Lo scorso fine settimana, il 26 e il 27 novembre, la gente che ha viaggiato con la San Francisco Municipal Railway ha potuto constatare, con sorpresa, di non dover pagare il biglietto. Tutte le persone hanno viaggiato gratis entrambi i giorni. Un sogno socialista che diventa realtà? No. La San Francisco Municipal Railway, meglio nota come Muni, non ha potuto vendere biglietti perché è stata attaccata da un ransomware.
Alcuni mezzi di comunicazione sostengono che il problema si era verificato un paio di giorni prima, prima del Giorno del Ringraziamento, quando le macchinette per la vendita dei biglietti e i monitor degli orari avevano iniziato a visualizzare il messaggio “Voi hackerati” (come sempre i ransomware si annunciano con tanti errori grammaticali). Sembra che il ransomware, chiamato Mamba, una variante dell’HDDCryptor, abbia colpito oltre 2000 computer fuori uso appartenenti all’agenzia di trasporti di San Francisco (SFMTA).
Mamba (e HDDLocker; consideriamoli una cosa sola per il resto di questo post) è un ransomware che cripta l’intero hard disk e cambia il master boot record (MBR) per evitare che i computer infetti carichino i propri sistemi operativi, visualizzando al contrario il messaggio dei criminali.
I creatori di Mamba hanno utilizzato strumenti open-source come parti di un Trojan e questo, tra le altre cose, li ha aiutati a creare un forte algoritmo. Quindi non esiste un modo per riavere indietro i file criptati da Mamba senza pagare i criminali.
Gli autori di Mamba hanno esortato l’SFMTA a contattarli a cryptom27@yandex.com; utilizzando questo indirizzo mail, un giornalista del San Francisco Examiner è stato in grado di parlare con i criminali, che si sono presentati come “Andy Saolis”. Secondo quanto affermato da Saolis, l’attacco al Muni non era un attacco voluto; il sistema si è infettato semplicemente perché qualcuno con privilegi di amministratore ha scaricato un file torrent infetto.
Saolis ha anche detto all’Examiner che l’SFMTA deve pagare loro 100 bitcoin (circa 73.000 dollari) per fare in modo che i computer tornino ad essere operativi. Ma sembra che l’SFMTA fosse stata in grado di affrontare il problema senza pagare il riscatto; domenica le macchinette che emettevano i biglietti funzionavano di nuovo.
I ricercatori antimalware di Kaspersky Lab tengono d’occhio i responsabili dell’attacco. Sembra che Mamba sia usato in genere per attaccare le imprese e le organizzazioni; l’attacco al Muni non è la prima conquista di Mamba (e in realtà, 100 bitcoin sono una piccola somma per gli standard di questi criminali. In genere chiedono di più).
Dunque, Mamba sembra proprio una brutta minaccia. Cosa si può fare per proteggere voi e la vostra azienda?
1. L’SFMTA è stata in grado di risvegliare Muni e di avviarlo abbastanza velocemente perché era in possesso dei backup. Vale la pena dire che questi backup non si trovavano sulla condivisione di rete, altrimenti Mamba avrebbe criptato anche questi.
La morale è questa: comportatevi come l’SFMTA ed effettuate regolarmente il backup dei vostri dati. Conservate i backup sia nel cloud che in hard disk esterni, non sul vostro computer o sui dispositivi connessi alla rete.
2. Siate anche più intelligenti dell’SFMTA ed evitate di essere infettati da Mamba o da qualsiasi altro ransomware. Al contrario, utilizzate una buona soluzione di sicurezza. Kaspersky Internet Security rileva Mamba (o HDDCryptor e altri ransomware simili) come HEUR:Trojan.Win32.Generic e non permette loro di criptare nulla.