Un attacco ransomware ha colpito decine di amministrazioni italiane grandi e piccole. Lo fa sapere Di.Fo.B (Digital Forensics Bureau), società che la settimana scorsa è stata contattata da diversi comuni in tutta Italia che cercavano aiuto. In almeno un municipio i dipendenti hanno pagato di tasca propria pur di risolvere il problema.
Il malware cripta i dati e chiede un riscatto in Bitcoin (BTC) per "liberarli". La cifra è modesta, 400 euro se si paga entro tre giorni, il doppio dal quarto giorno in poi. Sembra molto, ma non lo è se rapportato al danno economico che si ha con le macchine ferme, o le spese per ripristinare i sistemi in altro modo - sempre che sia possibile. Chi attacca conta proprio su questo per spingere al pagamento.
L'attacco è simile a quel Cryptlocker che si è reso famoso qualche tempo fa, ma il codice è nuovo di zecca, come ci ha confermato Giuseppe Dezzani, fondatore di Di.Fo.B insieme al collega Paolo Dal Checco. Si tratta di una nuova versione di torrentlocker; per quest'ultimo esiste un programma gratuito per decrittografare, che però non funziona con la nuova versione.
In aggiunta questo malware è dotato anche di un modulo che legge la rubrica di Outlook e si diffonde, spedendosi come messaggio che arriva da una persona conosciuta. La minaccia è nel file PDF allegato, che in verità usa il vecchio trucco della doppia estensione. Dopo una linea abbastanza lunga da ingannare infatti c'è la vera estensione .EXE. Ci si clicca pensando di aprire un documento, ma invece si fa partire l'infezione che si espande a tutte le macchine collegate che riesce a individuare.
E l'antivirus? Ovviamente era installato, ma non ha individuato il malware proprio perché era una nuova creazione. Dezzani ha verificato che ormai, circa una settimana dopo, oltre la metà degli antivirus individua e blocca questa minaccia, ma qualcuno comunque resta a rischio. Di.Fo.B, inoltre, è solo una delle società a cui ci si rivolge in questi casi: altre potrebbe aver ricevuto richieste da altri comuni, senza averlo reso pubblico come la società di Dezzani e Dal Checco.
Probabilmente, nota Dezzani, non è un attacco mirato specificamente alle PA italiane. Ma ciò non toglie che sia una vera seccatura, soprattutto per realtà più piccole come il comune di Bussoleno in provincia di Torino - l'unico ente che ha deciso di non proteggersi dietro la riservatezza.
Il Segretario Comunale Dr.ssa Maria Grazia Mazzolari ha raccontato la vicenda a Tom's Hardware, in una breve intervista che trasmette l'amarezza per una situazione desolante. L'attacco è stato individuato lunedì scorso, spiega Mazzolari, e dopo un paio di consulenze si è deciso di pagare il riscatto in Bitcoin.
"Non c'è stato verso di decriptare i file e i programmi che erano stati bloccati, e di conseguenza l'unica cosa da fare è stato pagare il riscatto", racconta il Segretario Comunale. Una volta ricevuto il programma per decriptare è rimasta qualche difficoltà, che comporterà altre spese, ma "dopo tre giorni abbondanti di via crucis ce l'abbiamo fatta".
Il problema è accentuato dal fatto che si tratta di un comune piccolo, dove "non lavoriamo con il senso dell'orario timbrato, ma ci mettiamo l'anima. Trovarsi in condizioni del genere con le nostre scadenze e i nostri adempimenti ci ha dato davvero fastidio".
Le piccole dimensioni forse hanno anche reso i danni più ingenti. La struttura conta una trentina di postazioni in tutto: infettata la prima, continua Mazzolari, "il virus è riuscito a espandersi al server e alla macchina di backup". Così sono stati colpiti i programmi, e soprattutto è stata precluso il ripristino dei dati come strumento per risolvere il problema.
La risposta di Bussoleno comunque è stata esemplare: "ci siamo procurati una carta Postepay temporanea, abbiamo raccolto i contanti e abbiamo fatto il pagamento. Anche perché, logicamente, la contabilità del comune era bloccata come il resto. Così ci siamo attivati tirandoci su le maniche personalmente". Il denaro, in altre parole, l'hanno tirato fuori i dipendenti. Oltre al danno la beffa però: i 400 euro di riscatto infatti sono aumentati per la variazione nel valore dei BTC, e poi ci saranno altre spese da affrontare.
Tutto sommato non ci sono colpe da attribuire: qualcuno avrà cliccato su quel file, certo, ma Mazzolari ci assicura che il personale non è del tutto sprovveduto e che tutti prestano molta attenzione a mail sospette e altre possibili minacce. Qualche volta può capitare di fare un errore, e non per questo è il caso di additare nessuno - soprattutto se l'attacco è ben confezionato. Anche per questo, per il momento non si è pensato quindi di creare corsi di aggiornamento per il personale, affinché incidenti del genere non si ripetano, ma l'ipotesi non è nemmeno esclusa.
In ogni caso Tom's Hardware esprime la massima solidarietà alle vittime di questo attacco, e ci leviamo al cappello di fronte alla reazione di questi dipendenti comunali. Esporsi in prima persona, finanziariamente, per il bene pubblico non è affatto un gesto scontato, in Italia più che altrove.
Quanto ai criminali, infine, Dezzani ha tracciato il wallet Bitcoin e rilevato che sta ancora ricevendo pagamenti - gli ultimi in mattinata. In totale i criminali dovrebbero aver incassato oltre 100.000 euro, una cifra di tutto rispetto. Dai dati pare anche che l'attacco abbia avuto origine in Russia (San Pietroburgo), ma questo tipo d'informazione non è troppo difficile da simulare. Potrebbe trattarsi di chiunque e potrebbe essere dovunque, e probabilmente riusciranno a scappare con il malloppo.