Immagine: ReliaQuest

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Fuori in 48 minuti

Come si fa a evitare di trovarsi in queste situazioni? La formazione del personale, e di tutto il personale, ossia di chiunque metta mano a un computer, è ovviamente essenziale: tutti devono conoscere l'esistenza di queste tecniche di attacco e abituarsi a riconoscerne i sintomi e a non fidarsi delle chiamate Teams o di altro genere che sembrano provenire dall'assistenza informatica di Microsoft o di qualunque altro fornitore di servizi. Tutti devono rendersi conto che gli attacchi informatici non sono un problema che riguarda solo gli addetti ai servizi informatici. Serve anche un modo affidabile e pratico per verificare le identità degli interlocutori quando la conversazione non avviene in presenza: cose come parole d'ordine concordate, per fare un esempio.

Ma c'è anche una parte tecnica importante che va ripensata e gestita correttamente non dagli utenti ma da parte degli amministratori dei sistemi informatici e dei loro superiori. Le applicazioni di accesso remoto, come Assistenza rapida di Microsoft, andrebbero disinstallate ovunque sia possibile o perlomeno rese meno facilmente accessibili agli utenti, e gli account degli utenti che interagiscono con un tentativo di furto anche solo sospettato andrebbero bloccati e isolati immediatamente. Tutte cose che hanno un costo e comportano disagi e scomodità e quindi spesso non vengono fatte.

Trovate raccomandazioni tecniche molto dettagliate e motivate nei due rapporti sulla vicenda pubblicati dalla società di sicurezza informatica Reliaquest, quella che ha seguito e analizzato in profondità questo attacco [48 Minutes: How Fast Phishing Attacks Exploit Weaknesses; Racing the Clock: Outpacing Accelerating Attacks].

Consigliamo la lettura di:

Il ransomware che ti cancella tutti i dati per sempre - se non paghi subito

Il cripto-ladro è nella stampante e ruba un milione di dollari

Dopo Klarna, anche Duolingo fa marcia indietro sulla IA

IA al lavoro: tutti la usano, molti la nascondono

E la lezione più importante che ci offre questa vicenda è che gli intrusi stanno diventando sempre più veloci, grazie anche all'automazione dei loro attacchi consentita dall'intelligenza artificiale, che stanno usando a piene mani e senza scrupoli, e quindi i tempi di reazione devono adeguarsi e gli interventi di protezione devono essere il più possibile automatici e drastici. L'idea ancora molto diffusa di avere un servizio di supporto informatico solo in orari d'ufficio, per contenere i costi, non è soltanto obsoleta: è di fatto pericolosa. Perché i criminali informatici non rispettano gli orari di lavoro o le ferie.

C'è un epilogo positivo a questa vicenda: Black Basta, il gruppo criminale al quale è stato attribuito l'attacco che ho descritto qui, è in crisi. Le sue chat interne sono state infatti trafugate e pubblicate online, permettendo a studiosi e ricercatori di sicurezza di analizzare tattiche, segreti professionali e liti fra i suoi membri, disseminati su oltre 200.000 messaggi [Ars Technica]. Uno dei suoi leader è stato arrestato, e questo aumenta le possibilità che vengano rintracciati anche gli altri componenti. E un altro dei capi di Black Basta ha commesso l'errore strategico di attaccare le infrastrutture di alcune banche russe, col risultato di attirare sulla banda le attenzioni decisamente indesiderate delle autorità di polizia del paese.

Alla fine, i peggiori nemici dei criminali sono i criminali stessi.

Fonte aggiuntiva

Notorious crooks broke into a company network in 48 minutes. Here's how. Ars Technica (2025).