Bonfiglioli: ecco come gestire un pericoloso attacco hacker


ransomware screen skull 1

 

A inizio giugno l’azienda bolognese Bonfiglioli, specializzata nella componentistica meccanica di precisione, ha subito un pesante attacco informatico di tipo Ransomware (virus che tengono in ostaggio dispositivi o dati chiedendo in cambio del 'rilascio' il pagamento di ingenti somme di denaro) con la richiesta di riscatto in Bitcoin. Lo ha rivelato la stessa Bonfiglioli.

L'attacco a Bonfiglioli è stato sferrato con un 'cryptolocker', un virus che cripta i file chiave per l'azienda chiedendo, per renderli nuovamente accessibili, un riscatto in denaro. In questo caso si trattava di 350 Bitcoin, pari a circa 2,4 milioni di euro.

Una "bomba", secondo il presidente e amministratore delegato Sonia Bonfiglioli che, non cedendo al ricatto degli hacker ha avvertito la Polizia postale e posto fine all’attacco "grazie a immediate azioni di bonifica".

Adesso l’indagine della polizia postale dovrà tentare di capire da dove è stato inviato il virus e chi ha manovrato l’attacco informatico: la Procura aprirà un fascicolo e sono ipotizzabili i reati di accesso abusivo a sistema informatico, danneggiamento di sistema informatico ed estorsione.

 

- La risposta della Bonfiglioli

L’azienda era ben preparata a questo tipo di minaccia ed è stata in grado di bloccare l’attacco. I dati aziendali più importanti erano già stati messi al sicuro con una immediata disconnessione da Internet dei server principali.

Durante la conferenza stampa con la quale l’azienda ha correttamente esposto la propria situazione, Sonia Bonfiglioli ha dichiarato: “Abbiamo scelto di non assoggettarci al ricatto […] Abbiamo istituito una task force con esperti interni, agenti della Polizia postale e consulenti esterni. Solo la notte successiva siamo riusciti a domare la diffusione del malware. Non nascondere l’incidente ha comunque accelerato la soluzione”, spiega Enrico Andrini, responsabile It and digital di Bonfiglioli Riduttori. “Eravamo già protetti, ma abbiamo investito un milione di euro per acquistare due antivirus e nuovi software” conclude Bonfiglioli.

Alcuni dati: la task force era formata da esperti che hanno scandagliato 3.500 macchine, oltre 160 le ore di lavoro per individuare il malware capace di paralizzare l’intera reta aziendale.

Yarix è la divisione che è stata chiamata in causa per gestire l’attacco hacker.

In tre giorni abbiamo contenuto l’aggressione digitale, mentre la completa distruzione del malware è stata completata nell’arco di 10 giorni – rileva Diego Marson, chief technical officer di Yarix – Considerando la portata dell’attacco, questo importante risultato è stato possibile in forza del combinato disposto del lavoro coordinato di più team: gli esperti in analisi forense, incident response e malware analysis, attivi in sito, hanno operato in collegamento costante con gli ethical hacker del Security Operation Center di Yarix, attivi da remoto”.

In dettaglio, la gestione dell’attacco ha richiesto un insieme articolato in interventi. Ad una prima fase di contenimento – culminata nell’isolamento del malware fino ad interrompere ogni possibile comunicazione verso i sistemi remoti – è seguita la fase di eradicazione, che ha richiesto l’impiego di software intelligenti di ultima generazione.

Nello specifico, i professionisti di Yarix hanno utilizzato un sistema Edr (Endpoint Detection&Response) di avanguardia, capace di distinguere e interpretare, sul piano qualitativo oltre che quantitativo, i comportamenti ‘malevoli’ tra quelli consueti espressi dai normali processi informatici.

 

ransomware damage

(Andra Zaharia - What is Ransomware–15 Easy Steps To Protect Your System Updated)

 

 

 Consigli per prevenire attacchi e come difendersi

La pronta risposta dalla Bonfiglioli insegna come comportarsi correttamente per prevenire e fronteggiare un attacco ransomware.

Innanzitutto, è importante comprendere che la miglior protezione da questi pericolosi malware è la prevenzione. Esistono poi alcune semplici regole che ci possono aiutare a non cadere nella trappola dei ransomware:

  • non aprire mai gli allegati di e-mail di dubbia provenienza;

  • fare attenzione alle e-mail provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione nota come spoofing;
  • abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows: attenzione ai formati: .exe, .zip, js, jar, scr, Se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file;
  • disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza;
  • disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office ed attivarsi automaticamente a seguito di un nostro clic;
  • aggiornare sempre i sistemi operativi ed i browser. In generale è buona regola installare il prima possibile le “patch” (gli aggiornamenti) di sicurezza che ci vengono proposti dai produttori dei software che abbiamo installato;
  • installare servizi antispam efficaci ed evoluti. Non riusciranno a bloccare tutte le e-mail di phishing, ma i migliori riescono a raggiungere un’efficienza comunque superiore al 95%.

 

Più in generale non possiamo mai dimenticare che:

  1. Nessuna azienda è immune da Cyber-Attacchi. Troppe aziende pensano di essere immuni da attacchi informatici perché si ritengono poco appetibili agli occhi degli hacker, tale convinzione è totalmente errata. Un criminale informatico sa benissimo che un'azienda che non prenda alcuna contromisura a possibili attacchi è, di fatto, spacciata sul nascere e i dati di quell'azienda rappresentano una sorta di “pasto gratis". Il discorso vale soprattutto per le PMI in quanto, ad oggi, gli attacchi hacker avvengono principalmente per “quantità” e non per “qualità”. Trattasi dunque di attacchi massivi volti a colpire il maggior numero possibile di soggetti, quali le PMI che sono maggiormente a rischio a causa della loro minor propensione ad investire in sicurezza informatica.

  2. L’Italia è sotto attacco hacker. Il caso Bonfiglioli dimostra ancora una volta che la maggior parte delle aziende italiane vede il rischio di attacchi informatici come qualcosa di estremamente lontano, e ritiene improbabile che i criminali informatici decidano di interessarsi proprio alla loro azienda ragione che porta le aziende italiane quasi totalmente impreparate a fronteggiare un cyber-attacco.

  3. La CyberSecurity limita i danni. Essendo un'azienda tecnologicamente all'avanguardia e sensibile a questi temi, Bonfiglioli Riduttori al momento dell'attacco era già difesa da una buona attività di Cybersecurity che però non è evidentemente bastata ad evitare che l'attacco informatico andasse a segno. Sicuramente però sono state ridotte le proporzioni di quello che potenzialmente poteva essere un vero e proprio disastro: i dati sensibili di clienti e fornitori, i dati bancari e i disegni tecnici hanno superato illesi l'attacco. Un concetto da tenere bene a mente è quello legato alla sicurezza della filiera produttiva: le grandi aziende collaborano sempre con imprese più piccole che hanno risorse sicuramente inferiori da dedicare alla sicurezza informatica. In questo scenario la sicurezza informatica globale di tutta la filiera risulta essere al livello più basso riscontrabile nell’intera supply chain. La connessione generatasi grazie all’informatica rappresenta in questo caso una debolezza, questo perché collaborare e “connettersi” con un soggetto che non prenda le necessarie misure di sicurezza significa esporsi a propria volta al medesimo rischio. Ecco che i soggetti più deboli possono essere sfruttati come “ponte” per aggirare le difese della Corporate che, normalmente, dovrebbe essere l’ente più difficile da attaccare.

  4. Il segreto è un monitoraggio no stop della rete. È fondamentale affidarsi ad un Security Operation Center (SOC) che si occupa di monitorare costantemente la rete, h 24 e 7 giorni su 7, per evidenziare l’eventuale presenza di minacce a qualsiasi nodo della rete ed essere così proattivi nel caso di un propagarsi del cyber-attacco a tutti i nodi della rete.

 

La Bonfiglioli rappresenta sicuramente un esempio virtuoso: la scelta, coraggiosa ed ammirevole, di non cedere al ricatto, decidendo di non pagare per riscattare i dati sottratti, rappresenta un gesto molto forte, e la sua resilienza a questa tipologia di attacco informatico ha comportato una risposta pronta ed efficace.

Purtroppo però numerose realtà non avrebbero reagito nella stessa maniera: il più delle volte il pagamento del riscatto risulta essere l’unica soluzione per evitare danni molto ingenti poiché il divario tra i costi di ripristino dell’intera infrastruttura (anche quando ci sono backup) e quelli del pagamento, possono essere immensi.

 

Facciamo in particolare riferimento a due casi:

La municipalità di Lake City, colpita probabilmente da una variante del ransomware Ryuk (lo stesso che ha colpito la Bonfiglioli Riduttori) che ha crittografato 16 Terabytes di informazioni, dopo diversi tentativi di ripristino non andati a buon fine ha deciso di pagare un riscatto pari a circa 460 mila dollari di cui 450 mila coperti da assicurazione. Non cedere al ricatto avrebbe comportato un lavoro di ripristino di diverse settimane, ripristinare l’intera infrastruttura non sarebbe stato per altro possibile, e il complessivo dell’intera operazione sarebbe stato pari a circa 10 milioni di dollari.

Altro caso riguarda la municipalità di Baltimora che ha deciso di non pagare i 76 mila dollari richiesti per il riscatto ha dovuto sostenere costi per circa 18 milioni di dollari per poter ristabilire la piena operatività dei servizi.

Questi esempi dimostrano chiaramente quanto siano elevati i rischi e quanto sia fondamentale garantire un adeguato livello cyber security per tutelare la propria attività. Questo discorso vale alla stessa maniera per soggetti pubblici o privati.

In questo contesto sarebbe sicuramente anche utile una maggior diffusione delle polizze cyber risk ancora troppo poco acquistate sia dal pubblico che dal privato. Sommando un processo che parta dalla prevenzione, passi per la protezione e formazione del personale e si concluda con l’assicurazione, tutti i soggetti economici potrebbero tutelarsi maggiormente. La Bonfiglioli insegna!

 

Sitografia:

  1. https://www.industriaitaliana.it/esperti-yarix-contribuiscono-a-sventare-attacco-hacker-al-gruppo-bonfiglioli/

  1. https://www.alfacod.it/cybersecurity-5-insegnamenti-caso-bonfiglioli

  2. https://www.cybersecurity360.it/nuove-minacce/ransomware/ryuk-il-ransomware-che-sceglie-le-sue-vittime-colpisce-anche-in-italia-ecco-come-difendersi/

  3. https://corrieredibologna.corriere.it/bologna/cronaca/19_luglio_03/ricatto-hacker-bonfigliolil-azienda-non-cede-denunciamo-789ae99c-9d5b-11e9-a785-c27cf3e636b7.shtml

  4. https://www.agendadigitale.eu/sicurezza/ransomware-pagare-o-no-chi-blocca-la-citta-o-lazienda-una-scelta-complessa/