Smart working, quali sono i rischi del lavoro in cloud?

La pandemia ha cambiato il modo di lavorare in Italia e nel mondo. Lo smart working ha dimostrato, in molti casi, di portare ad un aumento della produttività e dell’efficienza ma ha anche portato ad un incremento notevole degli attacchi informatici mirati. Dietro le mura di casa un dipendente non ha lo stesso livello di protezione offerto dalla più sicura rete di una azienda. Negli ultimi mesi i casi di attacchi informatici che hanno coinvolto dipendenti in smart working si sono moltiplicati: la maggior parte di questi inizia con una innocua mail di phishing, ma si propaga con effetto domino e le conseguenze per l’azienda per cui lavora possono essere devastanti.

I Ransomware sempre più diffusi in azienda

Paolo si alza la mattina, fa colazione e controlla le mail. Sta aspettando una mail urgente da una collega, con la presentazione che deve mostrare in conferenza al cliente. La mail arriva puntuale, c’è il file di presentazione ma non è realmente la presentazione: nascosto in un apparentemente innocuo PowerPoint c’è un ransomware che sfrutta una vulnerabilità “zero day”, una falla sconosciuta alla maggior parte dei sistemi antivirus, che inizia a cifrare tutti i dati presenti sul disco e, tramite VPN, riesce anche a raggiungere i server aziendali. L’azienda si salva solo perché i server di backup, grazie alla lungimiranza di chi ha gestito la parte di cybersecurity, sono fuori dal perimetro del dominio di rete, e non vengono toccati. Il riscatto da pagare chiesto dai malintenzionati sarebbe stato di 300.000 euro.

Paolo non ha colpe: gli è arrivata una mail da una collega con la presentazione che stava aspettando, l’antivirus non ha bloccato la mail e lui ha aperto il file. Il team di sicurezza dell’azienda, dopo una attenta indagine, ha scoperto che una collega di Paolo, usando il notebook del lavoro, aveva aperto una mail “trappola” che aveva creato una regola di “auto-forwarding” di tutti i messaggi verso un indirizzo email esterno gestito da cyber criminali. Queste persone, in due settimane, avevano avuto accesso a tutta la corrispondenza aziendale e grazie a questa avevano ricostruito l’organigramma dell’azienda, i ruoli occupati dalle persone e sapevano esattamente quello a cui ognuno stava lavorando. Sapevano della presentazione, sapevano del PowerPoint, sapevano che Paolo avrebbe atteso quella mail e l’avrebbe aperta. Con quei dati, i malintenzionati hanno messo a punto un attacco perfetto.

Da un client si può risalire fino ai server

Un problema simile a quello di Paolo lo ha avuto anche Alessandra, dipendente di un’altra azienda italiana che ha chiesto di restare anonima. Ha cliccato per sbaglio su una mail e, altro attacco zero day, ha installato sul suo computer un malware che piano piano, con un lento movimento laterale, ha iniziato una lunga escalation di privilegi arrivando ad ottenere l’accesso completo al controller del dominio aziendale. Con tecniche di password stealing, il malware ha recuperato le password dell’account amministrativo, ha forzato la disinstallazione degli antivirus su tutti i client connessi e usando un noto ransomware ha iniziato a cifrare tutti i server e i computer presenti sulla rete. L’azienda non disponeva di alcun sistema di analisi avanzata basato sul machine learning, non si è accorta di nulla e si è trovata con l’intera infrastruttura bloccata, oltre 180 computer compromessi tra i client e 65 macchine virtuali anche loro “bucate”.

Una strategia di backup solida è importante. Anche per i dati in cloud

Abbiamo usato due nomi di fantasia, Paolo e Alessandra, ma quelle che abbiamo descritto non sono "leggende metropolitane" ma due situazioni reali che ha dovuto gestire l'IT Service Provider italiano ACS Data Systems insieme a Veeam: prima ha scollegato l’azienda intera da internet, poi ha spento i firewall e infine con il team tecnico di Microsoft ha fatto una analisi completa del problema, individuando le macchine compromesse, ripristinando i server e recuperando tutti i dati dai backup che, in maniera decisamente attenta, erano tenuti fuori dal perimetro del dominio aziendale e quindi al sicuro da questo tipo di attacchi. Ma anche se i dati fossero stati conservati in cloud, non sarebbero stati al sicuro da cancellazioni o codifiche malevoli: serve comunque un backup che è più sano non sia sulla stessa piattaforma e nello stesso ambiente dei dati.

Articolo pubblicato su Digital Day.