Meta-navigazione

Ransomware: il racconto di un'azienda hackerata

Un caso concreto

Come sopravvivere ai ransomware: il racconto di un'impresa


Il ransomware «WannaCry» fa parlare di sé in tutto il mondo. Ma altri malware sono altrettanto dannosi. Il titolare di un'impresa colpita da un virus racconta di aver ricevuto, in risposta a un’inserzione per un posto di lavoro, un file infetto e di aver evitato per poco la catastrofe.


Urs Binder, maggio 2017




Una volta aperto l’allegato e-mail, l’intero sistema si è bloccato. È successo a Philipp Zollinger, il titolare di TSM Grindel AG a Basserdorf, che gestisce palestre indoor per tennis, squash, minigolf e badminton. «Avevo pubblicato un’inserzione per un posto di lavoro come custode e lo stesso giorno ho ricevuto una candidatura via e-mail con un allegato PDF». Zollinger ha aperto il file prima dal PC della reception, poi sul suo computer personale. Documentazioni di candidatura non ce n’erano, ma entrambi gli apparecchi hanno subito un blocco del sistema. «E questo, nonostante sui nostri PC fosse attivo Microsoft Security Essentials. Evidentemente non è servito a nulla, ma so che anche altri programmi anti-malware avrebbero fallito.»


Evitare il peggio

Zollinger conosce molto bene la sua apparecchiatura informatica e ha reagito tempestivamente staccando i PC dalla rete. In tal modo il virus non ha potuto espandersi ulteriormente e la banca dati centrale sul server NAS è stata salvata. Su entrambi i PC, invece, tutti i dati sono stati criptati: un tipico attacco ransomware, una forma moderna di ricatto digitale. Attualmente soprattutto il virus «WannaCry» fa parlare di sé. Solo pagando un riscatto di 2000 dollari in Bitcoins, Zollinger avrebbe potuto ricevere un codice per decriptare i dati. Ogni volta che cercava di aprire un file, appariva un messaggio che richiedeva il pagamento del riscatto. «Non ho ceduto a questo ricatto: non si è mai sicuri se si otterrà veramente il codice per decriptare i file o se si sta pagando per nulla e non accetto questi giochetti», specifica Philipp Zollinger.


Fra i file colpiti dal virus ci sono anche quelli riguardanti i dati contabili che Zollinger tiene sul suo personal computer. Per fortuna lui salva regolarmente i dati, anche quelli relativi alla sua banca dati contabile, su un supporto dati esterno, che si porta sempre a casa. «In tal modo ho potuto accedere a dati abbastanza aggiornati.»


Un dispendioso lavoro di ripristino

Come prima cosa, però, è stato necessario reinstallare nuovamente il PC, come esperti in materia hanno confermato a Zollinger. «L’unica cosa da fare è stata cancellare e reinstallare tutto». Ha potuto svolgere lui stesso il vero e proprio ripristino del sistema, incluso il raggruppamento dei dati centrali e mobili, grazie a buone conoscenze di banche dati informatiche. Calcola di averci lavorato 40 ore, rabbia esclusa. E per gli specialisti esterni ha dovuto pagare circa 2000 franchi. Inoltre in TSM Grindel è stato effettuato un miglioramento delle misure di sicurezza, nello specifico con un nuovo firewall. Zollinger ha automatizzato il backup dei dati sul sistema NAS. Inoltre ha ricordato con enfasi anche alla contabile esterna di effettuare dei backup regolari. «Deve assolutamente esistere un backup separato all’esterno dell’azienda, anche solo perché in caso di un simile attacco potrebbe essere criptato anche il sistema di sicurezza sul NAS».


Maggiore attenzione per il futuro

A parte il dispendio di energie, questo attacco non ha avuto nessuna grave conseguenza per TSM Grindel. Stando al titolare, il traffico e-mail è rimasto bloccato per qualche giorno e Zollinger ha dovuto ritrovare alcuni documenti. Alcune e-mail sono tuttora impossibili da ritrovare. Ma non ha perso alcun cliente. «La cosa peggiore è stata la rabbia. Un’altra azienda che dipende molto di più dai sistemi telematici avrebbe subito un danno maggiore», conclude Philipp Zollinger. Non può escludere tuttavia che in futuro possa avvenire un altro attacco simile, magari proprio a causa di WannaCry. Per questo oggi presta ancora maggiore attenzione rispetto a prima quando si tratta di aprire un file. Ad esempio, evita totalmente di aprire i documenti Word ricevuti via e-mail.







Maggiori informazioni


Mail Security

Protegge i vostri utenti in modo affidabile e completo da spam, virus, spyware e phishing. La semplice soluzione cloud per tutti i mailserver.