Cronaca di un attacco di ransomware: giorno 2

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Cronaca di un attacco di ransomware: in chat con i criminali

Secondo giorno di paralisi dell'azienda. I bitcoin restanti da pagare non sono ancora arrivati. Giovanni prende tempo: ha comunque da fare, perché nonostante la decrittazione i dati di Exchange non sono più leggibili ed Exchange non parte, per cui deve migrare tutto al volo su Office365. L'articolo continua qui sotto.

C'è poi da scoprire come è stato sferrato l'attacco. Le tracce che vengono scoperte dal sistemista sono piuttosto chiare: stavolta non è stata usata la classica mail con allegato infetto, ma i criminali avevano le password di accesso remoto ad almeno un server.

Come è possibile? Probabilmente le hanno ottenute grazie a un precedente attacco informatico a un fornitore dell'azienda che aveva queste password. E purtroppo, per ragioni di convenienza pratica, non c'era un controllo sull'origine dei tentativi di accesso, per cui i server accettavano connessioni di qualunque provenienza invece di accettare solo quelle provenienti dagli indirizzi IP del fornitore.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Cronaca di un attacco di ransomware: giorno 3