{"id":17052,"date":"2019-03-20T19:34:53","date_gmt":"2019-03-20T17:34:53","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17052"},"modified":"2020-11-12T19:52:56","modified_gmt":"2020-11-12T17:52:56","slug":"hydro-attacked-by-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/hydro-attacked-by-ransomware\/17052\/","title":{"rendered":"Hydro, il gigante dell’alluminio, colpito da un ransomware"},"content":{"rendered":"

Negli ultimi anni abbiamo descritto diversi incidenti che hanno visto come protagonisti i ransomware e che hanno colpito grandi infrastrutture come ospedali<\/a>, mezzi di trasporto<\/a> o persino i computer governativi di un\u2019intera contea<\/a>. Successivamente \u00e8 arrivata l\u2019era dei wiper, con le epidemie WannaCry<\/a>, ExPetr<\/a> e Bad Rabbit<\/a>, che si sono diffuse in tutto il mondo e hanno messo KO l\u2019operativit\u00e0 di numerose aziende.<\/p>\n

Per fortuna, non abbiamo assistito a situazioni di simile portata negli ultimi dodici mesi, ma non certo perch\u00e9 i cybercriminali abbiano gettato la spugna. Il 19 marzo scorso, il gigante norvegese della produzione di alluminio, Hydro, ha ammesso di essere stato colpito da un ransomware<\/a> che ha interessato l\u2019intera azienda.<\/p>\n

L\u2019attacco a Hydro: ecco cosa \u00e8 successo<\/h3>\n

In base a quanto affermato da un portavoce di Hydro in conferenza stampa, verso mezzanotte del fatidico giorno, il team di sicurezza di Hydro ha notato dell\u2019attivit\u00e0 sospetta sui server della compagnia. Si sono resi conto che l\u2019infezione si stava diffondendo e hanno cercato di contenerla, riuscendoci solo in parte. Quando hanno potuto isolare gli impianti, l\u2019intera rete era gi\u00e0 stata completamente infettata. Hydro non ha specificato il numero di computer coinvolti, ma l\u2019azienda ha 35 mila dipendenti per cui si tratta di un volume certamente importante.<\/p>\n

Il team di Hydro sta lavorando ininterrottamente, 24 ore su 24 e 7 giorni su 7, e stanno ottenendo risultati, almeno parziali. Gli impianti energetici non sono stati interessati perch\u00e9 sono stati isolati dalla rete centrale, la miglior cosa da fare quando sono coinvolte delle infrastrutture critiche. Gli impianti di fusione, invece, non sono stati isolati e negli ultimi anni sono molto pi\u00f9 automatizzati rispetto al passato; per questo sono stati colpiti alcuni impianti situati in Norvegia e il team \u00e8 riuscito a ripristinarne alcuni, anche se in modalit\u00e0 semi manuale e pi\u00f9 rallentata. In ogni caso, in base a quanto confermato<\/a> da Hydro, \u201cl\u2019impossibilit\u00e0 di collegarsi ai sistemi di produzione ha causato problematiche nella produzione e ci siamo visti obbligati a fermare diversi impianti\u201d.<\/p>\n

Nonostante la sua grande portata, l\u2019attacco non ha minato completamente l\u2019operativit\u00e0 di Hydro. Sebbene i dispositivi Windows siano stati cifrati e resi quindi inutili, i telefoni e i tablet non Windows hanno continuato a funzionare, il che ha permesso ai dipendenti di comunicare e di far fronte alle necessit\u00e0 dell\u2019azienda. La costosa infrastruttura critica come i bagni per la produzione dell\u2019alluminio, che costano ognuno circa 10 milioni di euro, non sembrano aver subito conseguenze per via dell\u2019attacco. L\u2019incidente informatico non ha provocato problemi di sicurezza e nessuno \u00e8 rimasto ferito. Hydro spera di poter ripristinare pi\u00f9 dati possibili grazie ai backup.<\/p>\n

Analisi: cosa \u00e8 andato bene e cosa no<\/h3>\n

Probabilmente Hydro avr\u00e0 bisogno di un bel po\u2019 di tempo per ripristinare completamente la sua operativit\u00e0 e anche per le indagini ci sar\u00e0 bisogno di tempo e sforzi da parte di Hydro e delle autorit\u00e0 norvegesi.\u00a0 Per il momento, non si \u00e8 d\u2019accordo su quale ransomware sia stato utilizzato per l\u2019attacco e chi ci sia dietro.<\/p>\n

Le autorit\u00e0 stanno vagliando numerose ipotesi; una tra queste \u00e8 che Hydro sia stata attaccata dal ransomware LockerGoga, che Bleeping Computer descrive<\/a> come \u201clento\u201d (e siamo d\u2019accordo con questo aggettivo) e \u201cpoco attento ai dettagli\u201d, insomma che \u201cnon fa nulla per evitare di essere individuato\u201d. Nel messaggio di richiesta di riscatto non viene specificata la somma esatta richiesta dai cybercriminali per decifrare i computer, ma s\u00ec viene indicato un indirizzo che le vittime dovrebbero contattare.<\/p>\n

Sebbene non siano ancora state completate le indagini, possiamo dire cosa ha fatto bene Hydro e cosa no in questo frangente.<\/p>\n

Bene:<\/strong><\/h4>\n
    \n
  1. Gli impianti energetici sono stati isolati dalla rete principale ed \u00e8 per questo che non sono stati coinvolti;<\/li>\n
  2. Il team di sicurezza \u00e8 riuscito a isolare piuttosto velocemente gli impianti di fusione, che hanno continuato a funzionare (anche se la maggior parte in modalit\u00e0 semi manuale);<\/li>\n
  3. I dipendenti hanno potuto continuare a comunicare normalmente anche dopo l\u2019incidente, il che vuol dire che il server di comunicazione era stato protetto abbastanza bene e non \u00e8 stato interessato dall\u2019infezione;<\/li>\n
  4. Hydro ha effettuato backup che dovrebbero permettere di ripristinare i dati cifrati per poter proseguire con le normali operazioni;<\/li>\n
  5. Hydro ha stipulato un\u2019assicurazione che dovrebbe coprire parte dei costi derivanti dall\u2019incidente.<\/li>\n<\/ol>\n

    Male:<\/strong><\/h4>\n
      \n
    1. Probabilmente la rete non \u00e8 stata segmentata in modo adeguato, altrimenti sarebbe stato molto pi\u00f9 facile evitare che il ransomware si diffondesse fino a questo punto, contenendo cos\u00ec la portata dell\u2019attacco;<\/li>\n
    2. La soluzione di sicurezza utilizzata da Hydro non \u00e8 stata abbastanza robusta e non \u00e8 riuscita a individuare il ransomware (nonostante sia abbastanza nuovo, LockerGoga \u00e8 un ransomware piuttosto conosciuto, ad esempio, da\u00a0Kaspersky Endpoint Security<\/a> con il nome Trojan-Ransom.Win32.Crypgen.afbf);<\/li>\n
    3. Avrebbero dovuto aggiungere un software anti-ransomware alla soluzione di sicurezza adottata, come ad esempio il nostro Kaspersky Anti-Ransomware Tool<\/a>, che pu\u00f2 essere installato come accompagnamento ad altre soluzioni di sicurezza ed \u00e8 in grado di proteggere il sistema da tutti i tipi di ransomware, dai miner e da altri elementi poco graditi.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

      Anche il gigante industriale norvegese Hydro \u00e8 stato colpito da un ransomware. Analizziamo l\u2019accaduto.<\/p>\n","protected":false},"author":675,"featured_media":17053,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[2028,1424,635],"class_list":{"0":"post-17052","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-cryptor","10":"tag-infrastrutture-critiche","11":"tag-ransomware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hydro-attacked-by-ransomware\/17052\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hydro-attacked-by-ransomware\/15429\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/12994\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/17373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hydro-attacked-by-ransomware\/15522\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/14211\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hydro-attacked-by-ransomware\/18059\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hydro-attacked-by-ransomware\/22421\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hydro-attacked-by-ransomware\/5803\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/26028\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hydro-attacked-by-ransomware\/11536\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hydro-attacked-by-ransomware\/11603\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hydro-attacked-by-ransomware\/10489\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hydro-attacked-by-ransomware\/18804\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hydro-attacked-by-ransomware\/22817\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hydro-attacked-by-ransomware\/23880\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hydro-attacked-by-ransomware\/18119\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hydro-attacked-by-ransomware\/22304\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hydro-attacked-by-ransomware\/22236\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=17052"}],"version-history":[{"count":9,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17052\/revisions"}],"predecessor-version":[{"id":23326,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17052\/revisions\/23326"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/17053"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=17052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=17052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=17052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}