Il 2020 è stato l'anno in cui i cosiddetti "ransomware" sono diventati famosi anche tra il grande pubblico, che non si intende di sicurezza informatica. Attacchi ransomware contro aziende famose in tutto il mondo hanno infatti portato molta attenzione da parte dei madia nei confronti di questa categoria di malware: nomi come Canon, Enel, Garmin, Honda, tra quelli famosi anche in Italia, sono stati colpiti da questo tipo di virus.
Ma molto rumore, all'estero, ha fatto anche il ransomware Egregor quando ha colpito il gigante sudamericano della grande distribuzione Cencosud o l'azienda di trasporti che gestisce la metropolitana di Vancouver, TransLink.
Un comunicato stampa della Polizia Postale italiana di metà febbraio 2021, infine, conferma che anche nel nostro Paese sono stati sferrati nel 2020 sofisticati attacchi ransomware contro le infrastrutture sanitarie "allo scopo di cifrare e rendere perciò inservibili, dati sanitari necessari ai programmi di cura".
A settembre 2020, in Germania, ha fatto scalpore la notizia che un paziente è morto proprio durante un attaco ransomware contro l'ospedale di Düsseldorf, dove era ricoverato. Le successive indagini hanno però appurato che l'uomo sarebbe morto ugualmente.
Ma cosa sono i ransomware, esattamente, e perché sono considerati tra i malware più pericolosi?
Cosa sono i ransomware
Ransom, in inglese, vuol dire ricatto e da questa parola prende il nome questa categoria di virus informatici che, una volta entrati nel computer o nello smartphone della vittima, copiano tutti i dati e li inviano ad un server remoto controllato dagli hacker.
Subito dopo il ransomware cifra tutti i dati applicando un algoritmo di crittografia. Il risultato è che il dispositivo diventa inutilizzabile e gli hacker possono passare alla fase 2: il ricatto, appunto.
La minaccia è duplice: se la vittima non paga non potrà tornare in possesso dei suoi dati e, per di più, dati molto sensibili potrebbero essere venduti sul Dark Web o semplicemente pubblicati per danneggiare la vittima. Di solito la richiesta economica è in Bitcoin o altre criptovalute e, molto spesso, la trattativa avviene tramite un intermediario che "aiuta" le vittime a comprare le monete virtuali necessarie a pagare il riscatto, trattenendo una percentuale.
Nel caso di grandi aziende, quindi, il rischio è elevatissimo, come spesso è molto elevata (milioni di euro) la richiesta economica da parte degli hacker per decriptare i dati e non venderli o pubblicarli.
La questione cruciale, quindi, è semplice: pagare il riscatto oppure no?
Secondo gli analisti di McAfee, azienda specializzata in cybersicurezza, c'è una ragione se gli Stati Uniti hanno una politica ufficiale che non consente loro di negoziare con i terroristi. Lo scopo è quello di non incoraggiarli maggiormente nelle loro azioni e gli attacchi ransomware non sono da meno.
L'idea di fondo di questa politica è la stessa che sta alla base della legge 82/1991 che nel nostro Paese blocca i beni delle famiglie delle persone sequestrate dalla criminalità: una legge che ha funzionato, visto che i sequestri a scopo di estorsione sono ormai praticamente spariti in Italia.
Gli attacchi ransomware, d'altronde, sono un'attività molto redditizia per i cybercriminali. Secondo quanto stabilito dal rapporto sulla sicurezza internet pubblicato da Symantec, nel 2019 c'è stato un aumento di attacchi ransomware del 400% rispetto agli anni precedenti. Probabilmente, gran parte di questa crescita è dovuta proprio al numero di persone e aziende che alla fine hanno deciso di pagare il riscatto.
Cosa succede se si decide di pagare
Anche pagando il riscatto, non è detto che possiamo riavere tranquillamente indietro i nostri dati. Ci sono buone probabilità che, dopo aver elargito la somma richiesta, la chiave di decodifica inviata dagli hacker non funzioni. Inoltre, non è detto che esista veramente una chiave di decrittazione per quello specifico ransomware, in quanto questi virus sono ideati e creati per danneggiare file e computer e non per estorcere denaro. Non solo, i malintenzionati potrebbero sbloccare solo una piccola porzione dei dati dopo il primo pagamento e chiedere un'ulteriore cifra per recuperarli del tutto.
Se si decide di pagare lo si fa in buona fede, ma è giusto fidarsi di un ladro? Pagare non è la soluzione migliore, anche perché, dopo aver sborsato la somma c'è l'eventualità di essere "segnalati" ad altri cybercriminali come persone disposte a pagare e divenire così di nuovo delle potenziali vittime. Inoltre, la chiave di decrittazione inviata dopo aver pagato il riscatto potrebbe contenere dei trojan pronti ad infettare nuovamente il computer.
Cosa fare se si decide di non pagare
Si può decidere di non pagare per non contribuire ad alimentare questa forma di estorsione telematica, o peggio per non finanziare altre attività illegali, ulteriori attacchi informatici, nonché il terrorismo. Non si tratta solo di una questione morale, ma di una saggia decisione: i nostri dati valgono veramente così tanto? Conviene esporsi per rimanere poi vittime sottoposte ad altri potenziali attacchi? No, il gioco non vale sempre la candela.
Parallelamente all'industria del ransomware, inoltre, si è negli ultimi anni sviluppata anche l'industria dell'anti-ransomware: poiché gli algoritmi di crittografia usati dagli hacker sono ormai abbastanza noti, infatti, molte società di cybersicurezza hanno sviluppato dei tool in grado di decriptare almeno parte dei dati per conto della vittima.
La soluzione più saggia: prevenire gli attacchi ransomware
L'ideale è prevenire gli attacchi dotandosi di validi strumenti come antivirus e scanner per malware, nonché aggiornando continuamente il sistema operativo quando richiesto. Nel caso si venga infettati da un ransomware si può tranquillamente scegliere di non cedere al ricatto rivolgendosi a "No More Ransom", un progetto voluto dall'azienda McAfee e da una serie di organizzazioni europee che vanta partner aziendali e governativi.
Si tratta di un servizio gratuito progettato per aiutare gli utenti a recuperare i file presi in ostaggio dai malviventi digitali. Se si è fortunati, le chiavi di decrittazione offerte da No More Ransom potrebbero sbloccare definitivamente il vostro computer senza dover formatta il PC e perdere per sempre i vostri dati.
Per mettersi al riparo dall'ipotesi ransomware e da tutte le sue conseguenze, oggi, le aziende devono iniziare a fare dei veri e propri piani di prevenzione e di risposta agli attacchi. L'azione dei ransomware, infatti, non è fulminea: crittografare i dati richiede tempo e causa un forte uso della CPU e della RAM del computer infetto, quindi è possibile accorgersi in tempi brevi quando un ransomware è entrato in azione ed è possibile bloccarlo. Se si ha un piano.
Piano che deve iniziare con la formazione del personale, ai fini soprattutto della prevenzione visto che molti malware entrano in azienda tramite email di phishing. L'azienda, poi, deve avere una precisa gerarchia di privilegi affinché solo i computer dei dirigenti possano accedere a tutte le risorse aziendali. In questo modo un attacco ad un computer di un dipendente con bassi privilegi comporterà anche un basso rischio per il resto della rete aziendale. Rete aziendale che dovrebbe avere un'architettura a segmenti, in modo da poter isolare i segmenti infetti senza bloccare l'intera infrastruttura dell'azienda.
La sicurezza, inoltre, passa da continui e costanti aggiornamenti di tutti i computer della rete, con l'istallazione delle ultime patch disponibili per chiudere le tante vulnerabilità "zero day" (cioè non previste in fase di scrittura del codice) dei sistemi operativi e dei software usati in azienda.
Fondamentale, poi, una più che robusta (e più che ridondante) strategia di backup in modo da poter avere sempre almeno una copia "pulita" dei dati anche se il ransomware è già entrato in azione.
Sei sicuro di proteggere davvero i tuoi dati e i tuoi dispositivi connessi online? Scarica il nostro ebook gratuito per conoscere i trucchi e i consigli per aumentare la tua sicurezza in rete.