Ransomware: una parola che, fosse soltanto per il suono, tende a incuterci un po’ di timore.
Timore che, come testimoniano le migliaia di casi di attacchi compiuti in questi ultimi anni, è più che giustificato: il ransowmare, infatti, continua ancora a provocare moltissimi danni e, nonostante la maggiore informazione e le contromisure approntate, resta uno dei mezzi preferiti dal cybercrime per fare cassa e sottrarre dati e informazioni utili a imprese e professionisti. Il ransomware è stato protagonista di alcuni celebri attacchi su larga scala (Wannacry, Petya) ma, soprattutto, continua a colpire quotidianamente gli endpoint delle imprese di tutto il mondo. Attacchi che, inevitabilmente, hanno meno risonanza sui mass media, ma che sono senz’altro più redditizi per i cybercriminali.
Ma cos’è esattamente il ransomware? Come funziona? Com’è possibile difendersi o, perlomeno, limitarne il raggio d’azione?
Andiamo con ordine: il ransomware non è altro che una speciale variante della vasta famiglia dei malware, ovvero dei software informatici malevoli e dannosi creati per minacciare la sicurezza dei nostri dispositivi.
Il ransomware si distingue per la capacità di bloccare l’accesso a tutti o ad alcuni dei contenuti dei nostri endpoint (anche mobile), a cui poi segue la richiesta di un riscatto (in inglese, “ransom”) da pagare – generalmente in Bitcoin o in altre valute digitali, per averli nuovamente a nostra disposizione. Gli esperti di sicurezza, di norma, distinguono tra due grandi tipologie di ransomware: gli screen locker e i cryptolocker.
Nel primo caso, agli utenti viene semplicemente interdetto l’accesso allo schermo e ai diversi componenti di sistema, rendendone dunque impossibile la fruizione fino all’avvenuto pagamento del riscatto.
Diverso è invece il funzionamento dei cryptolocker che, come suggerisce il nome, si basano sulla crittografia: gli aggressori, infatti, utilizzano algoritmi di crittografia complessi per crittografare tutti i dati salvati sul dispositivo. Lo sblocco dei dati attraverso la fornitura delle chiavi crittografiche avviene soltanto dopo il pagamento del riscatto.
Un’eventualità, quest’ultima, che è poi tutt’altro che sicura: i cybercriminali sono criminali a tutti gli effetti, dunque non esiste nessun codice d’onore che assicuri il reintegro dei propri file dopo il pagamento.
Più che altro il cybercrime ha un interesse generale a salvaguardare il proprio modello di business sul ransomware: se si diffondesse troppo la voce dell’inutilità del pagamento del riscatto, probabilmente nessuna vittima pagherebbe più.
La possibilità invece di rivedere di nuovo i propri dati – magari evitando di interloquire con la polizia postale o persino con i propri superiori – convince invece una parte importante di malcapitati a cedere al ricatto.
Il problema, però, è che così facendo, si rischia di finire in una lista di “buoni pagatori”, rendendo così possibile subire in un secondo momento un nuovo attacco del ransomware. Ecco perché il consiglio numero uno, quando si è colpiti dal ransomware, è comunque quello di non cedere al ricatto, così anche per non alimentare l’economia del cybercrime.
Ma come si viene colpiti dai ransomware?
Molto spesso dietro c’è la tecnica del phishing, ovvero email verosimili ma in realtà compilate dagli hacker (ne avevamo parlato qui), che invitano allo scaricamento di un allegato in apparenza innocuo, ma che in realtà al suo interno nasconde il malware.
Non si tratta però dell’unica possibilità: è possibile rimanere infettati dal ransowmare anche via browser, cioè attraverso l’apertura di un sito web o da banner pubblicitari e persino da applicazioni, in particolare giochi, che possono essere offerti gratuitamente per invogliare gli utenti. In linea di massima, l’attacco del ransomware non avviene immediatamente: il ransomware resta silente in background anche per diversi giorni, sfruttando l’assenza di adeguate soluzioni di detection, fino all’attivazione del meccanismo di blocco dei dati o del sistema.
A quel punto, comprendere che si è stati infettati dal ransomware è, purtroppo, abbastanza semplice: le vittime vedono la comparsa di una finestra che si apre automaticamente sullo schermo, che informa dell’avvenuto attacco e contiene le istruzioni dettagliate per effettuare correttamente il pagamento del riscatto, solitamente in Bitcoin o attraverso altre criptovalute.
Il quadro è ulteriormente complicato dalla capacità del ransomware di propagarsi tra più dispositivi, sfruttando la condivisione di una medesima rete aziendale, le sincronizzazioni tra dispositivi, i sistemi di condivisione in cloud, nonché la rubrica dei contatti.
Il problema è che la creazione di tutto questo meccanismo è diventata sempre più semplice per i cybercriminali, tanto che secondo gli esperti ormai si può parlare di produzione industriale del ransomware.
Non è infatti necessario possedere competenze informatiche particolari per mettere a punto un attacco di questo tipo: è più che sufficiente acquistare uno dei tanti kit ransomware disponibili sul Dark Web, anche in modalità as a service, attrezzarsi per la distribuzione del malware su larga scala e dotarsi di un account Bitcoin (che può garantire l’anonimato) per ricevere i proventi del riscatto.
Ma quali sono i danni legati a un attacco ransomware?
Nel conto vanno messi dentro, naturalmente, i soldi spesi per il pagamento del riscatto o per il ripristino dei propri dati. Ma ci sono anche altre conseguenze estremamente costose per le aziende, a partire dai tempi di inattività dovuti alle infrastrutture compromesse.
Il ransomware porta con sé anche una perdita di produttività a causa dei tempi di inattività e agli sforzi di recupero successivi. Occorre considerare poi i danni legati alla gestione dei dati, che sempre di più rappresentano il vero patrimonio delle imprese.
Non meno importanti, specie in epoca di GDPR, sono i danni alla reputazione aziendale, che possono portare persino alla perdita di contratti e di clienti. A questo proposito va segnalato che una delle tendenze più attuali del ransomware è che i cybercriminali non solo bloccano la disponibilità dei dati, ma sempre più spesso minacciano di renderli visibili all’esterno, aumentando così la loro capacità estorsiva nei confronti delle vittime.
Appare chiaro che, dunque, occorre fare tutto il possibile per evitare la proliferazione del ransomware e, fortunatamente, è possibile mettere in atto delle azioni concrete.
Innanzitutto, dipendenti e collaboratori vanno istruiti e formati sulle migliori pratiche di sicurezza informatica: vale a dire l’utilizzo di password complesse, reti sicure e conoscenza delle dinamiche del Phishing, evitando dunque di cliccare dappertutto o di fare il download di qualsiasi allegato.
Applicazioni e software devono essere sempre scaricati dai marketplace ufficiali, diffidando dunque delle alternative gratuite o a basso costo.
Le organizzazioni, dal canto loro, devono installare su tutti i dispositivi degli antivirus con estensioni anti-malware, nonché mantenere costantemente aggiornati sistema operativo, software e applicazioni, riducendo così al minimo l'esposizione a vulnerabilità note.
Ovviamente, l’utilizzo di appositi programmi di detection può consentire di scoprire rapidamente i ransomware ed evitarne la propagazione in azienda. Per quest’ultimo punto può rivelarsi estremamente utile procedere a una rigida segmentazione della rete aziendale, che sbarri la strada al proliferare indisturbato del ransomware.
La strada principale per minimizzare le conseguenze del ransomware resta però quella del backup dei dati: riuscendo a conservare e salvare a cadenza regolare una copia dei dati contenuti nei dispositivi, si minimizzano le conseguenze di un attacco andato a buon fine.
I backup eseguiti a livello locale non sono però del tutto sufficienti a scongiurare il pericolo: la capacità di questo malware di diffondersi nella rete aziendale rende soggetti anche i dispositivi fisici per il backup, come i NAS, esposti alla minaccia.
Le alternative sono quelle di affidarsi a vero e proprio backup in cloud – che prevede il ripristino del sistema a un momento procedente all’attacco – oppure a una vera e propria separazione fisica (cioè offline) dei device predisposti per il backup.
