Petya e Wannacry sono solo alcuni dei recenti attacchi globali di ransomware che hanno messo in ginocchio aziende importanti. Come concetto il ransomware si era manifestato inizialmente alla fine degli anni ’80: la sua riedizione in chiave moderna si è vista con il  “malware della polizia”, famiglia di malware che si manifestava con una schermata che bloccava del computer con il pretesto di supposte violazioni da parte degli utenti. Il riscatto era in realtà camuffato da una “finta sanzione amministrativa” richiesta per lo sblocco del PC, che l’utente pagava pensando di aver effettivamente commesso un’infrazione.  

L’arrivo di Cryptolocker nel 2013 ha portato a un livello superiore la sofisticazione dell’attacco: non solo si blocca il PC,  ma viene introdotta la crittografia e il sistema di pagamento in bitcoin, diventato poi lo standard de facto di tutti i  ransomware. Negli anni successivi l’evoluzione è stata continua e impressionante: in poco tempo queste famiglie di malware sono passate dalla semplice cifratura di file locali, a tutti quelli raggiungibili in rete, compresi i backup online, i sistemi automatici di duplicazione per non parlare dei device mobili e in prospettiva dei device IoT. Pagare il cyber crime non è però una scelta attuabile. In questo modo si continua ad alimentare un mercato estremamente profittevole, a finanziare attività di ricerca che portano allo sviluppo di nuovi virus ancora più potenti rispetto agli attuali.

Quali sono gli sbagli che commettono oggi le aziende colpite da ransomware?

Cosa imparare da queste esperienze?

Intervista a Davide Gabrini, collaboratore del Laboratorio di Informatica Forense dell’Università degli Studi di Pavia, afferente al Laboratorio Nazionale di Cyber Security

L’Italia è a livello internazionale uno tra i Paesi che ha subito, negli ultimi anni, il maggior numero di attacchi cyber: ad esempio, siamo i terzi nella classifica globale delle vittime di ransomware, dopo Stati Uniti e Giappone. Come lo spieghi?

Sono almeno vent’anni che ripetiamo le stesse cose: in Italia si osserva una preoccupante assenza di sensibilità alla sicurezza informatica, riscontrabile negli investimenti tristemente irrisori che vengono destinati alla cybersecurity, il che ci rende molto più esposti di quanto dovremmo. Negli ultimi mesi abbiamo assistito alla diffusione di alcuni ransomware a velocità impressionante, nonostante fossero disponibili da mesi le patch di sicurezza che avrebbero impedito o quantomeno fortemente mitigato i danni: un segnale di un preoccupante e generale lassismo nel settore. Questo avviene nonostante si osservino ormai da anni perdite economiche consistenti e in crescita accelerata. I ransomware stanno colpendo trasversalmente e indiscriminatamente tutte le categorie, dalla grande organizzazione, all’industria manifatturiera, al piccolo studio professionale, ai singoli individui: eppure nonostante questo il pericolo non viene preso sufficientemente sul serio.

Come reagisce chi viene infettato?

Se non altro, non può ignorare il problema: se un tempo prevalevano gli attacchi informatici più occulti, che venivano rilevati con mesi di ritardo o addirittura mai, oggi il ransomware si palesa immediatamente per chiedere il riscatto. Si tratterebbe di una minaccia relativamente semplice da debellare: basterebbe rimuovere il malware, o alla peggio reinstallare i sistemi colpiti, e ripristinare i backup. Una procedura non esente da costi, ma che comunque consentirebbe di risolvere il problema con danni contenuti. Ma avere una politica efficiente di backup e ripristino rientra in quegli investimenti preventivi che vengono spesso ignorati, al punto che la vittima preferisce pagare il riscatto, illudendosi con questo di aver risolto un problema che invece permane tal quale a prima. Soprattutto, non ci si rende conto che così facendo si finanzia la criminalità organizzata e la si incentiva ad investire maggiormente nel mercato dei ransomware. Un mercato talmente proficuo che i criminali mettono addirittura a disposizione delle vittime un supporto tecnico, con tanto di assistenza personalizzata, per aiutare “il cliente” a pagare il riscatto e a recuperare i suoi dati, dando a tutto il fenomeno un assurdo aspetto di normalità: è paradossale vedere delle vittime insensatamente rassicurate dalla presenza di questi help desk in grado di “risolvere” il problema che hanno essi stessi causato!

Qual è l’importo tipico del riscatto?

Il valore dell’importo richiesto per riottenere i dati è variabile: si aggira sovente intorno ai 300 euro, ma si vedono anche richieste da 5-6.000 euro (il valore espresso in euro è variabile anche perché il riscatto è quasi sempre richiesto in Bitcoin ed è quindi soggetto alle fluttuazione della criptovaluta). In alcuni casi riportati dalla stampa si sono raggiunte cifre record: in Corea del Sud il web hosting Nayana, secondo quanto dichiarato dall’AD dell’azienda, avrebbe versato addirittura l’equivalente di un milione di dollari: l’attacco aveva coinvolto 150 server consentendo ai criminali di accedere ad un’ingente quantità di dati dei clienti. Alcuni attacchi ransomware più sofisticati infatti variano l’importo da pagare anche in ragione della vittima colpita: in questo modo, i profitti dei criminali sono ottimizzati perché il riscatto è proporzionato al valore degli asset compromessi e alle effettive possibilità di spesa della vittima.

Cosa insegnano queste esperienze a chi le ha subite?

Il più delle volte, purtroppo, niente! Molti, anche se la cosa dà fastidio, finiscono con il pagare come se avessero preso una multa all’autovelox per eccesso di velocità! Poi la vulnerabilità rimane e i backup non si fanno. Il messaggio che sta passando con il ransomware purtroppo è quello che vogliono i criminali: basta pagare e i dati tornano. La cultura che si sta creando intorno al tema è molto sbagliata: proporre il pagamento del riscatto come metodo di risoluzione del problema è eticamente inaccettabile, e i tecnici che lo suggeriscono e si incaricano addirittura della mediazione non si rendono conto che stanno commettendo il reato di favoreggiamento, adoperandosi nell’interesse dei criminali affinché possano riscuotere i loro profitti illeciti. Qualche testata giornalistica si è spinta persino a definire “eroi” i dipendenti di un Comune che si sono autotassati per pagare un riscatto, senza rilevare che questi “eroi” hanno remunerato la criminalità organizzata e incentivato il proliferare di nuove attività delittuose.

In generale, nel caso in cui un’azienda si rivolga alle Forze dell’ordine per un furto di dati o un incidente informatico, come dovrebbe regolarsi per facilitare le successive indagini?

Tanto le aziende quanto i singoli privati possono essere di grande aiuto per l’avvio delle indagini, perché in qualità di titolari dei sistemi o dei dati hanno un potere investigativo che, nelle prime fasi, supera di gran lunga quello delle Forze dell’Ordine: possono avere ad esempio disponibilità immediata di informazioni a cui gli investigatori potrebbero accedere soltanto esibendo ai provider un ordine della magistratura o addirittura, se prevista, una rogatoria internazionale – con i tempi, i costi e le difficoltà che la cosa comporterebbe. Quando invece le vittime di reato sono in grado di fornire, già in sede di querela e opportunamente preservate, tutte le informazioni a loro accessibili e utili a circostanziare i fatti, la tempestività dell’indagine è di gran lunga agevolata. Sarebbe quindi raccomandabile dotarsi di una procedura interna di incident response che includa anche precise istruzioni sui dati disponibili, sulle modalità di raccolta e conservazione e sulle figure di riferimento per la trattazione, valutazione e trasmissione delle informazioni all’Autorità Giudiziaria.