Wanna Cry e la paralisi di uno studio legale

Messa in sicurezza dei dati e prevenzione di nuove vulnerabilità,

come evitare che un’intrusione comprometta tutto il lavoro di decenni

Case Study di un ransomware WannaCry in uno Studio Legale

Per motivi di privacy e di sicurezza non verrà pubblicato il nome del cliente.
Chi e cosa fa il cliente: studio legale con sedi in tutta la Sardegna, decine di collaboratori, tra avvocati e dipendenti, molteplici i settori del diritto nei quali operano, con clienti in tutta la nazione.

Cosa è successo?

Problema

Il cliente ci ha contattato dopo che i suoi server aziendali Windows avevano subito un’intrusione e relativa criptatura di tutti i dati presenti sugli hard disk ma anche su tutti i supporti di backup collegati al server, e tutte le cartelle condivise presenti sui singoli computer connessi al server. Il tipico caso di “Wanna Cry” con richiesta di riscatto in bitcoin.
Una situazione molto grave che ha portato non solo al blocco totale dell’operatività dello studio, di tutti gli avvocati e di tutti i dipendenti, ma anche al concreto rischio di perdere tutto lo storico dei procedimenti chiusi e ancora in corso degli ultimi 10 anni.

Analisi

Per prima cosa abbiamo verificato il tipo di “ceppo” del malware ovvero la versione e confrontandola con le notizie tecniche abbiamo capito di essere davanti ad una variante debole e bypassabile grazie all’uso di alcuni decodificatori sviluppati.

Decriptazione

La decriptazione dei file ha funzionato, ma purtoppo i file del database Oracle XE in uso sui sistemi erano stati profondamente danneggiati dall’attacco e risultavano quindi corrotti, idem le loro copie di backup. La situazione era quindi ancora in stallo.

Ripristino

Grazie all’ausilio di stumenti di recupero dati e alcuni strumenti forniti da Oracle e conosciuti dai nostri tecnici siamo stati in grado di ripristinare tutti i database e ripristinare la funzionalità dei sistemi informatici, due giorni di intenso e frenetico lavoro.

Consulenza e progettazione

La fase successiva che ha seguito è stata quella della progettazione e della creazione di un nuovo sistema in grado di prevenire questo tipo di situazioni con anticipo e che potesse comunque disporre sempre di una copia di sicurezza protetta e funzionante.
In fase di consulenza ci siamo resi conto che sarebbe servito creare una soluzione scalabile, versatile e che fosse il più possibile indipendente dalla configurazione del server presente in studio, abbiamo optato per la creazione di un ambiente virtuale, in grado di espandersi quando necessario, di essere facilmente migrato su nuovi server in caso di guasti e che potesse offrire un alto livello di ridondanza in caso di guasti.

Strumenti

Per la virtualizzazione ci siamo affidati al collaudato proxmox e a linux debian 8, abbinamento in grado di creare performanti “cluster” di server che operano congiuntamente, la prima macchina creata è stata quella dove girano i software, un Windows 2012 che è stato reinstallato da zero e sul quale sono stati importati i software e i dati precedentemente recuperati, a seguire abbiamo creato un server separato per il database Oracle XE, questa separazione tra file e database non solo ha reso la configurazione più sicura ma anche più performante.
Per poter gestire gli accessi dei dipendenti alle risorse del server abbiamo aggiunto alla struttura un server di autenticazione per i servizi di desktop remoto e condivisione file, con questo abbiamo separato anche la gestione degli utenti dal server stesso.

Backup e sicurezza

Il sistema è stato poi dotato di un sistema di backup off-site, in grado di effettuare backup ma senza permettere l’accesso ai dati sullo storage di backup dal server stesso, quindi anche in caso di criptatura l’unitù di backup non sarebbe stata intaccata.
Anche un firewall e delle regole specifiche di hardering sono state applicate al sistema operativo e ai gruppi di lavoro, fornendo protezione extra, regole certe per gli accessi alle risorse e soprattutto la possibilità di monitore le attività e le risorse utilizzate da ogni singono dipendente. Come misura aggiuntiva e possibile grazie all’uso della virtualizzazione abbiamo creato un sistema di snapshot dell’intera infrastruttura su uno storage nas dedicato, misura in grado di ripristinare l’intera operatività in pochi minuti anche su server nuovi in caso di guasto hardware totale.

RISOLTO!

Problema

Dopo l’intrusione il cliente ha voluto rivedere completamente anche il suo servizio di posta elettronica.

Strumenti

Per il sistema di posta elettronica, ci siamo nuovamente affidati a linux con i servizi di POP3, SMTP e IMAP oltre che di webmail per tutti i dipendenti, le regole spf e le impostazioni antispam che abbiamo adottato si sono dimostrate vincenti con una riduzione dello spam ricevuto di oltre il 70% a detta del cliente e tutte le email inviate sono state in grado di raggiungere i destinatari.

Backup e sicurezza

Posta elettronica, sicura, veloce e che evitasse lo spam in entrata ma anche se fosse sempre recapitata ai destinatari senza mai o quasi essere percepita come spam dai sistemi automatici.
Il sistema di posta inoltre dispone di un certificato SSL per la protezione della pagine della webmail e di tutte le comunicazioni da client e server mail. Anche il sistema di posta è stato aggiunto nelle politiche di backup, garantendone la continuità.