggio che invitava gli utenti a versare cryptovalute in un portafoglio digitale: in cambio, essi avrebbero ricevuto il doppio del valore corrisposto come “restituzione benefica” alla comunità di quanto da essa ricevuto.
La frode era già stata messa in pratica più volte, ma mai sfruttando così tanti profili, né tantomeno servendosi di account così noti. In questo caso, inoltre, i criminali informatici sono riusciti a raccogliere una somma piuttosto consistente, considerato che la truffa non è stata bloccata prima di un paio d’ore: a quanto sembra, il saldo raggiunto con oltre 300 transazioni ammonterebbe a circa 120mila dollari (dato confermato dalle registrazioni sulla blockchain di Bitcoin).

Accessi interni riservati e privilegi di gestione per costruire un attacco di social engineering

Gli hacker sono stati in grado di costruire un attacco di social engineering coordinato, impiegando una serie di strumenti a disposizione di alcuni dipendenti che godono di accessi interni riservati e privilegi di gestione.
Purtroppo gli investigatori non sono ancora venuti a conoscenza delle conseguenze accessorie di tale violazione, quali la lettura di messaggi privati o la sottrazione di informazioni personali: si tratta di rischi da non sottovalutare, in quanto potrebbero condurre facilmente ad estorsioni e diffamazioni.
In verità, a discapito della portata apparentemente colossale dell’operazione, la struttura sottostante l’attacco parrebbe piuttosto semplicistica: il personale tecnico di Twitter, infatti, è stato in grado di ricostruire in breve tempo tutti i passaggi compiuti dai criminali digitali. In seguito, ha scelto di sospendere temporaneamente tutti gli account coinvolti e alcune funzioni di sistema, per maggiore precauzione: un vero e proprio blocco finalizzato al ripristino completo della piattaforma.

Il possibile aiuto interno da parte di un dipendente di Twitter

Secondo alcuni, i criminali informatici avrebbero ricevuto un aiuto interno proprio da parte di un dipendente di Twitter: il mezzo prescelto per prendere il controllo dei profili non è stato ancora confermato, ma si sospetta essere un tool utilizzato dagli operatori della piattaforma per recuperare gli account attraverso il reset delle password. Altre fonti, al contrario, ritengono alquanto improbabile la corruzione di un membro del personale e propendono, piuttosto, per un’appropriazione di privilegi non autorizzata.
Tuttavia, in apparenza, un portavoce di Twitter avrebbe in parte confermato la prima versione, dichiarando che il gruppo sta cercando di capire se il dipendente abbia effettivamente giocato un ruolo attivo nella truffa o se sia stato solo un intermediario inconsapevole. Non si tratterebbe certamente del primo caso di questo genere: in passato, anche alcuni operatori di Facebook e Snapchat si sono avvalsi dei propri benefici per appropriarsi di dati personali degli utenti allo scopo di ricattarli: una dinamica che, ripetendosi, pone in evidenza la quantità di informazioni a cui può avere facile accesso chi lavora all’interno delle piattaforme digitali.

A questo punto, dunque, la domanda sorge spontanea: è giusto che un superadmin di Twitter abbia la facoltà di postare qualcosa in nome e per conto di un altro utente? Si tratta di un utilizzo improprio del mezzo di comunicazione che potrebbe condurre ad episodi di censura?

Il portale dell’Enac, l’Ente Nazionale per l’Aviazione Civile, è bloccato da più di 24 ore: sull’homepage compare la scritta “In manutenzione” e non è possibile visualizzare alcuna funzionalità. I dipendenti non riescono ad utilizzare il servizio di posta elettronica e non hanno nemmeno accesso agli archivi digitali, contenenti lo storico di tutti i passeggeri che hanno viaggiato su voli nazionali ed internazionali negli ultimi anni.
L’Enac è considerato un ente italiano ad alto rischio e, come tale, gode del supporto del Cnaipic (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche): alcune delle informazioni che possiede, infatti, sono classificate come segreti della Nato. L’organizzazione, inoltre, svolge un’attività di regolamentazione e di ispezione e gestisce una serie di aeroporti minori a cui si appoggiano diverse autorità dello Stato.

Un ransomware che potrebbe distruggere l’intero sistema

Con tutta probabilità, il responsabile del disservizio è un attacco hacker, più precisamente un ransomware. Questo tipo di offensiva informatica agisce minacciando di distruggere l’intero sistema, a mano che la vittima non paghi un consistente riscatto in denaro.
Si tratta di un software che sfrutta la crittografia per penetrare all’interno dei server, rendendoli accessibili solo attraverso uno specifico codice in possesso degli stessi criminali digitali.
I ransomware, tuttavia, non si limitano a mettere fuori uso i file, in quanto sono progettati per cancellare in pochi giorni tutti i dati e le informazioni presenti nei server. In poche parole, una corsa contro il tempo che può essere vinta unicamente con la decrittazione del codice prima dell’eliminazione totale dei contenuti dal sistema. In caso contrario, l’estinzione del riscatto sarebbe l’unica opzione per evitare di perdere tutto.
Proprio in queste ore i tecnici stanno cercando di decifrare il codice che tiene sotto scacco l’intero sistema. L’impresa, tuttavia, è piuttosto ardua, ed è altrettanto difficile svelare l’identità, la provenienza e le mire dei responsabili che, con tutta probabilità, hanno adottato tutti gli stratagemmi del caso per evitare di essere scoperti.

Le repliche come spinta al rafforzamento della sicurezza

Casi come quello sopradescritto sono piuttosto diffusi, non solo fra gli enti pubblici ma anche (e soprattutto) nelle imprese private. Molte volte, infatti, i criminali digitali hanno richiesto riscatti simili, sia in moneta corrente che in cryptovalute (come, per esempio, bitocoin), e solo una volta riscossa la somma richiesta hanno rivelato il codice di sblocco.
Le aggressioni informatiche sono all’ordine del giorno e, purtroppo, l’ordinaria manutenzione e le soluzioni preventive ad oggi disponibili non sono sufficienti per azzerare il rischio. La vicenda trattata, a questo proposito, evidenzia la necessità di rafforzare la sicurezza quanto più possibile, magari scegliendo sistemi che offrono maggiori garanzie, come quelli che permettono di disporre di repliche di tutti i dati e informazioni presenti all’interno dei server. L’Enac, apparentemente, non dispone di tali repliche, o forse queste non erano completamente disponibili.
Ad ogni modo, la consapevolezza dell’esistenza di minacce simili e l’adozione dei conseguenti provvedimenti sono di fondamentale importanza per arginare i danni che potrebbero derivare da un attacco digitale.