Il caso

La città di Baltimora vittima del ransomware RobbinHood. 18 milioni di dollari di danni

di Pierguido Iezzi, Swascan Cybersecurity Strategy Director |

L'attacco ransomware del 7 maggio ha colpito oltre 10mila computer all'interno della rete della città e mandato in tilt i computer della pubblica amministrazione. Le autorità al momento hanno suddiviso le spese in circa 10 milioni per recupero e spese forensi e circa 8 milioni di entrate fiscali e amministrative mancate.

È passato poco più di un mese (7 maggio 2019 n.d.r) da quando l’intera infrastruttura informatica della città di Baltimora è caduta vittima di un massiccio attacco Ransomware di cripto-locking e ancora si contano i danni.

I funzionari locali, al momento, prevedono che l’attacco potrebbe superare il costo di 18 milioni di dollari in attività di recupero e per il mancato guadagno, ma non è detto che questa stima sia definitiva considerato che è ancora in corso il processo di ripristino dei sistemi e l’indagine dell’FBI a riguardo non si è conclusa.

Le perdite

Le autorità al momento hanno suddiviso le spese in circa 10 milioni per recupero e spese forensi e circa 8 milioni di entrate fiscali e amministrative mancate.

L’attacco ransomware del 7 maggio, che, come detto, utilizzava codice cripto-locking maligno, ha colpito oltre 10mila computer all’interno della rete della città. Questo ha causato non pochi grattacapi al dipartimento IT che da settimane sta lavorando alla ri-autenticazione di tutti gli account legati alla città di Baltimora con nuove credenziali di accesso.

Fortunatamente polizia, vigili del fuoco e gli altri servizi essenziali sono rimasti in funzione, ma la città sta ancora avendo problemi di accesso ai sistemi che controllano il parcheggio e le violazioni del traffico. Problemi sono stati registrati anche nel ciclo di fatturazione per il dipartimento che ha in carico la gestione delle acque pubbliche e addirittura per altre sezioni i processi si sono ridotti a carta e matita fino a quando i servizi IT e i dati di backup sono ripristinati.

Oltre al recupero e al lavoro forense, l’attacco rimane sotto indagine da parte dell’FBI, ed è probabile che un rapporto finale sia completato entro la fine di giugno.

Un indiziato principale: RobbinHood

Baltimora, secondo fonti interne, è stata vittima di RobbinHood, una variante relativamente nuova di ransomware che ha fatto il suo grande debutto in vari incidenti a partire dall’inizio dell’anno e che si rivolge principalmente alla Pubblica Amministrazione. Negli Stati Uniti aveva già colpito Greenville in North Carolina.

Non si sa molto sulla persona – o più verosimilmente sulle persone dietro – RobbinHood anche se alcuni ricercatori che hanno analizzato il ransomware si sono resi conto di come questo imiti il metodo di estorsione di SamSam, ma con un carico utile diverso e un attacco lato server non del tutto speculare.

Uno dei ricercatori che si sono presi in carico l’attività di analisi di questo fenomeno ha notato notato che RobbinHood può impattare oltre 150 servizi di Windows, tra cui l’anti-virus, i database, i server di posta oltre a tutti quei programmi dove potrebbe essere bloccata la crittografia. Il ransomware, inoltre, disconnette anche tutte le condivisioni di rete, il che permette all’aggressore di colpire le singole macchine.

Per Adam Kujawa, direttore di Malwarebytes Labs la maggior parte delle scansioni di questo ransomware non mostrano nulla di speciale rispetto ad altre famiglie di che sono apparse negli ultimi anni. Per Kujawa il motivo per cui continuiamo a vederlo potrebbe essere dovuto agli attori che lo hanno sviluppato – o creato a partire dal codice sorgente di altre famiglie di ransomware – focalizzandosi su obiettivi che ricevono molta più attenzione nei media.

Pagare o non pagare

Come riscatto gli aggressori hanno chiesto 13 bitcoin, o circa 100.000 dollari a prezzi correnti, per decriptare tutti i file dell’infrastruttura di Baltimora. Gli aggressori hanno anche deriso i funzionari della città attraverso un account Twitter ormai chiuso.

Il sindaco di Baltimora Bernard C. Young ha rifiutato di pagare e ha pubblicato un video che giustifica le sue ragioni al pubblico.

Anche a margine della conferenza stampa indetta durante l’insorgere dell’emergenza Young e altri funzionari hanno notato come l’FBI stessa avesse consigliato alla città di non pagare – anche se va ricordato che gli esperti ritengono che non pagare non sia sempre la risposta giusta –. Secondo questi infatti il metodo migliore è sempre e comunque la remediation, laddove questo non possa essere rapidamente imbastito potrebbe essere più facile ed economico negoziare. La chiave è avere un piano di “contingency” in atto molto prima che l’attacco avvenga.

Predisporre di una strategia difensiva preventivamente può essere la chiave per sopravvivere o ridurre al minimo gli impatti degli attacchi.

EternalBlue o qualcosa di nuovo?

Oltre ai regolari aggiornamenti sull’evolversi della situazione pubblicati dalla giunta di Baltimora, ci sono stati diversi rapporti tecnici pubblicati nelle settimane a seguito dell’attacco che si interrogavano se l’attacco ransomware di Baltimora sia stato il risultato della vulnerabilità di EternalBlue ancora presenti in molti dispositivi Windows

Secondo il New York Times, gli aggressori dietro RobbinHood hanno utilizzato la vulnerabilità EternalBlue (sviluppata dalla U.S. National Security Agency e poi rilasciata online da un gruppo chiamato ShadowBrokers).

Da allora, gli aggressori hanno usato gli exploit per sfruttare questa vulnerabilità e per diffondere ransomware – incluso WannaCry –.

Alcuni hanno sostenuto che il governo federale debba assumersi la responsabilità per i tipi di attacchi che colpiscono Baltimora e altre città da quando l’NSA ha sviluppato gli exploit.

Ci sono stati anche tentativi in senso opposto, per spegnere le fiamme, sostenendo che Eternal Blue non abbia nulla a che fare con l’attacco.

Va detto che anche chi ha seguito da vicino la vicenda crede che EternalBlue non sia mai stato usato contro Baltimora, ma che un attacco di spear phishing focalizzato sui dipendenti della città sia stato il probabile punto di infezione iniziale.

A seguito di questa prima violazione gli aggressori hanno potuto muoversi lateralmente attraverso la rete manipolando il PSExec di Microsoft, uno strumento di amministratore legittimo, prima di cercare i file da cifrare.

Amministrazioni locali sotto attacco

Ciò che l’incidente di Baltimora dimostra è che le città sono sempre più spesso vittime di ransomware. A maggio, una società di sicurezza a questo proposito ha pubblicato uno studio che ha rilevato 53 diversi attacchi di ransomware contro le amministrazioni locali nel 2018, e almeno 21 incidenti separati quest’anno.

Le ragioni per cui gli aggressori prendono di mira i governi locali variano, ma la motivazione più assodata è che questi approfittino di tutte le opportunità disponibili e spesso a livello locale l’attenzione alla sicurezza è nettamente più bassa.

Gli attacchi, quindi, continueranno. I Criminal Hacker inseguono bersagli di opportunità più di ogni altra cosa, il che significa che potrebbe non essere stato uno sforzo focalizzato quello per infettare Baltimora, ma dopo aver sparso una quantità di e-mail ad una serie di indirizzi associati al Governo, qualcuno ha abboccato l’esca.

Per questo motivo è facile ipotizzare che gli attacchi non accenneranno a diminuire, fintanto che ci sono reti vulnerabili agli attacchi sia attraverso falle di sistema sia attraverso errori dell’utente.

Approntare una difesa

È uno scenario senza uscita?

Ovviamente no, ma l’azione deve essere duplice.

Come ha dimostrato Baltimora al momento le due principali criticità di cybersecurity sono legate al lato tecnico, ma anche a quello umano.

Su questo secondo fronte l’azione deve avere due direzioni: bisogna lavorare sull’awareness dei dipendenti statali, soprattutto nei confronti delle minacce più comuni e al contempo c’è necessità di formarli…

Per assolvere questa duplice funzione si possono sfruttare i servizi di Phishing Simulation Attack. La soluzione permette alle aziende e alle amministrazioni di contrastare questo fenomeno attraverso un test dello human factor e garantendo anche una efficace attività di training e awareness. Il servizio adotta lo stesso modello di un attacco standard (di fatto simulandolo) permettendo di misurare il livello di esposizione al rischio phishing aziendale e al contempo effettua una attività di formazione e awareness efficace dei dipendenti. È riduttivo sottolinearlo, ma anche le misure più efficaci di Cyber difesa si possono rivelare inutili se in azienda le persone continuano a cadere vittima di questi inganni.

Sul lato più tecnico è fortemente consigliato a tutte le organizzazioni di approntare un Data Breach Incident Response Plan, l’unica soluzione che permette di adempiere a ciò che stato normato all’intero del GDPR.

Il servizio permette di:

  • stabilire quali dati sono stati compromessi;
  • formalizzare lo stato delle misure di sicurezza in essere;
  • predisporre il piano di remediation.
  • gestire l’incident e supportare l’azienda nel ripristino delle attività;
  • analizzare la natura della violazione;
  • identificare le evidenze, le prove e le informazioni tecniche;
  • determinare la tipologia dei dati compromessi;

Nel dettaglio il processo si svolge in cinque fasi ben strutturate: Si parte dalla Cyber security investigation, il primo step che ha come obiettivo l’identificazione dei vettori d’attacco, dei punti d’ingresso, dei target colpiti e delle tecniche usate per portare a fondo l’assalto. Questi dati si evincono grazie all’attività di log analysis, tracking dell’attacco, target analysis e data compromise discoveries.

L’output di queste attività viene trasformato in un executive summary e un technical report, facilmente consultabile. Fa seguito la Forensic investigation, questa ha come scopo la cristallizzazione delle evidenze legali e delle prove raccolte tramite computer e altri device. L’obiettivo è di esaminare i dispositivi digitali seguendo processi di analisi forense al fine di indentificare, preservare, recuperare e analizzare i dati raccolti. Anche in questo caso vengono resi disponibili un executive summary e un technical report oltre alla copia forense.

Lo step successivo è l’ICT integrity checkup, la fase di verifica dell’integrità della struttura. Questa consiste nel controllare e verificare se all’interno dell’infrastruttura non siano presenti elementi malevoli installati dagli attaccanti. L’intero step viene portato a termine attraverso assett inventory, malware assessment e ICT assessment. La produzione è, come prima, di un executive summary e un technical report. Finito questo si passa al Vulnerability checkup che ha lo scopo di preservare l’integrità dell’infrastruttura informatica. Un’analisi delle criticità che ha l’obiettivo di identificare e determinare le eventuali vulnerabilità sfruttate da terze parti per un possibile attacco a livello di infrastruttura esposta su internet e infrastruttura interna. Tutto ciò avviene mediante penetration test, vulnerability test e network scan. Anche qui viene fornita documentazione completa.

Infine ha inizio il Reporting/remediation plan. La fase conclusiva ultima fase consiste nel redigere la documentazione relativa alle informazioni necessarie per la completa e corretta compilazione della notifica al Garante oltre a fornire indicazioni di dettaglio per la corretta security governance aziendale. Questo avviene attraverso attività di report e remediation plan. Il risultato è l’intera overview della tipologia dei dati compromessi, l’elenco di questi, la metodologia e la modalità dell’attacco, i target vittime, le misure di sicurezza adottate e la creazione di un security remediation plan.

Se Baltimora, con i suoi 600mila abitanti è rimasta paralizzata o comunque danneggiata per qualche settimana, gli effetti sulle città metropolitane più grandi potrebbero essere n volte più gravi. Le soluzioni ci sono, l’unica cosa che rimane da sconfiggere è la reticenza a portarsi in linea con le best practice di cybersecurity.