Ceramica IRIS: tra retorica e problema reale

Ceramica IRIS è produttrice di ceramiche nel distretto industriale di Modena e Reggio Emilia. L’azienda si occupa anche della produzione di piastrelle, marmi, graniti, pietre fabbricate ed in sostanza è in prima linea nel settore. L’azienda stata fondata da Romano Minozzi. Ha fatto scalpore la notizia di un attacco hacker che avrebbe bloccato i sistemi per 48 ore e di una richiesta di riscatto da capogiro: 950.000 euro. Ma forse non è il “solito” attacco.

Il solito ransomware? Non è detto

Inquadriamo il problema. Durante un’intervista, il CEO di IRIS Group Federica Minozzi, ha dichiarato:

Forse qualcuno dei nostri dipendenti ha aperto inavvertitamente una di queste mail e nel giro di poche ore tutta la rete si è praticamente spenta. Fortunatamente noi abbiamo una squadra di 18 tecnici informatici che hanno lavorato 48 ore giorno e notte per ripristinare il funzionamento del sistema in tutte le fabbriche”

Il caso della ceramica IRIS sembrava destinato a chiudersi lì per molti tecnici: classico ransomware con riscatto e mail infetta. Pregevole e necessario il lavoro dei tecnici impegnati nella “sanitizzazione” della rete e dei sistemi. Ci sono stati dibattiti sulla fragilità della rete, sulle ipotesi della rete a dominio Microsoft e tutto il resto ma il problema è un altro.

Mentre ero a colazione con un amico e collega, arriva la frase classica: la IRIS avrebbe anche potuto non denunciare. E invece no, hanno denunciato e hanno fatto bene perchè in effetti qualcosa di strano in questo attacco c’è. Un ransomware generico da 950.000 euro di riscatto io non l’ho mai visto e voi?

Normalmente il riscatto è di 200-300 euro ma 950.000 euro sono una cifra non indifferente e merita attenzione. La formula di pagamento, richiesta normalmente in criptovaluta, deve essere sostenibile da chiunque essendo il virus indirizzato su larga scala tramite posta elettronica.

Nel caso di IRIS Ceramiche sembrerebbe un attacco mirato: la somma non si sposerebbe, infatti, con la filosofia della diffusione su “larga scala”.

La valuta può fare la differenza…ma fino ad un certo punto

Giustamente alcuni hanno sostenuto che la cifra di 950.000 euro fosse derivata dal cambio criptovaluta/euro. Al momento della scrittura di questo articolo la situazione è la seguente

1 Bitcoin = 3.312,77 euro (valuta aggiornata al 02/01/2019 ore 02:17 UTC)

Di conseguenza 950.000 euro sarebbero 286,77 bitcoin. Non sono considerazioni di lana caprina perchè cercando un po’ su internet mi sono imbattuto in alcuni dei prezzi di riscatto più alti mai pagati e dal sito comparitech riporto quanto segue:

Febbraio 2016, Hollywood Presbyterian Medical Center pagato riscatto di 40 Bitcoins ($17,000 ). (Fonte: LA Times)

Marzo 2016, MedStar Health pagato riscatto di 45 Bitcoins ($19,000 ). (Fonte: Trend Micro)

Maggio 2016, University of Calgary pagato riscatto di $20,000 CDN ($16,129 USD). (Fonte: University of Calgary)

Fonte: Comparitech

Ovviamente i prezzi sono allineati al tempo degli attacchi ma in nessun caso si raggiunge una richiesta così alta come quella di Ceramica IRIS.

Ma chi?

Chiunque: esistono modelli di ransomware pre-fatti in cui è sufficiente cambiare il titolo ed il testo del riscatto. La personalizzazione è necessaria per inserire le proprie modalità di pagamento ma è fuori discussione che chiunque potrebbe fabbricarne uno in casa. Ci sono videotutorial, web-apps, guide testuali e tutto quante serve alla creazione.

Il problema è anche l’infrastruttura: non è possibile fare affidamento su infrastrutture di dominio che propagano la minaccia su cartelle di rete condivise senza gli adeguati criteri di sicurezza ma di questo abbiamo parlato molto.

Il caso IRIS Ceramica non è l’unico e sicuramente non lo sarà. Le ondate di ransomware che colpiscono i vari paesi di tutto il mondo sono diventate una costante nel tempo, resta solo da sperare che vi sia in futuro una maggiore consapevolezza da parte di tutti noi.