Un ransomware ha preso in ostaggio i dati della nostra società e ci ha messo in ginocchio

blog_main_tourism2

Immagina che tutte le applicazioni web, dati finanziari e video di sorveglianza, rappresentanti 10 anni di lavoro, vengano resi istantaneamente inagibili in ogni computer della tua società. Sarebbe un incubo, ma ciò è diventato realtà per una società turistica Australiana lo scorso mese.

Nel primo giorno dell’anno, mentre la maggior parte del mondo occidentale si stata rilassando e stava festeggiando, il team di Emsisoft stava combattendo – il nostro direttore tecnico, Fabian Wosar ha scoperto Ransom32, il primo ransomware utilizzatore di JavaScript. Rilasciando dopo poco uno strumento gratuito per la decriptazione dei file, come solito.

Come abbiamo dichiarato in un post precedente “Ransomware da noleggio: 3 step per proteggere i tuoi dati“, le società rischiano di perdere i propri dati se vengono infettate da questi ransomware, e ci sono centinaia di migliaia di società ogni giorno che temono che questo incubo diventi realtà.

Dopo qualche settimana del nostro post sul blog, l’IT & Compliance Manager di una società turistica australiana ci ha contattati raccontandoci la loro storia incredibile.

Il ransomware ha dirottato tutte le soluzioni cloud da loro utilizzate (account dropbox e onedrive), tutti i loro dati finanziari e video di sorveglianza, tra le altre cose (circa 20 TB di dati di 10 anni di lavoro) sono stati resi inaccessibili su 500 computer aziendali.

Come il manager ci scrive ‘ERA UN VERO DISASTRO, un disastro al quale non eravamo preparati.

Ti mostriamo ciò che ci hanno scritto.

Buongiorno Fabian,

Vorrei ringraziarti per l’aiuto ed il supporto durante le settimane passate dove siamo stati vittima di un ransomware. Hai risposto alle nostre domande ed hai letteralmente salvato la nostra società!

Abbiamo impiegato una settimana per trovare L’ESPERTO ed identificare il virus / soluzione, ed una settimana ulteriore per ripristinare il problema su ogni singolo computer.

Ho acquistato 10 licenze di EMSISOFT da allora e grazie al suo controllo del comportamento tutto ciò poteva essere prevenuto.

Come ben saprai, questo MALWARE specifico scansiona tutti i dischi (inclusi quelli collegati) e viene creato un collegamento, tramite la rete su Windows 10, con tutti gli altri computer connessi.

Il nostro problema principale è stato che tutti i computer avevano i dati condivisi sull’hard disk. UN solo utente cliccando sul file Zip/EXE avrebbe potuto cambiare lo stesso file su 8 computer diversi. I computer locali NON erano protetti da backup (almeno non tanti).

Alcune delle informazioni compromesse:

Tutti i file condivisi ONLINE tramite DROPBOX ed OneDrive Business 365 accessibili dai nostri agenti esterni – attualmente 500 utenti – 2 account da 1TB l’uno
Account backup MYOB, tutti i file dallo scorso anno in avanti
Documenti legali e assicurativi
File XLS e file bancari
File promozionali per i clienti (PDF)
Dati registrati VOIP
Registrazioni delle telecamere di sicurezza
Sviluppo del sito (immagini)
Certificazioni
Documenti e presentazioni (DOC, PPT)
etc., etc., etc.

network-cables-494645_1920

Anche i file di backup sono stati compromessi

Ci potrai chiedere: “Ma il backup?” E’ presente, ma ancora una volta, esso era usato via file / user (NAS)…esempio: \\SERVER\(N:)\User

Tutti i client del backup sono “collegati” e tutte le copie dei file, inclusi i file e la storia di essi sono salvati nei loro rispettivi computer.
Il server effettua dei backup su 3 dischi, a rotazione, perciò i dati vengono sovrascritti.

Se un file è su un PC, tramite NAS, sul server od online NON VA BENE, qualsiasi sia il caso.

Un archivio viene creato ogni mese, così siamo potuti andare indietro di 6 settimane per il server, ma non per i dati del backup su 8 pc connessi col NAS.

OVVIAMENTE USARE LA COPIA DI QUEI DATI NON E’ PIU’ UNA SOLUZIONE…
Stiamo cercando di trovare delle immagini di sistema, ma essendo anch’esse cambiate sono state sovrascritte di conseguenza nel backup.

In tutto, 1 Server (2TB), 8 PC (100GB ognuno), vari servizi ONLINE (Business -2TB e personali – 4TB), Client NAS Storage (4TB) e 6TB di backup del server

In totale circa 20 TB di dati e 10 anni di lavoro, inaccessibili. UN VERO DISASTRO, al quale non eravamo preparati…

Letteralmente, un incendio avrebbe causato meno danno… questo è un avviso per le altre società…

Ancora una volta, FABIAN, non possiamo ringraziarti abbastanza per aver combattuto la minaccia e averci restituito i file, accetta la nostra gratitudine….

TUTTI I DATI RECUPERATI – NESSUN file mancante…

Cordialmente,

[None nascosto]
IT & Compliance Manager

blog_content_breaker

Cosa puoi fare per prevenire un incubo del genere:

1. Non salvare i file di backup negli hard disk locali od accessibili dal tuo network, in quanto possono essere raggiunti dal malware.

Questo caso analizzato conferma le nostre osservazioni riguardanti la sicurezza. Assicurati di ridurre la superficie d’attacco (sperando di non venir mai infetti) spostando i file di backup su dischi esterni che non possano essere accessi direttamente.

2. Chiudi le porte d’accesso: mantieni il sistema e tutti i tuoi programmi aggiornati ed utilizza una protezione in tempo reale.

Molto spesso il punto di attacco più sensibile è il dipendente ignaro, è focalizzato sul suo lavoro e non si accorge dei possibili rischi informatici. Per chiudere i cancelli d’accesso dovresti aggiornare sempre tutti i programmi (e non ogni tanto, ma quotidianamente). Assicurati inoltre di utilizzare un programma di protezione in tempo reale che bloccherà ogni file malevolo che cerca di entrare nel tuo computer. Prevenire è sempre meglio che curare.

 

Orlando

What to read next

Reader Comments