Foto: Anja Schori

«Da noi la stampante multifunzione carica le scansioni in una cartella accessibile a tutti sul server file. Il 3 giugno un collaboratore vi ha trovato un file strano, con estensione .crypt1. Erano appena passate le 9, quando è venuto da me in ufficio. Sono responsabile informatico della ditta e benché non sapessi ancora nulla con precisione mi è venuto un brivido lungo la schiena.

Ho contattato immediatamente la nostra ditta di supporto IT, la BlueStone Consulting Group, che ci è stata di grandissimo aiuto in quelle ore. Il team si è collegato a noi e ha scoperto che eravamo stati colpiti da un criptovirus: così ha subito scollegato il server file dalla nostra rete interna. Poi abbiamo spento anche tutte e 70 le postazioni di lavoro. Oggi sappiamo che l’infestazione dovrebbe essere iniziata alle 8.50. Il malware ha avuto 40 minuti di tempo per diffondersi e criptare dati, prima che riuscissimo a bloccarlo alle 9.30.

L’analisi effettuata subito dopo ha mostrato che il virus era partito da una postazione di lavoro. Da lì, chi ha commesso l’attacco aveva lasciato anche le istruzioni per la procedura successiva. Abbiamo spostato i dati contaminati in un altro luogo per analizzarli successivamente, e ricopiato circa 80 giga di dati dal server di backup sul server file.

«Continuo a sentirmi sotto attacco. Ci si sente come vittime di un’effrazione.»

Ralph Häni, amministratore e contitolare di Häni & Co. AG, Arch BE
Settore commerciale: lavorazione dei metalli. Collaboratori: 116

Alle 15.30 tutti i nostri dipendenti erano nuovamente al lavoro. Per sei ore l’azienda è rimasta online soltanto in modo limitato e ci tengo a sottolineare soltanto sei ore, perché so che dopo attacchi di questo tipo alcune ditte sono rimaste paralizzate per giorni.

In momenti come questi, la cosa peggiore è l’impotenza. Si è lì ma non si può fare nulla. E devo ammettere che continuo a sentirmi sotto attacco. Ci si sente come vittime di un’effrazione e si perde la naturalezza nell’uso di software, dati e di tutta la comunicazione tramite Internet.

Ancora oggi sono molto cauto quando navigo e ci vorrà ancora un bel po’ prima di ritrovare la mia sicurezza di un tempo. Con questo attacco per me è stato chiaro quanto sia importante un partner IT competente.»

«Ho ritirato la denuncia penale che avevo sporto contro ignoti. Il danno ormai era stato risolto. Tutta la faccenda ci è costata circa 100 000 franchi.»

Matthias Müller, cofondatore e contitolare di PerfectHair.ch, Wallisellen
Settore commerciale: vendita online di prodotti professionali per capelli e cosmetici. Collaboratori: 70

«Era una domenica sera. Ero in visita dai miei genitori, eravamo a tavola, quando mi è arrivato un allarme per SMS. Il nostro server web era ‹down›. Effettivamente dal sito perfecthair.ch si vedeva soltanto una schermata bianca.

Ho chiamato il mio socio e coamministratore Diego Sagarra. Come primo passaggio abbiamo deciso di spegnere e riaccendere il server. Non ha funzionato e alla fine sono stato tutta la notte davanti al mio computer.

Il mattino dopo, verso le 9, ho scoperto che eravamo stati vittime di un attacco Distributed Denial of Service (DDoS). Google Analytics mi disse che nel frattempo il nostro server era stato bombardato da più di un migliaio di visualizzazioni al secondo sulla pagina. Nel corso della giornata si sono fatti vivi i colpevoli: hanno richiesto 5000 franchi in bitcoin.

Abbiamo rifiutato il pagamento ed è iniziato un tira e molla durato diversi mesi. A volte i nostri clienti avevano accesso, a volte l’accesso era limitato e altre ancora proprio non si accedeva.

In quel periodo la pressione su di noi era veramente schiacciante. Io ero il responsabile dei servizi informatici. 70 collaboratori si aspettavano da me delle soluzioni e contemporaneamente il nostro provider mi stava addosso. Gli attacchi nei nostri confronti intasavano infatti anche le sue linee e iniziava ad avere problemi con altri clienti. In questa situazione abbiamo dovuto trovare delle soluzioni a livello tecnico. Alla fine abbiamo optato per un cosiddetto ‹DDoS washing›. Da allora gestiamo tutto il traffico del sito perfecthair.ch tramite un protection cluster che riconosce richieste sospette e le blocca. Non siamo più stati attaccati. Fino a oggi non c’è traccia dei colpevoli. Penso che i committenti siano persone del settore, che volevano portare al fallimento la nostra attività.

Ho ritirato la denuncia penale che avevamo sporto contro ignoti. Mi sembrava impossibile trovare i colpevoli e il danno era già stato risolto. Tutta la faccenda ci è costata circa 100 000 franchi.»