Cybersecurity, guida ai ransomware: che cosa sono, come prevenirli e come reagire

di Luisa Di Giacomo, Avv.

Gli attacchi informatici degli ultimi mesi, incrementati esponenzialmente dalla pandemia e dal ricorso massivo al lavoro da casa, ci hanno messo di fronte alla realtà che non solo noi, ma anche i nostri pc, che costituiscono la scatola nera della nostra vita, sono esposti a virus sempre nuovi, mutazioni pericolose, che possono fare danni quasi quanto quelli che attentano alla nostra salute.

Non solo i privati all’interno del proprio computer personale, ma le aziende e le pubbliche amministrazioni, che a server e macchine, fisiche e virtuali, affidano i propri dati, gli assets di valore e quindi l’essenza stessa del proprio business, conoscono, o per lo meno dovrebbero conoscere, l’importanza di una buona strategia di prevenzione degli attacchi informatici.

Purtroppo in tema di cybersecurity, come nella vita, il rischio zero non esiste, ma ci sono una serie di buone pratiche e comportamenti da mettere in atto per prevenire i danni, anche esorbitanti, che potrebbero derivare da un attacco di successo.

All’interno della vasta gamma di possibili attacchi, uno dei più diffusi, pericolosi e odiosi è rappresentato dai cosiddetti ransomware, virus informatici che rendono inaccessibili i file dei computer infettati, con conseguenza richiesta estorsiva di un riscatto (in inglese ransom) per ripristinare la situazione precedente.

Il rapporto Clusit del 2021 conferma che l’utilizzo dei ransomware è un trend in crescita: nel 2018 rappresentavano il 23% di tutti i programmi malevoli (malware), nel 2019 sono arrivati al 46% e nel 2020 i ransomware hanno sfiorato i due terzi degli attacchi complessivi (67% del totale).

Indice

  1. Che cosa sono e come funzionano i ransomware
  2. Quali sono i veicoli di diffusione di un ransomware
  3. Come proteggersi: la prevenzione
  4. Che cosa fare in caso di attacco di successo

 1. Che cosa sono e come funzionano i ransomware

I ransomware sono malware (programmi infetti) che rendono inaccessibili i dati in un computer con una chiave di criptazione al fine di richiedere il pagamento di un riscatto per riottenerne la disponibilità.

Si tratta di attacchi che hanno il solo scopo estorsivo, esattamente come un sequestro di persona, solo che in questo caso si tratta di sequestro di file e dati.

I dati non lasciano il computer, non vengono cancellati e non sempre vi è esfiltrazione, ovvero non vengono diffusi. Semplicemente sono sulla macchina del proprietario o del titolare, ma è come se fossero chiusi in una cassaforte di cui solo il cyber criminale possiede la chiave.

Poiché i dati possono essere criptati un numero innumerevole di volte, avere già il proprio data base o server criptato, di fatto non protegge da un attacco ransomware, ma solo da possibili esfiltrazioni dei dati oggetto di sequestro, in quanto il ransomware può a sua volta re-criptare i dati già criptati co una chiave diversa.

Per ottenere la chiave di decriptazione, di solito viene richiesto un pagamento, parametrato non solo alle dimensioni del data base sequestrato, ma anche alla consistenza del fatturato aziendale, da effettuarsi in criptovalute, seguendo specifiche istruzioni fornite dai criminali stessi.

Per approfondimenti consigliamo il CORSO online in DIRETTA

Cybersecurity: le nuove prospettive di lavoro per l’avvocato
A cura di Luisa Di Giacomo e Enrico Amistadi

29 novembre, 10 e 14 dicembre 2021

2.Quali sono i veicoli di diffusione di un ransomware

Le email di phishing costituiscono lo strumento più comune per la diffusione dei ransomware; si tratta di email che ci invitano a cliccare su link malevoli o scaricare file infetti oppure a compiere azioni che aprono una falla nel sistema di protezione della rete e possono installare il malware al suo interno.

Questa modalità di attacco sfrutta da un lato l’enorme diffusione delle email quotidianamente nel mondo, dall’altro la scarsa attenzione ed il basso grado di consapevolezza e di formazione degli utenti, che si fidano di email mascherate da messaggi ufficiali, o da posta inviata da amici e conoscenti, o dalla propria banca o da enti istituzionali.

In questo modo vengono veicolati il 75% dei ransomware che colpiscono ogni giorno imprese e privati, e l’errore umano continua ad essere un vettore di attacco potentissimo.

Alternativamente, i ransomware si propagano attraverso vulnerabilità presenti su certi programmi, che magari non vengono aggiornati con la giusta frequenza, o nei sistemi operativi, attraverso la navigazione in siti compromessi, o con il download di programmi da siti non sicuri.

I malware possono circolare tramite supporti rimovibili, come chiavette usb infette, tramite il cosiddetto baiting, che letteralmente sfrutta la curiosità umana, che porta, nel caso di rinvenimento di una chiavetta o di un hard disk, a collegarlo al proprio computer per vedere che cosa c’è dentro. La letteratura è piena di curiosi famosi puniti dall’ira degli dei, da Ulisse a Pandora, dunque non stupisce che qualcosa di così “moderno” come un attacco informatico faccia leva su una debolezza antica quanto l’uomo stesso.

Quale che sia il veicolo di attacco, cioè lo sfruttamento di un errore umano, di una vulnerabilità di sistema, o di una porta lasciata aperta nel perimetro di sicurezza aziendale, prendere un ransomware è un’eventualità più diffusa e più semplice di quanto non si pensi, e pur non trattandosi di un attacco particolarmente sofisticato, spesso risulta essere particolarmente efficace.

Inoltre, un ulteriore metodo per forzare la vittima a pagare il riscatto è la cosiddetta doppia estorsione, ovvero non solo sequestrare i dati per ottenere in cambio il pagamento del riscatto, ma anche minacciare la vittima di esporre i dati esfiltrati su un sito pubblico o venderli nel dark web, con conseguenze pesantissime ai danni dell’azienda, sia in punto danno di immagine, sia per tutto quanto consegue in termini di responsabilità derivanti dall’applicazione del Regolamento Generale per la Protezione dei Dati 679/2016, che prevede l’intervento del Garante della Privacy e le eventuali (salatissime) sanzioni.

Anche la compromissione di password e credenziali costituisce un ottimo canale per la diffusione di ransomware ed a questo proposito è bene utilizzare poche regole di basilare attenzione: non usare mai le stesse credenziali per servizi diversi, e mai la stessa password per accedere a servizi aziendali e personali, stabilire una password policy e una procedura per il cambio periodico e favorire l’utilizzo di un buon password manager per la gestione centralizzata e sicura delle proprie credenziali di accesso.

3.Come proteggersi dai ransomware: la prevenzione

Come sempre in tema di sicurezza informatica la miglior protezione è la prevenzione ed un’adeguata preparazione degli utenti. Formazione e sensibilizzazione sono le chiavi vincenti per sventare se non tutti, gran parte degli attacchi.

Avere un sistema antivirus ed un sistema operativo sempre aggiornati costituiscono le basi di una tecnica di prevenzione efficace, poiché nella guerra perenne tra sviluppatori e criminali vince chi rimane più aggiornato.

Avere il backup, cadenzato con la stessa frequenza con la quale i dati si aggiornano, fa parte delle misure minime di sicurezza da adottare; possibilmente sarebbe meglio averne anche più di uno (secondo il principio della ridondanza: tre copie di ogni dato, due onsite ma su storage diversi ed una off-site in cloud). Il backup dei dati aziendali dovrebbe essere un’attività pianificata secondo il principio di “data security by design”, ma anche questa semplice precauzione non è così scontata come a prima vista potrebbe sembrare.

Ci sono molte protezioni che possono essere implementate dagli amministratori di sistema, dalle più semplici alle più complesse, ma poiché il phishing, la compromissione di credenziali e password e le falle nella sicurezza, come abbiamo visto, costituiscono i principali canali di accesso, non dimentichiamo che l’anello più debole della sicurezza informatica è rappresentato dall’errore umano, per cui rimane fondamentale la formazione, l’informazione e l’aumento della consapevolezza degli utenti, che troppo spesso vengono sottovalutate.

4.Che cosa fare in caso di attacco di successo

Nonostante tutta la prevenzione di cui possiamo essere capaci, un attacco può sempre avere successo. In questi casi sarebbe bene avere già pronta una procedura da seguire per la gestione del data breach, anche dal punto di vista strettamente inerente il GDPR (comunicazioni al Garante ed agli interessati) ed una procedura per il disaster recovery, in modo da assicurare la minor interruzione aziendale possibile e ripristinare lo status quo senza (troppi) danni.

La soluzione migliore, meno costosa e più efficace è quella di ripristinare i dati da backup.

Se si sono seguite le regole per un backup efficace, e quindi si ha a disposizione una copia dei dati recente e funzionante, e se si è stabilito precedentemente la tecnica di recupero, questa è la sola soluzione percorribile e quella a minore impatto. Anche qualora il backup non dovesse essere il più recente, potremmo comunque sperare di ripristinare una versione precedente dei dati, che consentirebbe comunque di limitare i danni. Prima di recuperare i dati è bene eseguire una bonifica integrale del sistema, che preveda una formattazione completa di tutte le macchine infettate e solo successivamente si può procedere al ripristino.

A quel punto, sarà necessario individuare qual è stato il vettore di attacco, ed andare a reagire incrementando i livelli di sicurezza, riparando le falle o investendo maggiormente in formazione.

Purtroppo il ripristino da backup non protegge dalla doppia estorsione, cioè dal rischio che i dati siano stati esfiltrati e vengano diffusi o venduti nel dark web, ma per lo meno consente di assicurare la continuità aziendale.

In alternativa ed in mancanza di un backup, si può tentare di decrittare i dati con tool appositi ma solitamente questo funziona per i ransomware “vecchi” già utilizzati da qualche anno. Siccome il mercato di sviluppo dei ransomware è sempre aggiornato, è molto difficile trovare in rete file di decrittazione veramente efficaci, senza contare il rischio di cadere in falsi decrittatori e peggiorare la situazione!

Infine, ultima spiaggia, pagare il riscatto.

È sicuramente la soluzione a cui non si dovrebbe mai arrivare, in quanto incentiva la proliferazione dei malware a scopo estorsivo, ma finché non si arriverà, come per i sequestri di persona, a prevedere una legge che congeli i patrimoni aziendali per impedire di pagare il riscatto, questa pratica di per sé non è illegale, anche se molto rischiosa.

C’è comunque sempre la possibilità che i dati non vengano restituiti, anche dopo il pagamento, o che l’estorsione continui, con la minaccia di esposizione dei dati in caso di mancato versamento “periodico”.

Una situazione in cui si spera veramente di non trovarsi mai, che purtroppo non è interamente e completamente possibile evitare, ma che si può cercare di ridurre al minimo solo con un’unica risposta possibile: prevenzione, formazione, consapevolezza.

E un briciolo di fortuna, che nella vita serve sempre.

Per approfondimenti consigliamo il CORSO online in DIRETTA

Cybersecurity: le nuove prospettive di lavoro per l’avvocato
A cura di Luisa Di Giacomo e Enrico Amistadi

29 novembre, 10 e 14 dicembre 2021

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

luisa-di-giacomo

Luisa Di Giacomo

Si è laureata a pieni voti all’Università di Torino, ha studiato in Francia e negli Stati Uniti e da quindici anni svolge la professione di avvocato. Mediatore professionista e docente presso Master e corsi specialistici in materia di mediazione, dal 2012 si occupa esclusivamente di privacy e protezione di dati personali. Ha conseguito il Master Federprivacy nel 2016, è DPO in una ventina di Comuni ed Enti Pubblici in Piemonte e consulente privacy per aziende in ambito sanitario e tecnologico.


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it