Prende possesso del computer, lo blocca criptandone tutto il contenuto e ti chiede un riscatto per “liberare” i tuoi dati. Si chiama Ransomware, l’incubo di aziende o privati cittadini, ed è la più recente e imprevedibile minaccia a cui bisogna fare davvero attenzione.
Secondo le più recenti ricerche i ransomware sono cresciuti del 172% rispetto al 2015 causando un danno economico di circa 3 miliardi di dollari. Inoltre sono state rilevate oltre 500 vulnerabilità totali in prodotti diversi.
Come funziona un ransomware ?
Nati principalmente anni or sono come pura minaccia psicologica (una fastidiosa finestra che richiedeva fantomatici riscatti) oggi il ransomware si è evoluto in diverse forme. Alla base resta sempre una infezione che fa leva su aspetti di social engineering (una bolletta fantomatica, una etichetta da scaricare, una qualsiasi situazione che richieda un clic da parte dell’ignaro utente).
Una volta scaricato il malware, viene effettuato uno scambio di chiavi di cifratura tra il nostro dispositivo e un server di comando. Questo scambio avviene attraverso canali non standard (reti tor). Nel momento in cui le chiavi sono state scambiate inizia una procedura di cifratura del dato. Dopo poche ore il contenuto di tutto il computer o parte di esso risulta cifrato. A questo punto scatta il ricatto.
I Danni
Il danno per un privato è notevole. Anni di fotografie, documenti personali, magari password o altri dati più o meno sensibili. E’ il momento in cui ci si ricorda di non avere mai fatto il backup, oppure di averlo fatto l’anno precedente. Il riscatto è generalmente un importo modesto e la vittima dell’attacco “paga” per poter riavere la chiave che riporta in vita i preziosi ricordi.
E in una azienda ? Solitamente le aziende possiedono sistemi di backup centralizzati completi e affidabili quindi il danno economico per le aziende è principalmente legato ai tempi di downtime derivanti dall’attacco che sono decisamente più onerosi. Purtroppo però il ransomware sta interessando soprattutto le piccole imprese, poiché vi è meno formazione agli utenti sui rischi e meno investimenti sui sistemi di backup. Ed è per questo motivo che nelle PMI si registrano più vittime che non nelle grandi aziende.
Perché gli attacchi ransomware raggiungono i loro obiettivi con successo?
I fattori sono molteplici, i più evidenti sono tecniche di attacco sofisticate e in continua evoluzione, buchi alla sicurezza delle aziende colpite e mancanza di tecnologia preventiva. Ma soprattutto il sistema “funziona”; se paghi, ti viene ridata la chiave e così il “gioco” continua. Nell’Europa dell’est questi giochi sono vere e proprie imprese con personale che lavora quotidianamente a gestire riscossioni, chiavi, addirittura c’è chi ha servizi di “supporto agli utenti” per consentire il recupero dei file.
Vengono poi distribuiti KIT casalinghi per costruire il proprio ransomware o, cosa ancora più evoluta: il ransomware a servizio; pagando una piccola quota si può approfittare delle “disgrazie altrui” e monetizzare.
L’importanza di non fidarsi
L’ultima frontiera è l’infezione di programmi considerati attendibili. Non troppo tempo fa un noto strumento di amministrazione remota è stato infettato a seguito di una intrusione. Migliaia di utenti scaricavano il programma, convinti della bontà dello stesso, in realtà si stavano mettendo in casa il malware.
Come ci si può proteggere?
Il ransomware come abbiamo detto necessita di approcci differenti, perché è uno dei primi malware multifattore (coinvolge la sfera umana, sfrutta vulnerabilità di sistema, canali di rete non convenzionali e utilizza la cifratura).
Antivirus convenzionali possono individuare l’infezione nel momento in cui parte, ma non possono essere predittivi sul comportamento dell’utente; altri prodotti debellano l’infezione ma lasciano i dati cifrati. Nuove soluzioni tecnologiche stanno arrivando sul mercato per fronteggiare il problema. Anche gli approcci “tradizionali” stanno cercando di adeguarsi nel tentativo di proteggerci ma il problema non è semplice e spesso si deve lavorare con un approccio multi-livello (policy, firewall, antivirus, antispam, web filter).
La migliore difesa è l’informazione
Al di là della tecnologia esistono alcuni accorgimenti che ognuno di noi può adottare.
Innanzitutto la regola base di sempre: fate il backup dei vostri dati con regolarità e tenetene una copia off-line. In questo modo non dovrete temere di perdere ciò che il ransomware ha criptato sul vostro PC.
Ragionate prima di fare clic, soprattutto sugli allegati della posta elettronica e fate molta attenzione agli allegati non richiesti.
Fatevi delle domande: perché dovrebbero mandarvi una bolletta personale su un indirizzo aziendale ? Perché dovreste stampare una etichetta, se il corriere non l’avete nemmeno chiamato ? Se avete dubbi, chiedete ad un collega più esperto. Insomma, utilizzate il caro vecchio buon senso e un po’ di sospetto.
Siete responsabili IT o referenti per l’informatica ? Forse è arrivato il momento di dedicare un po’ di budget ad un corso di aggiornamento per i vostri colleghi.
Soluzioni ?
Beh, visto che avete letto fino a qui, diamo anche qualche soluzione a chi si trova in una brutta situazione. Non mi resta che segnalarvi il “coltellino svizzero” dei ransomware.. una serie di tool che potrebbero salvarvi.