Ramsonware, cosa c’è da sapere sul “pizzo” digitale che sta colpendo le aziende

Il colosso americano della carne Jbs costretta a pagare 11 milioni di dollari ai pirati informatici per evitare di veder marcire la merce nei depositi. Colonial Pipeline costretta a pagarne 5 per continuare a rifornire di carburante la Costa Est degli Stati Uniti. Venti miliardi di dollari persi nel 2020 nel solo settore della sanità Usa tra riscatti pagati, spese legali e risarcimenti. Oltre 1.500 aziende colpite bloccate in un solo giorno attraverso l'attacco a Kaseya, un grande fornitore di servizi gestiti. Questi sono i numeri di una piccola parte dei danni causati dall'attacco informatico più temuto dalle aziende di tutto il mondo: il ransomware.

Ransomware è un termine che nasce dalla fusione delle 2 parole inglesi “ransom” (riscatto) e “software” (programma) e indica un tipo di attacco informatico in cui i criminali rendono illeggibili tutti o alcuni file di un computer codificandoli con una chiave segreta per poi chiedere un riscatto al proprietario. Solo se la richiesta viene soddisfatta, i pirati forniranno la chiave necessaria a far tornare leggibili i dati.
Sebbene se ne parli da pochi anni, la sua origine è tutt'altro che recente e risale al 1989, quando un ricercatore scientifico distribuì alla conferenza mondiale sull'Aids 20.000 dischetti infetti da quello che fu poi chiamato “Aids Trojan”. Questo “virus” nascondeva i file sul disco fisso dei computer che attaccava e chiedeva un pagamento di 189 dollari per restituirli. Il pagamento, però, non era necessario. A causa di un grave difetto di programmazione, si potevano recuperare i dati anche se cedere al ricatto.
Nonostante questo flop iniziale, da allora l'idea di ricattare gli utenti dei computer rendendo illeggibili i loro dati è tornata ciclicamente, ma con poca convinzione, finché nel 2013 si è vista l'esplosione del problema, grazie anche all'arrivo di Bitcoin, una moneta elettronica che permetteva di aggirare il problema più grande delle richieste di riscatto: avere un sistema rapido, sicuro e lontano dal mondo fisico per ricevere i pagamenti.

La rinascita del ransomware, quindi, è partita con attacchi tramite posta elettronica ai normali cittadini che usavano i pc. Un messaggio più o meno credibile chiedeva ai malcapitati di aprire un file spacciato, di volta in volta, per un modulo per liberare la consegna di un pacco, un elenco dei posti auto aziendali, una cartella esattoriale e così via. Al doppio clic, invece di visualizzare il documento atteso, la vittima si ritrovava una schermata in cui i criminali chiedevano un ammontare compreso dai 200 e i 1.000 dollari per restituire i file criptati. Questa pratica ha permesso ai pirati di guadagnare grandi somme di denaro, portandoli ad alzare il tiro. Entro pochi anni dalla sua comparsa, infatti, il ransomware ha spostato le sue mire dagli utenti casalinghi a quelli aziendali, progettando attacchi molto sofisticati.
Al giorno d'oggi, un attacco ransomware parte con la compromissione di un computer aziendale, ma i pirati non corrono a criptare i dati del computer attaccato. Lo sfruttano, invece, per spiare l'azienda, capire quanti soldi ha a disposizione, trovare i server che gestiscono i programmi vitali per i processi di business e quelli che invece servono a fare i backup.

Quando hanno una mappa completa della rete aziendale, lanciano l'attacco. Per primi criptano i dati dei backup, poi quelli dei server centrali e infine quelli dei singoli computer. In questo modo, se l'azienda non dispone di difese di ottimo livello, non c'è modo di recuperare i dati se non pagando il riscatto.

CONSIGLI24

I migliori consigli su prodotti di tecnologia, moda, casa, cucina e tempo libero

Scopri di più

Libri

Intelligenza artificiale

Scopri di più

Una caratteristica che da sempre contraddistingue i gruppi di cyber criminali è quella di essere in grado di inventare tecniche sempre nuove per massimizzare gli introiti e quelle che si dedicano al ransomware non sono da meno. Man mano che le aziende potenziali bersagli si attrezzavano per evitare di cadere nella trappola, grazie a strumenti che identificano il malware mentre codifica i dati o tramite sistemi di backup sempre più protetti, i criminali hanno ben pensato di modificare il tipo di attacco. Molti gruppi, infatti, adesso rubano i dati dell'azienda prima di criptarli, aggiungendo alla richiesta di riscatto la minaccia di divulgarli se le loro richieste non verranno soddisfatte.
Altri gruppi si sono spinti ancora più avanti. Oltre a rubare i dati e codificarli per renderli illeggibili, si preoccupano di spiare il responsabile informatico dell'azienda per un po' di tempo e raccogliere del materiale che potrebbe metterlo in cattiva luce con il proprietario per poi minacciarlo di rendere pubbliche queste informazioni se non convincerà il suo capo a pagare il riscatto.