Ransomware: danno collaterale

Oltre ai loro obiettivi principali, i ransomware hanno infettato anche alcuni dispositivi insoliti.

Si potrebbe pensare che un bancomat infettato da un ransomware, un monitor in aeroporto su cui appare un messaggio di un estorsore o una slot machine che richiede un riscatto in bitcoin siano solo delle leggende metropolitane. Eppure abbiamo osservato tutti questi fenomeni durante l’epidemia del ransomware WannaCry di tre anni fa. Oggi, in occasione dell’Anti-Ransomware Day, sembra essere proprio la giornata opportuna per ricordare questi casi peculiari.

Chi mai penserebbe di infettare un terminale di pagamento con un ransomware? Quale potrebbe mai essere il vantaggio? La verità è che i creatori di WannaCry non hanno scelto obiettivi specifici per il loro malware. È entrato nella rete attraverso dei normali portatili e ha infettato ogni dispositivo esposto a una vulnerabilità non risolta del protocollo SMB. Ciò significa che il ransomware ha infettato un bel po’ di dispositivi che non contenevano (o non potevano contenere) dati sufficientemente di valore da poter essere usati come riscatto. Questi dispositivi sono stati dei danni collaterali, diciamo così.

Esistono molti altri tipi di malware simili, ma che non dispongono del comodo meccanismo di diffusione di WannaCry. I creatori di questi altri cryptor condividono una mancanza di considerazione nei confronti degli obiettivi. Quindi, a volte i dispositivi che non rappresentano un introito economico per gli hacker, diventano comunque vittime dei ransomware. Oggi passeremo a rassegna i dispositivi più insoliti che sono stati infettati, per mostrarvi quanto possano essere casuali le vittime di tali attacchi.

1. Apparecchiature mediche

La foto pubblicata su Forbes mostra lo schermo di un dispositivo medico che viene utilizzato per migliorare la qualità dell’immagine ottenuta da un macchinario per la risonanza magnetica, che traccia il mezzo di contrasto nel paziente. Non è necessario spiegare quanto sia importante fornire una diagnosi tempestiva di un paziente che richiede una risonanza magnetica. E cosa succederebbe se un tale dispositivo venisse sabotato proprio nel bel mezzo dell’analisi?

2. Telecamere per il traffico

Gli attacchi informatici colpiscono le telecamere che registrano le violazioni del codice stradale da molto prima dell’epidemia di WannaСry. Tuttavia, di solito si trattava di accesso illegale o di sabotaggio. In questo caso, 590 automobilisti dello stato australiano di Victoria hanno dovuto ringraziare il malware per aver evitato loro il pagamento di una multa. Secondo il giornale ITNews, le telecamere infette sono rimaste pienamente operative. La polizia, però, non ha riscosso le multe rilevate con quella particolare prova perché le violazioni del codice della strada sono state registrate con dispositivi compromessi dal ransomware.

3. Bancomat

WannaCry ha colpito i bancomat di tutto il mondo. Il ripristino del sistema operativo ha permesso di far funzionare nuovamente i bancomat infetti, ma si tratta di un’operazione che richiede del tempo, soprattutto nei casi di infezione di massa. Inoltre, questi dispositivi di solito sono collegati alla stessa rete e hanno la stessa protezione, quindi il problema di uno è problema di tutti. Sebbene il contante custodito all’interno degli sportelli automatici non fosse in pericolo, molte banche hanno dovuto lavorare sodo per ricostruire le loro reti di terminali, per non parlare della reputazione inevitabilmente danneggiata.

4. Display di arrivi e partenze

WannaCry ha anche colpito alcuni schermi che annunciavano gli arrivi e le partenze negli aeroporti e nelle stazioni ferroviarie. È improbabile che qualcuno paghi un riscatto in questo caso, su questi dispositivi non sono presenti informazioni di valore.; ciononostante, ripristinare un tale tabellone costa tempo e denaro. E poi gli schermi non funzionanti delle stazioni ferroviarie e degli aeroporti possono causare molti problemi ai passeggeri: se non riescono a raggiungere la loro destinazione in tempo a causa del malware, chi è da ritenere responsabile?

5. Cartelloni pubblicitari all’aperto

Anche i cartelloni pubblicitari sono stati vittime del ransomware. Andando oltre i commenti sarcastici dei passanti e il fastidio degli addetti inviati a riparare o a sostituire i display, le vittime principali sono stati gli inserzionisti, che hanno subito notevoli perdite in termini di reputazione. Dopotutto, sono pagati per mostrare i video o gli annunci dei loro clienti e gli schermi bloccati che mostrano messaggi di riscatto violano i contratti dei clienti. Tali problemi possono anche scoraggiare le aziende dal continuare a utilizzare i servizi della società pubblicitaria interessata.

6. Terminali di pagamento nei parcheggi

Pensate all’ipotesi di tornare nel parcheggio dove avete lasciato la vostra auto e di vedere una richiesta di riscatto sul terminale di pagamento. Non potete pagare per il parcheggio, il che significa che il cancello non si aprirà quando cercherete di uscire dal garage. Ma la vittima principale qui, naturalmente, è il gestore del parcheggio. Tutti coloro che ora non sono in grado di parcheggiare nel garage o di lasciare la struttura in modo tempestivo si arrabbieranno con l’azienda.

7. Biglietterie automatiche

Anche i distributori automatici di biglietti sono stati infettati. Ad esempio, a San Francisco le biglietterie automatiche del servizio dei trasporti urbani (BART) sono rimaste fuori uso per due giorni a causa di un attacco del ransomware Mamba. I cybercriminali hanno richiesto 73 mila dollari di riscatto all’azienda; tuttavia, la parte lesa (giustamente) si è rifiutata di pagare e, di conseguenza, l’agenzia municipale dei trasporti di San Francisco è stata costretta a distribuire biglietti della metropolitana gratuiti fino a quando non sono state riparate le macchinette erogatrici.

Conclusioni pratiche

I dispositivi involontariamente infettati dal ransomware sono stati colpiti in gran parte perché i loro operatori non hanno visto la necessità di installare soluzioni di protezione aggiornate e di aggiornare i sistemi operativi in modo tempestivo. Come abbiamo visto nella pratica, molte persone non sanno che questi tipi di apparecchiature sono comunque dei computer su cui sono presenti diverse versioni di Windows, con tutte le vulnerabilità di questi sistemi operativi.

Pertanto, se la vostra azienda utilizza questo tipo di apparecchiature, abbiamo le seguenti raccomandazioni per voi:

  • Spostate questi dispositivi su una sottorete separata per isolarli dagli altri computer;
  • Installate le patch del sistema operativo in modo tempestivo;
  • Installate soluzioni di sicurezza adeguate.

Di fatto, Kaspersky offre una protezione specifica per questo genere di dispositivi: Kaspersky Embedded Systems Security protegge anche i computer embedded a bassa potenza, sistemi che si trovano spesso sui bancomat, sui terminali di pagamento e su altri dispositivi simili.

Consigli