Attacco DDoS a scopo di estorsione nei confronti di ProtonMail

La scorsa settimana, il servizio di posta elettronica cifrato ProtonMail è risultato sottoposto ad un attacco DDoS, che si è rapidamente trasformato in un’operazione su vasta scala condotta contro la sua infrastruttura di supporto. Il giorno prima dell’attacco, questi protettori della privacy avevano ricevuto un messaggio e-mail contenente una richiesta di riscatto pari a 15 bitcoin. La somma era stata pagata, anche per le continue pressioni ricevute da parte di tutte le vittime, ma questo non aveva sortito alcun effetto.

Il servizio di posta ProtonMail è stato ufficialmente inaugurato nel mese di maggio 2014. Esso è nato dalla collaborazione tra il CERN di Ginevra e il Massachusetts Institute of Technology (MIT). Lo scopo principale che si prefigge ProtonMail è quello di evitare la sorveglianza di massa; tale servizio web si avvale della crittografia end-to-end e conta, attualmente, circa 500.000 abbonati. Poiché ProtonMail è registrato in Svizzera ed utilizza un servizio di web hosting locale, tutte le informazioni relative agli utenti risultano salvaguardate dalle leggi federali svizzere in materia di protezione dei dati.

Secondo i partecipanti al progetto, l’attacco DDoS diretto al servizio di posta elettronica in questione – in grado di garantire la privacy degli utenti – ha avuto inizio nella notte del 3 novembre scorso, quasi subito dopo la ricezione del messaggio e-mail con la richiesta di pagamento del riscatto in bitcoin. Si è trattato, nella circostanza, di un attacco standard di tipo flood, rivolto agli indirizzi IP di ProtonMail, che per circa 15 minuti ha posto offline il servizio di posta. Si presuppone che il promotore dell’attacco DDoS sia stato un gruppo cybercriminale resosi responsabile di tutta una serie di incidenti analoghi, che si sono verificati di recente in territorio svizzero.

Il successivo attacco DDoS nei confronti di ProtonMail è stato sferrato nel corso del mattino seguente; i proprietari del data center che ospita i server utilizzati nell’ambito del servizio e-mail protetto, così come lo stesso provider upstream, si sono visti costretti ad introdurre misure restrittive. Tuttavia, soltanto poche ore dopo, il nuovo attacco si è trasformato in un’offensiva complessa e sofisticata su tutti i fronti, al punto da interessare direttamente sia altri client del data center, sia le stesse infrastrutture dei provider Internet.

Secondo gli operatori del servizio ProtonMail, tale incidente DDoS, in ragione della sua vastità, e della potenza in esso dispiegata, ha stabilito un vero e proprio record per la Svizzera. La potenza degli attacchi coordinati condotti dai malfattori ha superato i 100 Gbit/sec. Il traffico “spazzatura” ha coinvolto tutti i nodi chiave, compreso i router del provider situati a Zurigo, Francoforte e in altre città. Di conseguenza, il data center ed i servizi Internet abitualmente utilizzati da ProtonMail sono divenuti inaccessibili per centinaia di altri client. I danni economici provocati dall’attacco DDoS in causa possono essere stimati nell’ordine di centinaia di migliaia di franchi svizzeri.

Cedendo alle pressioni ricevute da parte di numerose vittime dell’assalto informatico, ProtonMail ha accettato di pagare il riscatto; gli attacchi, tuttavia, non si sono interrotti. Così, attraverso i post pubblicati sulle pagine di un blog allestito con grande urgenza, i responsabili del progetto hanno fermamente dichiarato che ProtonMail non avrebbe mai più ceduto alle richieste avanzate dai cybercriminali estorsori.

È attualmente in corso, in Svizzera, un’apposita indagine condotta congiuntamente dal Centro governativo per la risposta alle emergenze informatiche (GovCERT) e dal Servizio nazionale di coordinamento della lotta nei confronti del cybercrimine (Cybercrime Coordination Unit Switzerland, CYCO), con il sostegno di Europol.

Non è escluso che abbiano preso parte al potente e vasto attacco DDoS qui sopra descritto due distinti gruppi di malfattori. Secondo quanto riferiscono i commenti pubblicati in risposta ai messaggi postati su Twitter da ProtonMail, riguardo alla specifica situazione venutasi a creare, pare siano stati condotti attacchi analoghi anche nei confronti di Safe-Mail.net e HushMail.com, mentre la scorsa domenica gli autori degli attacchi DDoS hanno preso di mira Fastmail.

Nello stesso giorno, gli operatori di ProtonMail hanno annunciato che le misure intraprese nei confronti degli attacker avevano prodotto risultati positivi, permettendo di sconfiggere gli aggressori. Secondo una precedente dichiarazione, il sistema di cifratura end-to-end adottato dal servizio ProtonMail risulta sicuro ed affidabile così come in precedenza; inoltre, nel corso degli attacchi, i dati relativi agli utenti non sono stati in alcun modo compromessi. Il servizio di posta elettronica prevede di effettuare un upgrade, ed ha deciso di implementare una solida protezione contro gli attacchi DDoS. Secondo una stima preliminare, il costo relativo alla realizzazione di tale sistema di protezione, piuttosto oneroso, dovrebbe aggirarsi sui 100.000 dollari all’anno; per tale motivo, gli operatori del servizio di posta elettronica protetta ProtonMail hanno istituito un fondo speciale per le donazioni volontarie; alla data di ieri, l’importo da essi raccolto ammontava già a circa 47.000 dollari.

Fonte: ProtonMail

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *