Var Group per Firenze Fiera
Attacco hacker neutralizzato grazie all’intervento di Yarix, Divisione Digital Security Var Group
Il dietro le quinte dell’attacco e i 5 consigli degli esperti
Empoli, 3 dicembre 2019 – Ha investito in maniera massiva l’infrastruttura informatica di Firenze Fiera, paralizzandone i sistemi per una settimana. È la triade Emotet, Trickbot e Ryuk, che gli esperti di Yarix – divisione Digital Security di Var Group, leader nei servizi e nelle soluzioni ICT per le imprese – hanno riconosciuto e neutralizzato, permettendo all’ente Fiera di rientrare in possesso del proprio patrimonio di dati e di sottrarsi ad una richiesta di riscatto pari a 4 milioni di euro, in bitcoin.
L’episodio si inserisce nel solco di una serie sempre più fitta di tentativi di estorsione digitale – il cosiddetto pizzo 4.0 – che il cybercrime continua a sferrare contro le imprese italiane, tanto a livello nazionale, quando a livello capillare, sui territori. La possibilità di sottrarsi al fenomeno diventa, dunque, direttamente proporzionale alla capacità di gestire gli attacchi in maniera tempestiva e professionale, affidandosi ad esperti di riconosciuta competenza e autorevolezza.
“Un sistema informatico colpito da un attacco hacker è in tutto simile ad una scena del crimine: è fondamentale che solo professionisti specializzati in cybersecurity mettano le mani sull’infrastruttura colpita. La nostra esperienza ci dice, infatti, che la causa dei danni più difficili da gestire risiede proprio nell’intervento imprevidente di personale non qualificato, che può innescare in maniera non consapevole processi spesso irreversibili”, commenta Mirko Gatto, CEO di Yarix, Divisione Digital Security di Var Group.
Come gestire la prima ora dopo l’attacco – i 5 consigli
In presenza di cifratura o paralisi dei sistemi informatici, gli esperti di Yaris suggeriscono di:
- Mai spegnere o riavviare i server;
- Disattivare la connettività di rete in caso di ambiente virtuale, staccare il cavo di rete in caso di macchine fisiche;
- Configurare il firewall perimetrale in modo che l’infrastruttura sia isolata da internet;
- Chiamare immediatamente un team di Incident Response;
- Definire una guida chiara in capo ad un’unica persona, che manterrà i rapporti con gli stakeholder aziendali.
L’attacco a Firenze Fiera – la dinamica
La compromissione della rete informatica di Firenze Fiera è avvenuta a causa di un particolare malware, che il team di Yarix ha identificato come una variante di Emotet, diffuso primariamente tramite e-mail contenti link o allegati malevoli (malspam). Una volta avviato, Emotet invia verso server esterni i dati proprietari dell’ente colpito, quali credenziali di accesso, informazioni personali dell’utente, file salvati, etc. Emotet è un malware avanzato, persistente e modulare la cui funzionalità primaria è quella di veicolare altri malware. Nel caso di Firenze Fiera, i malware che sono entrati in gioco nella seconda fase dell’attacco sono:
- Trickbot: si espande nella rete e prende il controllo totale di tutti i client e server collegati;
- Ryuk: completato il controllo della rete, Ryuk cifra tutti i dati, rendendo così possibile la richiesta di riscatto.
L’attacco a Firenze Fiera – la gestione
L’intervento di Yarix ha richiesto l’implementazione di un insieme articolato in azioni. Ad una prima fase di contenimento – culminata nell’isolamento del malware fino ad interrompere ogni possibile comunicazione verso i sistemi remoti – è seguita la fase di eradicazione, che ha richiesto l’impiego di software intelligenti di ultima generazione. Nello specifico, i professionisti di Yarix hanno utilizzato un sistema EDR (Endpoint Detection&Response) di avanguardia, capace di distinguere e interpretare, sul piano qualitativo oltre che quantitativo, i comportamenti ‘malevoli’ tra quelli consueti espressi dai normali processi informatici.
“Crediamo sia importante raccontare e condividere questa storia a lieto fine. Il cybercrime non è un fenomeno lontano e remoto, ma un nemico sempre più vicino, da cui è possibile difendersi solo ricorrendo a professionalità altamente specializzate e con una visione globale sulla sicurezza, come la divisione Digital Sercurity di Var Group, Yarix. Rifiutare le richieste di riscatto e denunciare l’accaduto rappresentano, inoltre, le scelte vincenti per sottrarsi ad una spirale incontrollabile di estorsioni e vulnerabilità”, conclude Leonardo Bassilichi, presidente di Firenze Fiera.