L'ente per la protezione ambientale scozzese vittima del ransomware. Ma non paga il riscatto

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...tto_94759.html

L'ente per la protezione ambientale della Scozia ha annunciato di essere stato attaccato da hacker che hanno usato un ransomware per cifrare i dati. Il direttore dell'ente ha scelto di non pagare il riscatto: una decisione corretta

Click sul link per visualizzare la notizia.

[riaw]

chiaro, è un ente pubblico che anche se va in perdita chissenefrega e non ha nessun concorrente.

che sia beninteso, il loro è il comportamento corretto, ma quando si dirige una socità privata e tutti i dati sono persi e la concorrenza è lì con il fiato sul collo i ragionamenti che si fanno sono un po diversi.

[canislupus]

Quote:

Originariamente inviato da riaw

chiaro, è un ente pubblico che anche se va in perdita chissenefrega e non ha nessun concorrente.

che sia beninteso, il loro è il comportamento corretto, ma quando si dirige una socità privata e tutti i dati sono persi e la concorrenza è lì con il fiato sul collo i ragionamenti che si fanno sono un po diversi.

Copie Shadow? Backup?
Una azienda che ha bisogno di tenere protetti i propri dati, ha molti mezzi per farlo.
Il problema sono solo i costi... dato che le competenze alla fine si trovano o si prendono all'esterno.

[agonauta78]

Pagare non ti da garanzia di riavere i dati, in più finanzi un'attività criminale. Meglio investire in formazione per il personale e dispositivi di backup.

[mikes97]

Evidentemente erano organizzati e avevano backup adeguati. Dicono che hanno perso solo 1gb di file che sembrano essere di scarsa importanza.

[Cfranco]

Quote:

Originariamente inviato da riaw

che sia beninteso, il loro è il comportamento corretto, ma quando si dirige una socità privata e tutti i dati sono persi e la concorrenza è lì con il fiato sul collo i ragionamenti che si fanno sono un po diversi.

E infatti quelli pagano una bella cifra e i criminali spariscono lasciandoli nelle canne come prima, ma più poveri.
Nella maggior parte dei casi i dati non vengono affatto crittografati ( cosa che richiederebbe una certa abilità nella programmazione ), ma semplicemente sovrascritti con dati casuali e quindi non c' è nessuna possibilità di recupero e nessuna chiave per sistemarli

[riaw]

Quote:

Originariamente inviato da canislupus

Copie Shadow? Backup?
Una azienda che ha bisogno di tenere protetti i propri dati, ha molti mezzi per farlo.
Il problema sono solo i costi... dato che le competenze alla fine si trovano o si prendono all'esterno.

Quote:

Originariamente inviato da Cfranco

E infatti quelli pagano una bella cifra e i criminali spariscono lasciandoli nelle canne come prima, ma più poveri.
Nella maggior parte dei casi i dati non vengono affatto crittografati ( cosa che richiederebbe una certa abilità nella programmazione ), ma semplicemente sovrascritti con dati casuali e quindi non c' è nessuna possibilità di recupero e nessuna chiave per sistemarli

forse dovevo metterlo in grassetto:
"che sia beninteso, il loro è il comportamento corretto"

[Mparlav]

Alla richiesta di pagare il riscatto, l'intero staff è uscito sul prato... ed ha ripetuto la scena di Braveheart con i kilt

Dopo di che gli ha mandato il video come pagamento

[\_Davide_/]

Quote:

Originariamente inviato da Mparlav

Alla richiesta di pagare il riscatto, l'intero staff è uscito sul prato... ed ha ripetuto la scena di Braveheart con i kilt

Dopo di che gli ha mandato il video come pagamento

Che è quello che dovrebbero fare tutti

Del resto, se hanno perso 1,2 GB significa che l'ultimo backup era disponibile e non risaliva a troppo tempo prima

Chiaro che se come qualcuno i backup li fai su una unità online mappata sul pc che viene crittato...

[SpyroTSK]

Quote:

Originariamente inviato da canislupus

Copie Shadow? Backup?
Una azienda che ha bisogno di tenere protetti i propri dati, ha molti mezzi per farlo.
Il problema sono solo i costi... dato che le competenze alla fine si trovano o si prendono all'esterno.

Le copie Shadow sono inutili nel 99,9% dei casi.
Quei 1,2gb di roba probabilmente sono scannerizzazioni fatte dalle stampanti multifunzione in una condivisione del server X, che è temporanea ma non hanno mai spostato i file, oppure ancora meglio sul desktop di un PC sfigato.
Se fossi il sistemista e mi avessero criptato SOLO 1,2gb di dati, festeggio, vuol dire che c'è un'infrastruttura discreta, non ottima, ma meglio di tante altre realtà, anche grandi.

[Opteranium]

direi bravi, hanno perso ben poco e non hanno pagato. Vuol dire che la loro struttura IT funziona. Da prendere a esempio

[\_Davide_/]

Più che altro non capisco come per 1,2 GB di dati nell'articolo si parli di settimane e mesi per ripristinare la corretta funzionalità dei servizi.

Cosa gli hanno criptato? Le configurazioni degli switch?

[canislupus]

Quote:

Originariamente inviato da SpyroTSK

Le copie Shadow sono inutili nel 99,9% dei casi.
Quei 1,2gb di roba probabilmente sono scannerizzazioni fatte dalle stampanti multifunzione in una condivisione del server X, che è temporanea ma non hanno mai spostato i file, oppure ancora meglio sul desktop di un PC sfigato.
Se fossi il sistemista e mi avessero criptato SOLO 1,2gb di dati, festeggio, vuol dire che c'è un'infrastruttura discreta, non ottima, ma meglio di tante altre realtà, anche grandi.

1,2 GB possono essere pochi, ma essere anche tanti... dipende dal contenuto... se sono scannerizzazioni ad alta definizione, hai perso poco o nulla (anche se poi bisognerebbe comprendere il valore dal punto di vista dell'ente).
Le copie shadow nascono con l'idea di mantenere più versioni dello stesso file che ovviamente se non viene modificato, alla fine si trasforma in una sorta di backup.
Chiaramente è sempre preferibile avere una copia effettuata su supporto esterno e possibilmente non condiviso.
Però sono sempre del parere che più metodi si utilizzino e più si abbassino le possibilità di queste situazioni spiacevoli.

[SpyroTSK]

Quote:

Originariamente inviato da canislupus

1,2 GB possono essere pochi, ma essere anche tanti... dipende dal contenuto... se sono scannerizzazioni ad alta definizione, hai perso poco o nulla (anche se poi bisognerebbe comprendere il valore dal punto di vista dell'ente).
Le copie shadow nascono con l'idea di mantenere più versioni dello stesso file che ovviamente se non viene modificato, alla fine si trasforma in una sorta di backup.
Chiaramente è sempre preferibile avere una copia effettuata su supporto esterno e possibilmente non condiviso.
Però sono sempre del parere che più metodi si utilizzino e più si abbassino le possibilità di queste situazioni spiacevoli.

Certo, dipende, ma 1,2Gb/4000 sono circa 300kb di file l'uno, quindi facile siano PDF, Word excel ecc. Roba magari tutta recuperabile tramite mail o altri servizi, quindi non penso siano al 100% ma più probabilmente sono file che "non servano" nell'immediato, perché magari sono stati stampati o conservati via mail o altri servizi.

Le copie Shadow, soprattutto nel caso di Ransomware, vengono disattivate dagli stessi, o addirittura viene cancellata la copia conservata, rendendo la funzione completamente inutile.
Inoltre ad esempio alcune versioni del Dharma, corrompono definitivamente il servizio di copie Shadow, quindi bisogna ripristinare addirittura dei file di Windows. (Te lo assicuro, ho visto diversi ransomware in azione.)

[canislupus]

Quote:

Originariamente inviato da SpyroTSK

Certo, dipende, ma 1,2Gb/4000 sono circa 300kb di file l'uno, quindi facile siano PDF, Word excel ecc. Roba magari tutta recuperabile tramite mail o altri servizi, quindi non penso siano al 100% ma più probabilmente sono file che "non servano" nell'immediato, perché magari sono stati stampati o conservati via mail o altri servizi.

Le copie Shadow, soprattutto nel caso di Ransomware, vengono disattivate dagli stessi, o addirittura viene cancellata la copia conservata, rendendo la funzione completamente inutile.
Inoltre ad esempio alcune versioni del Dharma, corrompono definitivamente il servizio di copie Shadow, quindi bisogna ripristinare addirittura dei file di Windows. (Te lo assicuro, ho visto diversi ransomware in azione.)

Non metto in dubbio le tue parole... anche perchè giustamente chi ti vuole colpire, deve anche conoscere come potresti difenderti e attaccarti anche lì.
Non a caso ho detto di usare più sistemi.
Il fatto che siano pdf o documenti, poteva anche rappresentare un danno ingente se avessero avuto anche informazioni riservate... comunque sia hanno fatto bene a non cedere.

[SpyroTSK]

Quote:

Originariamente inviato da canislupus

Non metto in dubbio le tue parole... anche perchè giustamente chi ti vuole colpire, deve anche conoscere come potresti difenderti e attaccarti anche lì.
Non a caso ho detto di usare più sistemi.
Il fatto che siano pdf o documenti, poteva anche rappresentare un danno ingente se avessero avuto anche informazioni riservate... comunque sia hanno fatto bene a non cedere.

Hanno fatto molto bene, anzi da lodare il loro comportamento, ma comunque resta il fatto che la loro figura IT ha fatto il proprio dovere, che è la cosa più importante in assoluto.

Per i dati, difficilmente un ransomware "ruba" dati per rivenderli, la stragrande maggioranza fa solamente una criptazione intera dei dati e basta. Quindi quei dati si possono definire persi definitamente, qualunque cosa ci fosse stata la dentro.

[canislupus]

Quote:

Originariamente inviato da SpyroTSK

Hanno fatto molto bene, anzi da lodare il loro comportamento, ma comunque resta il fatto che la loro figura IT ha fatto il proprio dovere, che è la cosa più importante in assoluto.

Per i dati, difficilmente un ransomware "ruba" dati per rivenderli, la stragrande maggioranza fa solamente una criptazione intera dei dati e basta. Quindi quei dati si possono definire persi definitamente, qualunque cosa ci fosse stata la dentro.

Infatti il problema sarebbe se dovessero avere bisogno di recuperarli (ammesso che li criptano e non si limitino a sovrascriverli... come probabilmente avviene).
Ecco perchè servono i backup... così al peggio perdi qualche aggiornamento, ma non tutto.