Uno degli attacchi informatici più famigerati al giorno d’oggi è costituito dal RANSOMWARE

Il Ransomware è una forma di malware (MALicious softWARE) il cui obiettivo è chiedere un riscatto (RANSOM in inglese). 

Questo tipo di attacco informatico all’inizio veniva utilizzato per attaccare i dispositivi mobili, in quel caso l’obiettivo erano gli utenti ed i loro dati. Quello che succedeva era che all’utente infettato (di solito tramite app malevola) veniva mostrata una schermata che non era possibile bypassare in cui veniva chiesto un riscatto (in Bitcoin) per riavere accesso al dispositivo. Questo tipo di malware prende nome di Locker e può essere considerato l’embrione del ransomware. 

In un secondo momento gli attaccanti hanno cominciato a cifrare i dati presenti sul dispositivo (i produttori di sistemi operativi avevano trovato contromisure per i Locker) in modo da rendere inaccessibili i dati. Spesso la richiesta di riscatto veniva accompagnata da un messaggio di minaccia del tipo: paga entro questa data altrimenti i tuoi dati vengono pubblicati su Internet. 

Spesso anche dopo il pagamento i dati non erano comunque più accessibili per gli utenti. 

Un’ulteriore evoluzione di questo attacco c’è stata nel momento in cui gli obiettivi non sono più stati gli utenti finali ma le aziende. In questo caso gli attaccanti sfruttano diverse leve “universali” nel senso che valgono un po’ per tutte le aziende: 

  • Il danno d’immagine che subisce un’azienda nel momento in cui si viene a sapere che è stata vittima di un attacco
  • La necessità di garantire business continuity non restare bloccati per diversi giorni per via di un attacco informatico perché il danno economico sarebbe troppo alto
  • La necessità di mantenere segrete informazioni, come ad esempio dati finanziari   

Ci sono poi alcuni settori in cui un attacco di questo tipo provoca un danno maggiore, pensiamo ad esempio le strutture sanitarie, dove restare bloccati per via di un attacco informatico, anche per un minuto, può significare una perdita di vite umane. 

Purtroppo proprio le strutture sanitarie sono state attaccate diverse volte da questo tipo di malware, perché i dati sanitari non sono alterabili, il che vuol dire che una volta che è stata pubblicata un’analisi piuttosto che una radiografia non c’è modo di cambiare quell’informazione, stessa cosa non si può dire di un altro tipo di dato. Inoltre diversi dispositivi medici vengono connessi alla rete senza le dovute accortezze di sicurezza, con il risultato di ampliare la superficie d’attacco.  

 

Cosa fare in caso di attacco ransomware?

  1. Mantieni la calma e NON pagare il riscatto
  2. Contatta le autorità o aziende di sicurezza per vedere se è già disponibile il software che permette di decifrare i dati, in questa fase può essere interessante capire anche come questo attacco sia potuto avvenire
  3. Ripristina il sistema utilizzando i backup e applicando tutte le ultime patch di sicurezza
  4. Nel caso in cui tu non abbia un backup o il backup non sia aggiornato, allora è un problema. 

I motivi per cui non bisogna mai pagare il riscatto sono: 

  1. Non sai se una volta pagato il riscatto la chiave per decifrare i dati è quella corretta
  2. Non sai se i dati sono stati alterati
  3. Non sai se è stata inserita qualche vulnerabilità nascosta che potrebbe riattivarsi dopo qualche tempo 
  4. Non sai se i dati che ti tornano indietro sono effettivamente quelli originali o meno
  5. Pagare in questi casi serve solo a foraggiare la criminalità informatica con tutte le conseguenze del caso 

Come ci si protegge quindi da un attacco di questo tipo:

  1. Formazione dei dipendenti
  2. Conoscenza della rete e dei dispositivi connessi
  3. Aggiornamento di tutti i dispositivi e restare aggiornati sulle ultime vulnerabilità
  4. Mantenere un sistema di backup attivo, per gli ambienti più critici la cosa migliore è avere almeno 2 backup fatti in modo diverso ed in posizioni geografiche diverse