In questo secondo approfondimento delle nostre Pillole di Cyber Security, vi parleremo di un argomento che in questi ultimi anni si è ciclicamente riproposto come “tema caldo” in ambito informatico e, ancora oggi, è uno dei motivi per alzare ulteriormente la guardia in materia di sicurezza informatica: il ransomware.

Riferendosi agli effetti principali del suo operato sul bersaglio, questo virus informatico è stato battezzato con la diabolica progenie dei due termini inglesi “ransom”, che significa riscatto, e “malware” che , come noto, indica un software malevolo.

La traduzione italiana più letterale della anglofona crasi è “Software malevolo che chiede un riscatto”. Un fenomeno che, come si può vedere da questo grafico redatto da Kaspersky, colpisce in media 1 milione di utenti ogni anno, con un'incidenza di circa il 3% su tutte le minacce informatiche

• L’ATTIVITÀ CRIMINALE TRAMITE RANSOMWARE
• LA MIGLIOR DIFESA È… LA DIFESA
• PER TE, PER ME O PER TUTTI. PAGO O NON PAGO?
• PERCHÉ È COSÌ PERICOLOSO?
• CONCLUSIONI E ATTIVITÀ OPPORTUNE

Più chiaramente di altri, questo virus ci mostra i danni raggiungibili attraverso un uso criminale e spregiudicato di una tecnologia potente come la crittografia digitale, che, invece, può servire a garantire diritti (come quello della riservatezza ad esempio) e a proteggere e difendere dati e comunicazioni.

Il concetto di crittografia deve essere brevemente esplicitato, se pur in un modo un po’ atecnico, in quanto componente essenziale di un ransomware vero e proprio.

La crittografia (o cifratura) nasce come sistema per nascondere informazioni da occhi indiscreti o non autorizzati. Può essere applicata sia ai dati/informazioni in transito in una comunicazione tra un mittente e un destinatario, sia a dati “a riposo” che hanno bisogno di essere conservati in modo che siano fruibili solo dal detentore della “chiave di decifratura”.

Il modo migliore per intendere la crittografia nel mondo digitale è quella di paragonarla, nel mondo “analogico”, ad una cassaforte pressoché inespugnabile se non con la chiave del legittimo proprietario. le informazioni a cui è applicata diventano illeggibili, infungibili e – di fatto – inutili per chiunque non abbia “la chiave” per accedervi.

Naturalmente si tratta di una semplificata descrizione per quelle che sono complesse operazioni matematiche sui dati per cui è necessaria una grande potenza di calcolo come quella di un computer.

Ebbene, il ransomware, proprio sfruttando questa potenza di calcolo, agendo molto rapidamente, e utilizzando questa tecnologia appena descritta, infetta il sistema della vittima e applica una cifratura a tutti i dati che riesce a raggiungere rendendoli indisponibili per l’utente. Ma non si limita a questo. La sua peculiarità è infierire e, oltre al danno già evidente, richiede un riscatto. Tipicamente il riscatto viene richiesto tramite pagamento su sistemi che hanno un alto grado di anonimato per cui non risulta possibile rintracciare i destinatari.

Ora che si intuiscono i possibili effetti spiacevoli del ransomware, conviene analizzare la minaccia per sapere come meglio difendersi e perché sia opportuno farlo.

In ossequio al vecchio detto “prevenire è meglio che curare” si rileva come il danno più facile a cui porre rimedio è quello che non si è ancora verificato. Per cercare di non incappare in questa “piaga digitale” è opportuno conoscere quali sono le migliori pratiche per difendersi dai criminali informatici che cercano di veicolare questo software.

Prima dell’uso - Nessun sistema è sicuro al 100%. Questo “mantra” in abito informatico deve essere da stimolo e non motivo di rassegnazione per ogni utente che utilizza strumenti informatici. La preventiva adozione di misure tecniche e organizzative per la protezione dei propri sistemi può spesso fare la differenza.

Per evitare che il ransomware raggiunga i dispositivi è opportuno adottare alcune misure tecniche come le seguenti:

• Sistemi anti-malware con moduli dedicati anti-ransomware.
• Firewall ad alte prestazioni con IPS e sistemi di machine learning contro il ransomware.
• Strutturare backup che non siano costantemente online o sulla stessa rete o a bordo della macchina che si intende proteggere.
  

Ancora prima di queste misure che, apparentemente, possono sembrare lontane dall’applicazione per un utente medio, ci sono attività ancor più alla portata di tutti che riducono il rischio di infezione:

• Fare attenzione agli allegati veicolati tramite e-mail (repetita iuvant)
• Verificare che “le macro” siano disabilitate nelle applicazioni di Microsoft Office come Word e Excel.
• Aggiornare i sistemi operativi, i dispositivi mobili e i Modem, i Router e gli Access Point delle reti
• Non usare chiavette di dubbia provenienza o uso promiscuo e, nel caso si dovesse, mai prima di averle sottoposte a scansione di un adeguato antivirus.

Durante l’uso - Una volta adottati i meccanismi preliminari di protezione si deve comunque mantenere un grado di attenzione adeguato alle potenzialità dello strumento che si sta utilizzando. Come non si guida bendati, come non si corre con le forbici in mano, così non si usa uno strumento informatico connesso a una rete mondiale con la stessa leggerezza con cui si maneggia una pallina da tennis.

Dopo un’eventuale violazione - Nel caso le difese erette a difesa dei sistemi informatici, per qualsivoglia motivo, non siano state sufficienti a proteggerci dall’attacco che è riuscito nel suo intento si deve, in primo luogo, fare affidamento sulle attività svolte nell’ipotesi che questa possibilità si concretizzasse. In ogni caso, infatti, è meglio essere pronti a reagire a ciò che può comunque succedere.

La copia dei dati presente del backup – cloud o locale – deve essere

• abbastanza recente;
• non intaccata dall’attività del software dannoso;
• agevole da ripristinare.
  

In mancanza di questa misura primaria alcuni produttori di software hanno fatto passi avanti nella lotta contro il ransomware realizzando alcuni Decryptor che servono a ripristinare lo stato originale dei dati sottoposti a cifratura indesiderata da parte di alcuni noti ransomware.

Come abbiamo visto per l’attività di Phishing, così il ransomware è utilizzato in modo massivo dai criminali cercando di massimizzare l’effetto infettando più macchine possibili.

Tuttavia, in alcuni casi il ransomware – o il suo “fratellino” il Cryptovirus (o Cryptolocker) che a differenza dell’esoso parente si “limita” a cifrare tutto ciò che riesce a raggiungere senza chiedere poi il riscatto – viene utilizzato come vera e propria arma digitale per causare danni mirati a certi soggetti bersagli di attacchi specifici.

La “doppia spada di Damocle” utilizzata dai Cyber criminali si concretizza non solo con la richiesta del riscatto ma anche con la minaccia di rendere pubblici i dati eventualmente sottratti a seguito dell’attacco. Questo, specie in ambito aziendale, spinge a prendere in considerazione la possibilità di pagare nella speranza di evitare, oltre a danni reputazionali, danni economici derivanti dal vedere esposte informazioni online in paragone rispetto a quelli sicuramente derivanti dal pagamento della somma richiesta.
In realtà la vittima di questi attacchi rimane vittima in ogni caso.

Come correttamente rilevato dagli esperti di Kaspersky è importante tenere a mente che in un contesto come quello del ransomware è possibile che si configurino più reati come quello di estorsione (629c.p.), accesso abusivo al sistema informatico (615c.p.) oppure danneggiamento (635 bis c.p.). Opportuno quindi rivolgersi alle forze dell'ordine e sporgere querela.

Oltre agli effetti che variano come gravità dal livello “fastidioso” al “devastante” fino al “mortale” – come si vedrà – l’evoluzione di questi software combinata alla vulnerabilità, più o meno estesa, di certi sistemi li rende particolarmente efficienti nello sfuggire ad una rilevazione standard.

A fronte di nuove vulnerabilità dei sistemi, scoperte quasi quotidianamente, non corrisponde, spesso, una altrettanto rapida ed efficiente messa in sicurezza degli stessi da parte dei proprietari dei sistemi informatici o dei fornitori dei software stessi. In queste finestre temporali – spesso anche molto brevi – si può inserire più facilmente la micidiale attività del ransomware.

Rischi e possibili conseguenze, il ransomware che uccide - Alcuni ransomware hanno raggiunto una notorietà paragonabile a quella di alcune rockstar o poco ci manca. Per citarne alcuni: WannaCry, Cerber, Petya e NotPetya.

Generalmente questa notorietà si raggiunge in relazione alla dimensione o al numero delle vittime coinvolte, in altri casi per la difficoltà dei software anti-malware di rilevarli e osteggiarli ma talvolta anche per gli effetti tragici che – direttamente o indirettamente – hanno raggiunto.

Kaspersky ha realizzato diversi contenuti con interessanti dati statistici che evidenziano l’attività dei più famosi ransomware degli ultimi anni. E che dimostrano la portata davvero estesa di questo fenomeno, soprattutto in ambito aziendale. Grandi player come LG, Southwire e Pensacola sono state vittime di attacchi con conseguenze più o meno gravi sulla loro attività. Stesso dicasi per altre realtà come Enel, Campari, Garmin. Solo nel 2019, riporta Kaspersky nel suo IT Security Economics, i ransomware hanno causato perdite economiche per 1,46 milioni di dollari.

Ma la notizia, legata a questi temi, che più ha colpito in questo periodo “pandemico” è quella di pochi mesi fa, proveniente dalla Germania, dove - durante un attacco ai danni di una struttura sanitaria - la paziente, destinata all'ospedale di Düsseldorf, è stata trasferita ed è deceduta per il ritardo delle cure.

I fatti di Dusseldorf non sono isolati. Gli attacchi ransomware verso enti e società impegnate nella lotta al Coronavirus sono sempre più frequenti e hanno indotto Interpol a rilasciare uno statement nel quale si raccomanda a tutte le istituzioni sanitarie di innalzare il proprio livello di allerta.

Come appare evidente da quanto descritto, l’attività del ransomware causa conseguenze spiacevoli, dirette o indirette che siano.

Per sintetizzare, estrapolando da un intervento sulla sicurezza informatica dei siti internet (già del novembre 2018) del Prof. De Nicola della Scuola Imt, Alti studi di Lucca, si può proprio dire che “Non è più tempo di improvvisare”.

Investire nella sicurezza informatica, che passa in primo luogo dalla consapevolezza e dalla formazione, è importante sia per l’utente singolo sia per le grandi realtà strutturate che trattano grandi moli di dati, spesso anche critici, siano esse banche, ospedali o Pubbliche Amministrazioni.

Ulteriori utili interessanti approfondimenti in tema ransomware si possono trovare sulle seguenti pagine di Kaspersky:

• Ransomware: nuovi attacchi mirati e come proteggersi
• Ransomware: tutto il 2019 in cifre
• Il VIDEO che racconta la storia di WannaCry e la prima soluzione al problema
• XMRig: il cryptominer che diventa malevolo

Contenuto realizzato in collaborazione con Kaspersky
Foto credits: Vladimer Shioshvili @Flickr