Hotel austriaco sotto attacco ransomware: nessuno può più entrare nelle camere

Hotel austriaco sotto attacco ransomware: nessuno può più entrare nelle camere

Il problema del software malevolo di tipo ransomware si arricchisce di un nuovo capitolo: un lussuoso hotel austriaco è finito sotto attacco di malintenzionati, causando il blocco dei PC e della strumentazione predisposta alla programmazione delle chiavi elettroniche delle camere. Chiesto un riscatto di circa 1500 Euro

di Alessandro Bordin pubblicato il nel canale Sicurezza
 

Sembrano lontanissimi i tempi in cui un virus ci bloccava il PC costringendoci a formattare tutto, giusto per il capriccio di un programmatore sadico.

In origine si parlava di "virus" informatico - termine preso in prestito dalla biologia - per indicare semplicemente un programma elementare in grado di autoriprodursi e diffondersi. Sono in molti ad indicare ancora genericamente con virus un qualsiasi software malevolo in grado di arrecare una vasta gamma di problematiche, ma in tempi recenti nel linguaggio comune si sta diffondendo, anche fra i non addetti ai lavori, il termine ransomware, affiancato anche dai meno utilizzati cryptolocker e cryptovirus. Sembrano lontanissimi i tempi in cui un virus ci bloccava il PC costringendoci a formattare tutto, giusto per il capriccio di un programmatore sadico. Il tempo ci ha insegnato che molti programmi malevoli hanno poi preferito - e di gran lunga - infettare in modo silente i nostri PC, da utilizzare in botnet per attacchi mirati o per sottrarci dati da utilizzare o rivendere. Sempre rimanendo nell'ambito della biologia, potremmo definire questo tipo di infezione informatica come quella di un parassita simbionte, per il quale la salute del sistema infettato è condizione fondamentale per ottenere i propri scopi e per la stessa permanenza in vita e diffusione del malware stesso.

Il concetto è semplice quanto devastante: una volta attivato, il ransomware blocca diverse tipologie di file oppure l'intero sistema, eseguendo una cifratura dei dati che non saranno più accessibili per l'utente.

L'eterna lotta a guardie e ladri fra società antivirus e malintenzionati però non conosce soste, e non passa molto tempo fra l'antidoto e una minaccia tutta nuova. Oppure una minaccia del tutto nuova per concezione, ad opera di malintenzionati dotati di inventiva, non poche capacità e di quell'avidità che tutto muove. Ed è in questa fase che entrano in gioco i temuti ransomware, la cui radice ransom è il termine anglosassone per indicare il riscatto in un contesto di rapimento (lettura consigliata: Allarme Cryptovirus: prevenire per non pagare il riscatto). I ransomware sono infidi, si possono diffondere soprattutto con messaggi email decisamente meno rozzi e rudimentali rispetto al passato, facendo cadere nella trappola anche utenti che normalmente tengono la guardia alta. Il concetto è semplice quanto devastante: una volta attivato, il ransomware blocca diverse tipologie di file oppure l'intero sistema, eseguendo una cifratura dei dati che non saranno più accessibili per l'utente. A meno di non pagare un riscatto, solitamente in Bitcoin e attraverso la rete TOR, dove si riesce a tenere un profilo anonimo con maggiore facilità. La formula si è rivelata di successo, purtroppo, come dimostra la grande diffusione di questa tipologia di minaccia. Se non funzionasse economicamente non sarebbe così diffusa, è una semplice deduzione logica.


L'incantevole hotel austriaco oggetto dell'attacco ransomware

L'ultimo caso balzato alla cronaca è proprio delle ultime ore e riguarda un hotel di lusso austriaco, il Romantik Seehotel Jägerwirt, attaccato in piena stagione invernale quando si registra il tutto esaurito. Un ransomware ha di fatto bloccato l'intero sistema per la programmazione delle chiavi elettroniche, lasciando letteralmente fuori dalle proprie camere ben 130 ospiti. Il sistema, insomma, non solo non è in grado di riprogrammare le chiavi, ma anche effettuare qualsiasi modifica nel sistema di riconoscimento elettronico delle singole serrature.

Il riscatto richiesto è tutto sommato modesto, considerando gli interessi in gioco: 1500 Euro (in Bitcoin), che probabilmente sono stati già pagati dai gestori, colti di sorpresa e con l'estremo bisogno di sbloccare la situazione il prima possibile. Non si tratta del primo attacco per questa struttura, poiché negli ultimi due anni era già successo qualcosa di simile ma solo sui terminali della reception. Stando a The Register la struttura si era già rivolta ad una società per la sicurezza informatica, proprio in seguito al primo attacco.


Esempio di schermata CryptoLocker

Ed è proprio Tyrone Erasmus, direttore dell'azienza MWR InfoSecurity, a commentare: "Si tratta di un attacco anomalo e per certi versi interessante, al fine di prepararsi alle contromisure. La tecnica è stata anomala e non prevedibile, nella quale inoltre emerge un chiaro attacco mirato proprio a questa struttura con finalità e tempistiche molto precise. Di solito i ransomware colpiscono PC e server di aziende, ma in questo caso si è scelto di contestualizzare molto di più l'attacco per aumentare drasticamente la probabilità che il soggetto colpito fosse messo nelle condizioni di pagare, subito". Christoph Brandstaetter, direttore del'hotel, ha già comunicato l'intenzione di sostituire tutto il sistema tornando alle vecchie e care porte con le tradizionali chiavi, come quelle che si trovavano nella struttura 111 anni fa quando a condurla erano i suoi avi.

Tecnica da sequestro lampo: poche ore per decidere, cifra richiesta modesta, certezza della disponibilità economica necessaria.

Insomma, le tecniche si fanno più mirate e in questo caso siamo nel caso tipico del sequestro lampo: poche ore per decidere, cifra tutto sommato modesta (considerando la vittima) e che con grandissima probabilità è a disposizione sui conti della struttura. Potremmo quindi essere di fronte ad un passo ulteriore nella raffinatezza degli attacchi: se un privato colpito da ransomware solitamente valuta la situazione e sceglie di non pagare, molti malintenzionati hanno deciso di portare attacchi molto più mirati e con altissime probabilità di successo. Certo, nelle nostre orecchie risuonano chiari i consigli delle aziende attive nel settore sicurezza, come Kaspersky Labs: non pagate, perché non vi è certezza che i dati poi vengano sbloccati e soprattutto, in caso di pagamento, si manda il chiaro messaggio che la tecnica funziona. E gli attacchi continueranno. Questo caso però è diverso: l'imbarazzo di fronte a 130 clienti furiosi quanto vale? Sicuramente molto più di 1500 Euro, motivo per cui il pagare può essere visto come il male minore, anche perché ogni minuto che passa senza soluzione conta tantissimo.

Ecco perché, più che mai, prevenire è meglio che curare. Siamo di fronte a una minaccia forse sottovalutata e a malintenzionati sempre più precisi e mirati. Dietro l'angolo c'è anche il mondo IoT, Internet of Things, che porterà milioni di oggetti connessi in case e strutture di pubblico interesse. Occhi aperti, estrema attenzione alle mail che riceviamo e sistemi aggiornati, per non trovarsi in spiacevoli situazioni di questo tipo.

59 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
AceGranger31 Gennaio 2017, 12:33 #1
bè complimenti a chi ha pensato di mettere il sistema di sicurezza in collegamento con l'esterno invece che in un sistema chiuso.
Blake8631 Gennaio 2017, 12:36 #2
Sono stati persino onesti. Io ne avrei chiesti minimo 15000
X-ray guru31 Gennaio 2017, 12:47 #3
Originariamente inviato da: AceGranger
bè complimenti a chi ha pensato di mettere il sistema di sicurezza in collegamento con l'esterno invece che in un sistema chiuso.


Il sistema avrebbe dovuto essere completamente chiuso, non solo senza accesso remoto.
Una volta caricato il software, scheda di rete, porte USB e qualsiasi I/O disabilitati da BIOS. Solo tastiera, mouse e uscita video.

Bastava fosse nella LAN e una qualsiasi email ricevuta ben congegnata poteva comprometterlo.
Bivvoz31 Gennaio 2017, 12:56 #4
Ma le belle chiavi di una volta...
maxnaldo31 Gennaio 2017, 13:01 #5
"Christoph Brandstaetter, direttore del'hotel, ha già comunicato l'intenzione di sostituire tutto il sistema tornando alle vecchie e care porte con le tradizionali chiavi, come quelle che si trovavano nella struttura 111 anni fa quando a condurla erano i suoi avi."

visto l'andazzo dei nostri tempi moderni, credo che piano piano ci torneranno tutti.

a parte gli attacchi hacker, siamo proprio sicuri di voler mettere la tecnologia elettronica/informatica e/o l'internet delle cose dappertutto ?

un mio amico è rimasto chiuso fuori di casa per colpa della super serratura elettronica modernissima e a prova di ladri che si era fatto installare sulla porta blindata di casa sua. Per un guasto ha smesso di funzionare e nemmeno quelli dell'assistenza sono riusciti a risolvergli il problema, hanno dovuto tagliare la porta con un flessibile.

è vero che anche con le serrature tradizionali c'è sempre il rischio di rimanere chiusi fuori, se perdi le chiavi, ma almeno hai sempre la possibilità di risolvere la situazione con una copia delle chiavi lasciata ad altre persone. Con l'elettronica che fai se non ti si apre in alcun modo ?
Opteranium31 Gennaio 2017, 13:21 #6
Ben detto. Questa invasione di informatica ed elettronica anche in ambiti del tutto privi di senso è deleteria e a complicare il tutto è il fatto che spessissimo viene fatta in modo bovino, senza occhi di riguardo per la sicurezza
Cloud7631 Gennaio 2017, 13:34 #7
Sì ma... mi è sfuggito o non c'è scritto un piffero di cosa è successo? Tutto molto generale ma come è entrato questo ransomware, da che via, con quale accesso... chi ha fatto cosa per far scattare questo virus?
Bivvoz31 Gennaio 2017, 13:38 #8
Originariamente inviato da: maxnaldo
un mio amico è rimasto chiuso fuori di casa per colpa della super serratura elettronica modernissima e a prova di ladri che si era fatto installare sulla porta blindata di casa sua. Per un guasto ha smesso di funzionare e nemmeno quelli dell'assistenza sono riusciti a risolvergli il problema, hanno dovuto tagliare la porta con un flessibile.

è vero che anche con le serrature tradizionali c'è sempre il rischio di rimanere chiusi fuori, se perdi le chiavi, ma almeno hai sempre la possibilità di risolvere la situazione con una copia delle chiavi lasciata ad altre persone. Con l'elettronica che fai se non ti si apre in alcun modo ?


Mi hai fatto troppo ridere raccontando sta cosa
Mi spiace per l'amico ma la cosa ridicola è che l'assistenza gli ha dovuto tagliare la porta.

Comunque si anche con le serrature tradizionali puoi restare chiuso fuori... se perdi le chiavi e quindi la colpa è tua, certo succede come succede a tutti di sbagliare ma non resti chiuso fuori perchè alla serratura oggi girava male
Alessandro Bordin31 Gennaio 2017, 13:45 #9
Originariamente inviato da: Cloud76
Sì ma... mi è sfuggito o non c'è scritto un piffero di cosa è successo? Tutto molto generale ma come è entrato questo ransomware, da che via, con quale accesso... chi ha fatto cosa per far scattare questo virus?


E' successo da pochissimo, non si sa ancora nulla. Alcune fonti azzardan complice interno. Ma di base non si sa ancora nulla. Per rispondere a quelle domande credo che serva tempo.
AceGranger31 Gennaio 2017, 13:47 #10
Originariamente inviato da: X-ray guru
Il sistema avrebbe dovuto essere completamente chiuso, non solo senza accesso remoto.
Una volta caricato il software, scheda di rete, porte USB e qualsiasi I/O disabilitati da BIOS. Solo tastiera, mouse e uscita video.

Bastava fosse nella LAN e una qualsiasi email ricevuta ben congegnata poteva comprometterlo.


eh no io intendevo proprio un sistema chiuso staccato proprio da tutto, stile lista dei NOC

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^