Backup automatici: cosa ci insegna l’attacco a Microsoft Exchange

Secondo il rapporto 2021 dell’Associazione Italiana per la Sicurezza Informatica sulla sicurezza ICT in Italia, nel 2020 gli attacchi informatici sono cresciuti del 12% rispetto all’anno precedente, segnando un aumento totale del 66% rispetto al 2017. Lo strumento più utilizzato dagli hacker è l’attacco attraverso malware (42%): tra questi, quasi un terzo riguarda l’uso di ransomware, virus in grado di infettare i pc criptando i file e rendendoli inutilizzabili.

Il caso Microsoft Exchange

“Uno degli episodi più gravi degli ultimi anni”: così è stato definito l’attacco hacker subito da Microsoft Exchange, il software utilizzato da centinaia di migliaia di imprese nel mondo per la gestione della posta elettronica.

L’attacco ha colpito le aziende che utilizzano la versione di Exchange “on-premises”, in cui la gestione e la conservazione delle mail avviene su server aziendali privati. Questa versione è utilizzata in maggioranza da piccole/medie aziende e uffici pubblici, in quanto più economico di Exchange in cloud (scelto di solito dalle grandi aziende, anche se in questo caso sono state attaccate aziende come TIM Business ed EBA, l’Autorità Bancaria Europea).

Gli hacker, sfruttando le vulnerabilità del sistema Exchange, sono riusciti ad entrare nei server aziendali e a prenderne il controllo: il passo successivo è stato quello di leggere e trafugare innumerevoli dati ed informazioni sensibili, oltre che criptare i file contenuti nelle macchine.

L’attacco, in realtà, era iniziato già a gennaio, ma si è manifestato in tutta la sua gravità soltanto ad inizio marzo: nel frattempo, si sono registrate migliaia di vittime in tutto il mondo (secondo il Wall Street Journal, potrebbero essere più di 250mila).

Nella classifica dei paesi con il maggior numero di server Exchange colpiti, l’Italia risulta uno dei principali:

1. Stati Uniti: 20.000
2. Germania: 11.000
3. Regno Unito: 4.900
4. Francia: 4.000
5. Italia: 3.700

Microsoft è corsa ai ripari rilasciando pochi giorni dopo la scoperta dell’attacco una patch di sicurezza per eliminare le vulnerabilità, ma la risoluzione del problema è tutt’altro che semplice.

La questione infatti si rende ancora più complessa a causa delle cosiddette “web shell”: programmi installati nei server attaccati il cui compito è quello di mantenere aperto l’accesso al sistema anche dopo l’installazione della patch. Le web shell sono difficili da individuare, ed inoltre possono essere sfruttate da altri gruppi di hacker per la diffusione di ulteriori malware e ransomware.

L’attacco al Comune di Brescia

Altro eclatante episodio di attacco hacker è quello che vede protagonista il Comune di Brescia, colpito il 30 marzo 2021 da un ransomware. Il virus, probabilmente introdottosi nel sistema tramite un’email di phishing, è riuscito ad infettare 130 server dell’amministrazione comunale e a bloccarne l’accesso, criptando tutti i file in essi contenuti.

L’attacco ha provocato il blocco totale dei servizi online e di posta elettronica del Comune: sito web, sistema di gestione di gare, appalti e pratiche edilizie, sistema scolastico e cimiteriale e uffici Ragioneria, Anagrafe e Polizia Locale.

Per l’invio della chiave di sblocco, gli hacker hanno chiesto un riscatto – non pagato, secondo le dichiarazioni – di 26 Bitcoin (per un valore pari a 1,3 milioni di euro).

Il sito web è tornato online il 6 aprile, cioè ben una settimana dopo l’attacco, mentre i servizi online e tutti i 130 server attaccati verranno gradualmente ripristinati entro la seconda metà di aprile. Nel frattempo, disagi tra i cittadini e uffici comunali chiusi, impossibilitati ad operare.

Prevenire è meglio che curare: i sistemi di backup automatici

Cosa fare per scongiurare attacchi informatici di questo tipo? Sicuramente lo scenario migliore è quello di aver pensato in anticipo ad un sistema di backup dei dati aziendali.

Sappiamo che attacchi come questi sono sempre più diffusi e che colpiscono aziende di qualsiasi tipologia. Sono in grado di bloccare completamente l’attività aziendale, non soltanto criptando i file, ma rendendo anche i pc ed i servizi inutilizzabili per intere settimane, come nel caso del Comune di Brescia. Quello che ci si deve domandare a priori è dunque: in caso di attacco, quanto costerebbe tenere ferma l’azienda per giorni?

Pensiamo per esempio ad un’impresa i cui macchinari operano sulla base dei progetti realizzati all’ufficio tecnico. In caso di blocco del sistema informatico, i tecnici non possono lavorare, così come di conseguenza non possono farlo i macchinari e gli addetti della produzione. Risultato: azienda completamente ferma, dipendenti a casa, perdite economiche.

In questi casi, aver provveduto in anticipo a mettere a punto un sistema di backup dei dati permette di uscire dalla situazione di stallo causata dal virus nel giro di pochissimo tempo. Si tratta di creare delle copie di informazioni e file aziendali da conservare in depositi di riserva (hardware o cloud), in modo che, in caso di attacchi o guasti, questi possano essere facilmente recuperati e ripristinati.

Le funzionalità principali di un sistema di backup sono 3:

• Conservazione sicura dei dati;
• Rendere affidabile il sistema informativo aziendale;
• Garantire la continuità operativa.

Un buon piano di backup deve rispondere a criteri di efficacia ed efficienza: è importante schedulare la procedura automatica di backup in più momenti durante la giornata, in modo che, in caso di attacco, sia possibile scegliere tra più punti di ripristino dei file e recuperare più dati possibili.

Spesso le aziende sottovalutano l’importanza delle politiche di backup: purtroppo, ci si rende conto di quanto siano fondamentali soltanto a danno avvenuto, quando l’azienda è ormai bloccata e i danni economici cominciano a presentarsi. Poter disporre di backup consente invece di ripristinare il sistema informatico in poco tempo e di limitare enormemente le perdite.

Inoltre, i backup non proteggono soltanto dagli attacchi informatici, ma anche da eventuali errori umani o da guasti delle macchine (server, pc eccetera).