Pagano €1,500 in Bitcoin per sbloccare i sistemi ostaggio del ransomware, ma i criminali lasciano aperta una backdoor
L’amministrazione dell’hotel Romantik Seehotel Jäegerwirt 4-Star Superior Hotel ha ammesso di aver pagato €1,500 in Bitcoin per recuperare i file cifrati dal ransomware, inclusi quelli del sistema di gestione delle serrature elettroniche.
Un classico esempio di attacco basato sull’uso di ransomware che bloccano le risorse di un sistema informatico, operato da criminali che richiedono il pagamento di un riscatto per il ripristino dei file in esso contenuto.
La vittima dell’attacco stavolta non è una clinica universitaria o un consumatore ignaro dei rischi di un uso “superficiale” dei suoi dispositivi, ma un hotel di lusso, il Romantik Seehotel Jäegerwirt, appunto, situato in Austria.
I clienti restano fuori dalle camere a causa del ransomware
A causa dell’attacco, centinaia si ospiti della struttura sono stati impossibilitati ad aprire le serrature elettroniche delle porte dell’hotel. Il codice malevolo ha infettato i sistemi informatici dell’hotel paralizzando le attività della struttura, dal ricevimento al sistema che gestisce l’apertura delle porte delle camere e l’amministrazione dell’hotel ha deciso di pagare il riscatto per ripristinare la normalità e non impattare sui propri ospiti.
“La struttura era al completo, c’erano 180 ospiti; non avevamo altra scelta. Né la polizia, né l’assicurazione erano in grado di aiutarci. “, Ha spiegato l’amministratore delegato Christoph Brandstaetter.
A partire da queste informazione possiamo già fare le seguenti considerazioni:
La minaccia ransomware si conferma tra quelle più insidiose in questo periodo. La pratica estorsiva è estremamente remunerativa per le organizzazioni criminali che guardano con crescente interesse a questa famiglia di malware, lecito attendersi un rapido aumento degli attacchi soprattutto nei confronti di dispositivi mobili e dell’internet delle cose (i.e. SmartTV, router, etc.).
Ogni settore è a rischio incluso quello alberghiero, per questo motivo è indispensabile che siano adottate le necessarie misure di sicurezza. La sicurezza quindi è una esigenza, un investimento, e non un costo da ridurre.
Evidentemente lo staff IT dell’hotel non ha adottato le necessarie misure di sicurezza per la difesa dei propri sistemi, mi riferisco soprattutto alla disponibilità di un efficace sistema di backup, indispensabile per il recupero dei dati quando si è colpiti da una ransomware.
Non è la prima volta e non sarà l’ultima
I tecnici della struttura hanno ammesso di aver subito molti altri attacchi in passato, ma quest’ultimo è riuscito a superare ogni difesa ed a causare i gravi disagi di cui stiamo discutendo.
Secondo l’agenzia di stampa The Local, i criminali hanno penetrato la rete dell’albergo e sono riusciti ad acquisire il controllo di tutti i sistemi ad essa afferenti, dai sistemi di pagamento al sistema di gestione delle serrature elettroniche.
Personalmente valuterei anche la possibilità che siano stati esposti dati relativi alle transazioni finanziarie dei clienti.
E’ buona norma evitare di pagare il riscatto quando si è vittima di un attacco ransomware, è importante sapere che non vi è sicurezza sul fatto che i criminali decifrino i vostri dati. In questo caso, l’amministrazione dell’hotel è stata fortunate in quanto a seguito del pagamento sono stati sbloccati i dati cifrati in precedenza dal ransomware.
Fidarsi dei criminali informatici è un grave errore!
Sebbene fosse stato pagato il riscatto da parte dell’amministrazione dell’albergo, i criminali avevano lasciato una backdoor nei sistemi della struttura con l’intento di poter condurre ulteriori attacchi in futuro. La backdoor è stata scoperta dal personale della struttura e l’ha rimossa. Il management dell’albergo ha però deciso di divulgare la notizia per evitare che altre strutture possano commettere gli stessi errori, e sono pienamente d’accordo.
Condividere informazioni sulle minacce informatiche (information sharing) è essenziale per ridurre la loro efficacia ed aumentare la resilienza dei nostri sistemi attraverso l’adozione delle necessarie contromisure.
“Il ripristino dei sistemi dopo il primo attacco di questa estate ci è costato diverse migliaia di euro. Non abbiamo ricevuto denaro dalla assicurazione finora, ogni euro che stato pagato ai ricattatori ci ha fatto danno. Sappiamo che altri colleghi sono stati attaccati, e che si sono comportati in modo simile.” ha concluso Brandstaetter.
Le parole di Brandstaetter confermano i nostri timori, altre strutture sono state prese di mira dai criminali e tutte hanno pagato evidenziando i ritardi delle aziende nel settore sul fronte sicurezza informatica.
