Quegli archivi e documenti elettronici resi inservibili da un ransomware hanno fatto subito pensare ad una acrobatica incursione di pirati informatici.
Il fatto, poi, che nel tritacarne virtuale ci siano finite informazioni relative alle ricerche sul Covid-19 ha senza dubbio contribuito a far crescere la tensione.
Il disastro tecnologico della Seconda Università di Roma Tor Vergata non è una bella pagina della cronaca e certo non fa onore ad un Ateneo che tiene master in materia di cybersecurity e poi si ritrova smutandato clamorosamente.
COS’È IL RANSOMWARE
Il malware che ha colpito Tor Vergata rientra in quella tipologia di istruzioni maligne che – una volta installate – procedono alla cifratura di tutti i file, rendendoli non più utilizzabili se non da parte di chi conosce la chiave crittografica per farli tornare in condizione di normalità.
La parola “ransom” si traduce in “riscatto” ed è stata scelta come prefisso proprio perché il criminale che lo predispone pretende il pagamento di una certa somma per consegnare la combinazione alfanumerica che (al pari di un moderno “Apriti Sesamo”) permettono di “aprire” archivi e documenti altrimenti illeggibili.
Il versamento del denaro preteso (di solito in bitcoin) non sempre porta all’ottenimento delle chiavi per decifrare il patrimonio informativo fraudolentemente criptato e non di rado la cifra pagata finisce nelle tasche del crimine organizzato o di bande di terroristi.
COME SI VIENE COLPITI
Questo genere di disavventure può toccare in sorte a chiunque, singolo individuo o grande azienda o ente pubblico.
Normalmente il guaio comincia con un messaggio in posta elettronica che uno dei destinatari interni apre senza eccessiva attenzione. Spesso è una mail che sembra recapitare una fattura, un provvedimento di qualche Autorità o una ingiunzione di pagamento. Uno sfortunato clic sul file allegato (apparentemente un “pdf”) oppure sul link riportato nel corpo del testo equivale all’accensione di una miccia e alla successiva esplosione di una bomba.
Nel caso specifico il programma infetto che va in esecuzione comincia a cifrare i file del computer dell’utente poco avveduto, poi prosegue sui dischi esterni collegati alla stazione di lavoro e su quelli presenti nella rete locale cui è connesso, fino ad arrivare alle risorse disponibili in cloud…
COS’È SUCCESSO A TOR VERGATA
Solo l’analisi forense potrà stabilire l’effettiva natura di questa piccola apocalisse e la conta dei danni darà modo di quantificare la spesa da sostenere per il ripristino (laddove possibile) dei file danneggiati.
Difficile sapere se è stata una banale mail oppure l’intrusione di un malintenzionato. Quest’ultimo, in ogni caso, da qualche parte deve essere riuscito ad ottenere le credenziali di accesso ai sistemi (account e password) e anche questo scippo potrebbe essere avvenuto con una operazione di phishing cominciata con il solito immancabile messaggio birbaccione arrivato in posta elettronica.
A RISCHIO ANCHE LE RICERCHE IN MATERIA DI COVID?
Il ransomware può aver danneggiato anche i file relativi a ricerche ed analisi effettuate in tema di coronavirus. Il problema più serio potrebbe configurarsi se – prima della cifratura dei dati – i criminali hanno dato luogo ad una “esfiltrazione”, ovvero se hanno portato via indebitamente archivi, schedari e dossier in formato elettronico. In quel caso i danneggiati sono anche tutti i soggetti le cui informazioni – per loro evidente natura riservati e non destinati alla divulgazione – sono state rubate e finite chissà dove.
Articolo pubblicato su infosec.news