Pirateria informatica

Ramsonware, cosa c’è da sapere sul “pizzo” digitale che sta colpendo le aziende

Una breve guida per capire perché le aziende di tutto il mondo temono questo tipo di attacco

di Giancarlo Calzetta

CYBERSECURITY: NON SOLO UNA QUESTIONE DI TECNOLOGIA

4' di lettura

Il colosso americano della carne Jbs costretta a pagare 11 milioni di dollari ai pirati informatici per evitare di veder marcire la merce nei depositi. Colonial Pipeline costretta a pagarne 5 per continuare a rifornire di carburante la Costa Est degli Stati Uniti. Venti miliardi di dollari persi nel 2020 nel solo settore della sanità Usa tra riscatti pagati, spese legali e risarcimenti. Oltre 1.500 aziende colpite bloccate in un solo giorno attraverso l'attacco a Kaseya, un grande fornitore di servizi gestiti. Questi sono i numeri di una piccola parte dei danni causati dall'attacco informatico più temuto dalle aziende di tutto il mondo: il ransomware.

Cosa è un ransomware? 

Ransomware è un termine che nasce dalla fusione delle 2 parole inglesi “ransom” (riscatto) e “software” (programma) e indica un tipo di attacco informatico in cui i criminali rendono illeggibili tutti o alcuni file di un computer codificandoli con una chiave segreta per poi chiedere un riscatto al proprietario. Solo se la richiesta viene soddisfatta, i pirati forniranno la chiave necessaria a far tornare leggibili i dati.
Sebbene se ne parli da pochi anni, la sua origine è tutt'altro che recente e risale al 1989, quando un ricercatore scientifico distribuì alla conferenza mondiale sull'Aids 20.000 dischetti infetti da quello che fu poi chiamato “Aids Trojan”. Questo “virus” nascondeva i file sul disco fisso dei computer che attaccava e chiedeva un pagamento di 189 dollari per restituirli. Il pagamento, però, non era necessario. A causa di un grave difetto di programmazione, si potevano recuperare i dati anche se cedere al ricatto.
Nonostante questo flop iniziale, da allora l'idea di ricattare gli utenti dei computer rendendo illeggibili i loro dati è tornata ciclicamente, ma con poca convinzione, finché nel 2013 si è vista l'esplosione del problema, grazie anche all'arrivo di Bitcoin, una moneta elettronica che permetteva di aggirare il problema più grande delle richieste di riscatto: avere un sistema rapido, sicuro e lontano dal mondo fisico per ricevere i pagamenti.

Loading...
ATTACCHI RAMSONWARE NEL MONDO
Loading...

Un ritorno in grande stile

La rinascita del ransomware, quindi, è partita con attacchi tramite posta elettronica ai normali cittadini che usavano i pc. Un messaggio più o meno credibile chiedeva ai malcapitati di aprire un file spacciato, di volta in volta, per un modulo per liberare la consegna di un pacco, un elenco dei posti auto aziendali, una cartella esattoriale e così via. Al doppio clic, invece di visualizzare il documento atteso, la vittima si ritrovava una schermata in cui i criminali chiedevano un ammontare compreso dai 200 e i 1.000 dollari per restituire i file criptati. Questa pratica ha permesso ai pirati di guadagnare grandi somme di denaro, portandoli ad alzare il tiro. Entro pochi anni dalla sua comparsa, infatti, il ransomware ha spostato le sue mire dagli utenti casalinghi a quelli aziendali, progettando attacchi molto sofisticati.
Al giorno d'oggi, un attacco ransomware parte con la compromissione di un computer aziendale, ma i pirati non corrono a criptare i dati del computer attaccato. Lo sfruttano, invece, per spiare l'azienda, capire quanti soldi ha a disposizione, trovare i server che gestiscono i programmi vitali per i processi di business e quelli che invece servono a fare i backup.

CYBERCRIME, I PAESI PIÙ VULNERABILI AGLI ATTACCHI
Loading...

Come funziona

Quando hanno una mappa completa della rete aziendale, lanciano l'attacco. Per primi criptano i dati dei backup, poi quelli dei server centrali e infine quelli dei singoli computer. In questo modo, se l'azienda non dispone di difese di ottimo livello, non c'è modo di recuperare i dati se non pagando il riscatto.

L'evoluzione del ransomware

Una caratteristica che da sempre contraddistingue i gruppi di cyber criminali è quella di essere in grado di inventare tecniche sempre nuove per massimizzare gli introiti e quelle che si dedicano al ransomware non sono da meno. Man mano che le aziende potenziali bersagli si attrezzavano per evitare di cadere nella trappola, grazie a strumenti che identificano il malware mentre codifica i dati o tramite sistemi di backup sempre più protetti, i criminali hanno ben pensato di modificare il tipo di attacco. Molti gruppi, infatti, adesso rubano i dati dell'azienda prima di criptarli, aggiungendo alla richiesta di riscatto la minaccia di divulgarli se le loro richieste non verranno soddisfatte.
Altri gruppi si sono spinti ancora più avanti. Oltre a rubare i dati e codificarli per renderli illeggibili, si preoccupano di spiare il responsabile informatico dell'azienda per un po' di tempo e raccogliere del materiale che potrebbe metterlo in cattiva luce con il proprietario per poi minacciarlo di rendere pubbliche queste informazioni se non convincerà il suo capo a pagare il riscatto.

L'ultima evoluzione che è stata rilevata è la cosiddetta “estorsione tripla”, dove oltre alla classica richiesta di riscatto e alla minaccia aggiuntiva di divulgare i dati, i pirati iniziano a vessare i clienti dell'azienda colpita da ransomware tramite e-mail e telefonate in cui fanno capire di avere i loro dati e che arrivano dall'azienda sotto attacco. In questo modo, l'azienda bersaglio inizia a ricevere anche richieste di informazioni da clienti preoccupati e cede molto più facilmente.

Le contromisure

Parare un attacco ransomware al giorno d'oggi non è facile. Quelli “vecchio stampo” diretti via e-mail a utenti generici sono solitamente bloccati dalle suite di sicurezza per computer. Un buon antivirus riesce a identificare questi attacchi poco sofisticati e impedire che facciano danni. Per quello che riguarda, invece, gli attacchi mirati alle aziende, il discorso è molto più complesso. Si tratta di attacchi che partono da una compromissione e procedono tramite l'attenta opera di personale criminale molto esperto. L'unica possibilità è quella di disporre di soluzioni di analisi delle minacce, in gergo chiamate xDR, e di progettare la rete interna in modo da rendere il più complicata possibile la vita ai pirati. Da un punto di vista legislativo, molti Paesi stanno valutando delle azioni per limitare o vietare l'utilizzo delle criptovalute, il sistema di pagamento più usato dai pirati nel mondo.

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti