Dati in ostaggio? Proteggiti in due mosse.

by Francesco Alberti in Security

Lo scorso fine settimana, il 26 e il 27 novembre, le persone che hanno viaggiato con la San Francisco Municipal Railway hanno potuto constatare che il viaggio era gratuito. Tutti hanno infatti viaggiato gratis entrambi i giorni. Generosità del sindaco? No, la San Francisco Municipal Railway, meglio nota come Muni, non ha potuto vendere biglietti perché è stata attaccata da un ransomware.

Sembra che il ransomware, chiamato Mamba, una variante dell’HDDCryptor, abbia colpito oltre 2000 computer fuori uso appartenenti all’agenzia di trasporti di San Francisco (SFMTA).

Mamba (e il suo principale HDDCryptor) è un ransomware che cripta l’intero hard disk e cambia il master boot record (MBR) per evitare che i computer infetti carichino i propri sistemi operativi, visualizzando al contrario il messaggio dei criminali.

I creatori di Mamba hanno utilizzato strumenti open-source come parti di un Trojan e questo, tra le altre cose, li ha aiutati a creare un forte algoritmo. Quindi non esiste un modo per riavere indietro i file criptati da Mamba senza pagare i criminali.

Gli autori di Mamba hanno esortato ad essere contattati a cryptom27@yandex.com,  utilizzando questo indirizzo mail un giornalista del San Francisco Examiner è stato in grado di parlare con i criminali. Secondo quanto affermato dai creatori dell’attacco, questo non era un attacco voluto: il sistema si è infettato semplicemente perché qualcuno con privilegi di amministratore ha scaricato un file torrent infetto. La cifra che l’SFMTA deve pagare ai creatori del ransomware è di 100 bitcoin (circa 73.000 dollari) grazie ai quali i computer potranno tornare ad essere operativi.  I ricercatori antimalware di Kaspersky Lab tengono d’occhio i responsabili dell’attacco: sembra che Mamba sia usato in genere per attaccare le imprese e le organizzazioni e l’attacco alla metro di San Francisco non è la prima conquista (e  100 bitcoin sono una piccola somma per gli standard di questi colpi).

Ma sembra che l’SFMTA sia stata in grado di affrontare il problema senza pagare nemmeno un dollaro, le macchinette che emettono i biglietti  sono state messe nuovamente in funzione dopo pochi giorni.

Ma come? Cosa si può fare per proteggere i vostri dati e la vostra azienda?

1. L’ agenzia di trasporti di San Francisco è stata in grado di risvegliare i sistemi e di riavviarli così velocemente perché era in possesso dei backup che non si trovavano sulla condivisione di rete, altrimenti Mamba avrebbe criptato anche questi. Effettuare regolarmente il backup dei vostri dati, conservarli sia nel cloud che in hard disk esterni e non sul vostro computer o sui dispositivi connessi alla rete.

2. Siate anche più intelligenti. Prevenire è sempre meglio che curare, evitate di essere infettati da Mamba (o da qualsiasi altro ransomware) grazie ad una buona soluzione di sicurezza. Sarce è in grado di proteggere i vostri dati da tutte le minacce presenti online e ci riesce con le tecnologie di partner del calibro di Kaspersky, Cisco, Check Point ecc.

Non aspettare a proteggerti!