Bricofer, l’azienda italiana colpita dal ransomware LockBit 2.0

Bricofer LockBit 2.0

Bricofer Italia, azienda specializzata nella vendita al dettaglio di materiali edili, utensileria e hobbistica, è stata di recente vittima di un attacco di hacking: il ransomware LockBit 2.0.

Cosa è successo a Bricofer Italia durante l’attacco di LockBit 2.0

Il gruppo ransomware attaccante, LockBit, ha denunciato l’attacco e fatto partire il conto alla rovescia per la pubblicazione online dei dati rubati. Per capire che cos’è successo bisogna tornare al 28 dicembre 2021, quando i sistemi dell’azienda sono stati attaccati.

I cyber criminali hanno estratto circa 2000 file con dati contabili e informazioni sensibili sui clienti titolari della “carta fedeltà”, fra cui indirizzi email e documenti di identità e non c’è stato accordo fra i titolari dell’azienda e i cyber criminali.

A fare notizia è sicuramente il silenzio dell’azienda colpita. Niente comunicati stampa, aggiornamenti sul sito, niente avvisi ai clienti coinvolti. Una situazione che si ravvisa sempre più di frequente in Italia, man mano che le vittime di attacchi cyber aumentano.

Un atteggiamento in contrasto con una normativa che impone la denuncia dell’accaduto entro 72 ore. Una best practice, operata da aziende mature e responsabili, prevede invece un aggiornamento tempestivo di clienti e fornitori di quanto accade, con la massima trasparenza.

Cos’è e in cosa consiste il LockBit

Si è trattato di un attacco ransomware con la tecnica del doppio ricatto. LockBit 2.0 è un ransomware relativamente nuovo, ma divenuto molto popolare e conosciuto in poco tempo. Un RaaS particolarmente famoso in Italia per il suo coinvolgimento negli attacchi contro la Regione Lazio e Accenture. A livello internazionale è stato il gruppo più attivo nel terzo trimestre 2021, con oltre 200 vittime.

Lo scopo primario di un’infezione da LockBit è quello di impattare quanto più possibile il business delle organizzazioni che colpisce, al fine di spingerle strategicamente verso una trattativa dove il pagamento del riscatto risulti sempre la via più facile e sicura per garantire il ripristino delle attività.

Quasi la totalità delle vittime sono infatti imprese commerciali alle quali viene chiesta una cifra media che varia fra gli 80 ed i 100 mila dollari di riscatto.

Tale cifra può cambiare di molto in base alla tipologia ed al settore in cui opera la vittima.

Come proteggersi da simili minacce?

Il ransomware che si diffonde attraverso i criteri di gruppo rappresenta l’ultima fase di un attacco.

L’attività dannosa dovrebbe diventare evidente molto prima, per esempio quando i criminali informatici entrano per la prima volta nella rete o tentano di hackerare il controller di dominio.

Per raggiungere lo scopo i cybercriminali usano spesso tecniche di ingegneria sociale ed e-mail di phishing per ottenere l’accesso iniziale.

Nel caso delle imprese, per evitare che i propri dipendenti cadano in questi trucchi, occorre migliorare la loro consapevolezza della sicurezza informatica con una formazione costante ed aggiornata.

LockBit rappresenta una minaccia molto importante per organizzazioni pubbliche e private.

Con moltissima probabilità continuerà a ricevere miglioramenti ed aggiornamenti: pertanto è consigliabile adottare ogni precauzione e pratica per scongiurare un simile attacco ed evitare spiacevoli conseguenze.

Hai bisogno di un aiuto professionale per aumentare la sicurezza dei tuoi device? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Attacco hacker alla Regione Lazio: l’importanza della Cybersecurity

attacco hacker regione lazio
attacco hacker regione lazio

L’attacco hacker alla Regione Lazio ha causato un blocco totale senza precedenti: ecco perché è fondamentale avere un’infrastruttura adatta e protetta.

Dopo aver carpito le credenziali di un amministratore di sistema di alto livello della Regione Lazio, l’attacco hacker ha portato delle conseguenze pressoché disastrose. Al punto tale da paralizzare non solo il settore sanitario — e quindi le prenotazioni per i vaccini (ma anche per qualsiasi visita medica) e la stessa campagna vaccinale — ma tutte le attività della Regione.

Come i cybercriminali sono riusciti a bucare la rete

Recentemente si è scoperto che a tenere aperto il computer del dipendente regionale di Frosinone in smart working sarebbe stato il figlio durante la notte.

Stando a quando ricostruito dagli investigatori, i criminali hanno quindi carpito ed utilizzato le sue credenziali per entrare nel sistema della Regione.

Hanno poi usato un software chiamato Emotet, una sorta di cavallo di Troia che ha creato una breccia e gli ha dato il pieno controllo del sistema per eseguire operazioni più profonde. A questo punto tutto era pronto per il passaggio finale, ovvero l’inserimento del ransomware, il programma che ha criptato i dati, anche lo stesso backup. Per poi chiedere un sostanzioso riscatto.

In cosa consiste il ransomware

Questo tipo di procedura ricalca un copione ormai consolidato, favorita però dall’assenza di un sistema di autenticazione a due fattori da parte del dipendente. Si tratta infatti di una doppia misura di sicurezza, che oltre a username e password chiede un secondo modo per confermare la propria identità, come per esempio un sms sul telefono o un’app che rilascia un codice.

Dopo essere riusciti ad entrare nel sistema, i criminali informatici bloccano l’accesso ai file e ai dati degli utenti e chiedono il pagamento di un riscatto in bitcoin per renderli nuovamente accessibili. In caso contrario l’intero sistema rimane inutilizzabile. Nonostante si riesca a eradicare il virus prima del ripristino dell’attività, non si è sicuri che basti a far tornare tutto come prima.

Negli ultimi tre anni i ransomware hanno avuto un’impennata in tutto il mondo: sono silenziosi, efficaci e molto remunerativi. Ci si accorge della crittazione solo quando tutto è ormai perduto e in genere le vittime, principalmente le aziende, pagano. In caso contrario i criminali minacciano di rendere pubblici alcuni dei dati che hanno criptato, tra cui dati sensibili dei clienti, brevetti e progetti in sviluppo.

Non eliminare lo smart working, ma implementare la sicurezza

Il Messaggero, nell’edizione romana, parlando dell’attacco hacker alla regione Lazio ha riportato un’inverosimile soluzione per risolvere il problema in futuro: l’indiscrezione è quella che la regione starebbe richiamando in sede tutti i dipendenti e gli addetti ai sistemi informatici per procedere a ulteriori verifiche sui dispositivi in loro possesso. Sostenendo che in qualche modo lo smart working abbia contribuito alla buona riuscita dell’attacco.

In realtà lo smart working e gli attacchi hacker non sono due realtà necessariamente collegate tra loro. Questi ultimi, infatti, avvengono continuamente anche sui dispositivi interni alle aziende.

La vera sfida sta nel respingerli ed avere una infrastruttura adatta e protetta che faccia sì che nessuno possa intrufolarsi nei sistemi aziendali.

Quando si lavora in remoto, le attenzioni sono le stesse che bisogna avere quando si lavora in ufficio:

  • impostare password complesse su router e rete wi-fi
  • creare regolarmente una copia di backup dei dati importanti
  • lavorare su dispositivi forniti dall’azienda
  • aggiornare i sistemi e il software
  • prevedere un’adeguata formazione dei dipendenti

Una delle tecniche più usate per infettare i computer con i ransomware è infatti l’ingegneria sociale. È importante perciò informarsi (e, nel caso delle aziende, informare tutti i dipendenti) su come si possano rilevare i malspam, i siti web sospetti e gli altri potenziali tranelli. E soprattutto, usare il buon senso.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Brescia, attacco hacker al Comune

attacco hacker comune di brescia
attacco hacker comune di brescia

Negli ultimi giorni di Marzo 2021 il sistema informatico del Comune di Brescia è finito sotto un attacco hacker.

Questo gruppo di cybercriminali ha diffuso un ransomware che ha mandato in tilt non solo il sito web istituzionale, ma anche i servizi online: pratiche, pagamenti, certificati così come le comunicazioni della centrale operativa della Polizia locale.

Buona parte della macchina amministrativa del comune è ancora inaccessibile. Per risolvere il problema con una chiave di decrittaggio, gli autori dell’attacco hanno chiesto un riscatto di 26 Bitcoin – circa 1,3 milioni di euro, arrivati nelle ultime ore a 55 bitcoin, che in valuta corrente corrispondono a circa 3 milioni di euro – cifra che il Comune non intende pagare.

Inizialmente la Loggia non aveva comunicato si trattasse di un tentativo di estorsione, ma, come è stato riportato anche dal Corriere della Sera, l’hackeraggio è stato confermato e ora la situazione è nelle mani della Polizia postale. Gli apparati sarebbero stati infettati da un DoppelPaymer, un ransomware che cifra i file rendendoli inaccessibili.

Per il ripristino della piena funzionalità di tutto il sistema potrebbero volerci mesi, se non anni. Attualmente il Comune ha garantito la sicurezza dei dati dei cittadini, protetti su server inaccessibili agli hacker.

In attesa che questa aggressione cibernetica si esaurisca, i tecnici della Loggia hanno già ripristinato alcuni servizi (a partire dalla consultazione delle pratiche edilizie).

Come funziona un ramsoware

Il ransom malware, o ransomware, è un tipo di malware che blocca l’accesso ai sistemi o ai file personali degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili. Le prime varianti di ransomware risalgono alla fine degli anni ’80, e i pagamenti dovevano essere effettuati tramite posta. Oggi, il pagamento del riscatto viene richiesto mediante criptovaluta come Bitcoin o carta di credito.

Cosa fare in caso di infezione

La regola numero uno, in caso di infezione da ransomware, è quella di non pagare il riscatto, così come ha deciso di fare il Comune di Brescia dopo l’attacco hacker. (Questa è anche la raccomandazione dell’FBI.) L’unico risultato che si ottiene con il pagamento, infatti, è quello di incoraggiare i criminali informatici a sferrare ulteriori attacchi contro la stessa vittima o altri soggetti. In ogni caso, esiste la possibilità di recuperare almeno una parte dei file criptati.

È importante esaminare con molta attenzione il messaggio con la richiesta di riscatto, possibilmente chiedendo assistenza ad uno specialista informatico, prima di tentare qualunque rimedio.

Se si vuole provare a bloccare un’infezione da ransomware mentre è ancora in corso la crittografia dei dati, è importante riuscire a identificarla tempestivamente.

Come proteggersi dai ransomware

Gli esperti di sicurezza sono concordi sul fatto che il metodo di protezione più efficace contro i ransomware sia la prevenzione.

Esistono vari metodi per gestire le infezioni da ransomware; in genere, però, si tratta di soluzioni che spesso richiedono una competenza tecnica specifica.

Il primo consiglio è quello di investire in un ottimo sistema di sicurezza informatica. Un programma che offra una protezione in tempo reale e sia in grado di sventare gli attacchi di malware avanzati come i ransomware.

In secondo luogo, per quanto possa essere impegnativo, è essenziale creare regolarmente una copia di backup dei dati importanti.

Un’altra precauzione importante consiste nell’aggiornare regolarmente i sistemi e il software. Naturalmente è difficile stare al passo con tutti gli aggiornamenti rilasciati, anche considerando il numero sempre più ampio di software e applicazioni che ognuno di noi utilizza abitualmente. Il nostro consiglio, perciò, è di cambiare le impostazioni in modo da abilitare l’aggiornamento automatico.

L’ultima raccomandazione è quella di tenersi informati. Una delle tecniche più usate per infettare i computer con i ransomware è l’ingegneria sociale. È importante perciò informarsi (e, nel caso delle aziende, informare tutti i dipendenti) su come si possano rilevare i malspam, i siti web sospetti e gli altri potenziali tranelli. E soprattutto, occorre usare il buon senso.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.