Il ransomware costituisce la minaccia informatica più diffusa in assoluto. Come confermano in maniera pressoché unanime tutti i rapporti sulla sicurezza informatica, tra cui il Rapporto Clusit 2022, questa particolare categoria di malware continua a rivelarsi la più profittevole per i cybercriminali. Si assiste su scala globale alla crescita di modelli di business sempre più articolati, con l’obiettivo di aumentare la tossicità della rete e soprattutto il quantitativo di denaro ottenuto illegalmente dalle vittime degli attacchi.
Di fronte alla crescita dilagante del fenomeno, sfuggire in eterno dalla minaccia del ransomware potrebbe rivelarsi sempre più difficile. Oggi diventa sempre più importante bilanciare gli sforzi tra la protezione preventiva e la capacità di reagire in maniera significativa agli attacchi. È infatti opportuno sapere esattamente come comportarsi nel caso in cui un attacco ransomware dovesse infettare i nostri sistemi informatici, in modo da circoscriverli, mitigarli e renderli prontamente inoffensivi.
Una condotta consapevole nei confronti della minaccia ransomware è costituita da una buona dotazione tecnologica in materia di cybersecurity, dalla conoscenza capillare dei propri sistemi e da una corretta educazione in fatto di igiene informatica.
Cos’è un ransomware
Il ransom malware, più comunemente noto come ransomware è un malware che impedisce il regolare accesso a dati e sistemi, ai fini di chiedere alla vittima un riscatto per renderli nuovamente accessibili.
La loro storia ha inizio verso la fine degli anni Ottanta, quando i ransomware hanno iniziato a diffondersi quali strategie ingannevoli e mirate a convincere la vittima di essere stata vittima di un attacco o aver commesso dei reati in realtà del tutto immaginari. Due tipologie di malware che hanno incontrato alterne fortune in questo ambito sono gli scareware e gli screen locker.
Gli scareware manifestano falsi avvisi di infezione, a cui fa seguito la proposta truffaldina di risolvere il problema. Se la vittima cade in questo inganno finisce per aprire di fatto la porta al ladro, in quanto l’attaccante si ritrova senza sforzo alcuno all’interno della rete che intende aggredire. Gli scareware sono strumenti virali strettamente correlati alle attività di social engineering, il cui obiettivo è quello di condizionare psicologicamente gli utenti per indurli ad un errore che si traduce nella maggioranza dei casi nella cessione dei dati di accesso ad un servizio / sistema.
Gli attacchi mediante screen locker appartengono anch’essi alla categoria del social engineering ed erano particolarmente in auge alcuni anni fa, con dinamiche ancora più grottesche. Il malware faceva comparire a video un fake screen, con le credenziali di un soggetto autorevole come l’FBI o altre forze dell’ordine, con un messaggio che riporta di aver riscontrato sul sistema un’attività illegale, il più delle volte coincidente con la visita di siti correlati a contenuti di natura pornografica o alla pirateria informatica. Ovviamente tale avviso si riferisce ad una condizione del tutto falsa, ma la sua natura intrinseca è tale da condizionare un utente sprovveduto, al punto di intimorirlo e convincerlo a pagare quella che viene assoggettata quale una multa intenta a chiudere la questione senza ulteriori strascichi.
La svolta generazionale nel movimentato mondo ransomware è tuttavia arrivata nel 2013, grazie a Cryptolocker, da cui è derivata un’enorme fortuna per una minaccia che in realtà esisteva già in precedenza, pur essendo rimasta di fatto piuttosto latente nella rete. A differenza dei pionieristici ransomware PC Cyborg e CpCode, che si basavano su una crittografia piuttosto debole, Cryptolocker ha introdotto algoritmi decisamente più robusti, di fatto praticamente impossibili da decriptare se non grazie alla chiave strettamente correlata.
A questo punto, per le vittime la casistica si riduce a due situazioni: pagare il riscatto, sperando che i criminali mantenessero la promessa risarcitoria o ripristinare sistemi e dati grazie ai backup. Questa tipologia di ransomware, soprattutto con le modalità che esamineremo in seguito, hanno costituito un autentico boom per il crimine informatico, in quanto le possibilità di monetizzare grazie al malware sono aumentate a dismisura rispetto a quanto avveniva in precedenza.
Gli attacchi ransomware sono diventati via via più evoluti e capaci di diffondersi, come vedremo, grazie ad organizzazioni sempre più sofisticate. Il 2017 è stato un anno estremamente prolifico per l’economia dei ransomware, grazie all’introduzione di due autentici giganti come WannaCry, capace all’epoca di sfruttare una clamorosa vulnerabilità di Windows e NotPetya, originariamente sviluppato per colpire l’Ucraina e rivelatosi in seguito uno dei malware più pandemici di tutti i tempi. Nel 2019, il ransomware Maze ha inaugurato la stagione della minaccia a doppia estorsione. Il resto è storia recente.
Come si diffondono i ransomware
I ransomware rientrano nel generico contesto malware e trovano pertanto diffusione attraverso varie modalità, che spaziano dal phising all’azione delle botnet, senza tralasciare l’intrusione diretta attraverso le vulnerabilità del perimetro di sicurezza informatica. Più rare, ma comunque non trascurabili, sono le azioni di sabotaggio condotte da parte degli utenti autorizzati ad accedere ai sistemi colpiti.
Phising
Il metodo di diffusione del ransomware più inflazionato è costituito dalle e-mail di phising, una tecnica di social engineering da tempo dominante nella distribuzione del malware in senso ampio. Si tratta di mail fasulle che propongono di cliccare su un link o aprire un contenuto. Entrambe queste azioni generano l’infiltrazione del malware nel dispositivo informatico. Per quanto questa condizione sia ormai generalmente molto nota, gli attacchi phising continuano a riscontrare un grande successo grazie alla loro crescente credibilità. Le mail fasulle sono infatti molto curate a livello grafico e riproducono alla perfezione le ipotetiche controparti originali. Gli attaccanti utilizzano inoltre alcune banche dati per risalire alle informazioni relative alla potenziale vittima, in modo da azzeccare il timing della loro proposta truffaldina. Non è raro ricevere una mail di phising con una proposta di polizza a ridosso della naturale scadenza del nostro contratto di assicurazione per l’auto o sfruttare ipotetici sconti esclusivi a livello e-commerce a ridosso del black friday. Giusto per citare due circostanze piuttosto diffuse.
Drive by download
Un altro metodo di diffusione del ransomware piuttosto diffuso è il “drive by download” che viene predisposto mediante l’infezione di alcuni siti, che diventano delle vere e proprie trappole per i loro visitatori. Tali siti malevoli possono derivare dall’alterazione di un sito legittimo, spesso non aggiornato negli standard di sicurezza, o dalla creazione di un sito ad hoc, che sfrutta la vulnerabilità del browser per auto installare del software malevolo sui dispositivi utilizzati per la navigazione. Tale exploit è particolarmente diffuso utilizzando banner e pop-up che indirizzano la navigazione verso i siti infettanti. Una ragione in più per attivare sempre di default i pop-up blocker, oltre ad evitare la visita di quei siti di cui non si ha certezza assoluta in merito all’attendibilità.
Pirateria informatica: software crack e keygen
Chi ricorre a pratiche di pirateria informatica rischia grosso quando si accinge ad utilizzare dei crack e dei keygen utili ad attivare le versioni contraffatte del software che intendono utilizzare. Tale pratica consente di “risparmiare” anche diverse migliaia di euro rispetto all’acquisto del software genuino, ma l’impiego di tali crack / keygen espone a rischi enormi, in quanto quasi sempre sono canali di distribuzione malware. Oltre ai classici trojan e spyware, l’eseguibile può contenere anche un ransomware, con tutti gli effetti che ne conseguono. Non si contano nemmeno più le campagne ransomware condotte grazie ai crack di software di grande diffusione commerciale.
Baiting
Il baiting (esca) è un metodo che prevede varie procedure ingannevoli, allettate da una facile opportunità. È il classico caso della chiavetta USB infetta che distribuisce malware ogni volta che la connettiamo ad un dispositivo informatico. Ancora una volta, parliamo di un evidente attacco basato sul social engineering, che consiste nel distribuire come esche delle USB key contenenti malware, che vengono ritrovate da utenti ignari. I più sprovveduti le installano infatti sui loro sistemi per verificarne il contenuto, senza porsi il benché minimo problema di aprire le porte al ransomware di turno. Una dinamica analoga avviene quando si connette la propria USB Key ad un dispositivo infetto, senza porsi il problema di effettuare una scansione antivirus. Si tratta di una situazione più frequente di quanto si possa pensare e la criticità emerge quando si fa un utilizzo promiscuo di risorse a livello personale ed aziendale.
Vulnerabilità software
Il già citato WannaCry si è diffuso a livello capillare sfruttando una vulnerabilità di Windows. Nello specifico si trattava di una falla nel protocollo Windows Server Message Block. La vicenda è peraltro curiosa. Microsoft ha rilasciato una patch nel mese di marzo. WannaCry ha sfruttato l’exploit a partire dal mese di maggio ed ha riscontrato un successo incredibile per via del fatto che la maggioranza degli utenti non aveva applicato la patch. Giusto per ribadire la fondamentale importanza della threat intelligence. WannaCry non è stato l’unico ransomware che ha visto coinvolti gli exploit dei software del colosso di Redmond. I più attenti alle cronache legate al cybercrime ricorderanno certamente il ransomware DearCry, capace di andare a segno grazie ad una vulnerabilità zero-day di Microsoft Exchange Server. DearCry è stato ricondotto all’azione della gang cinese Hafnium, tra le più attive a livello mondiale in questo genere di attività.
Botnet e ransomware-as-a-service
Tra i metodi di diffusione su larga scala, le organizzazioni cybercriminali predispongono le cosiddette botnet, che consistono nell’installazione silente di un controller sulle macchine ai fini di instaurare una connessione da remoto, attraverso cui controllarle. Le botnet consentono di raggiungere vari obiettivi, che oltre alla diffusione del malware consistono nell’acquisire la potenza di fuoco necessaria per portare attacchi DDoS o minare illegalmente criptovalute utilizzando le risorse in idle della macchina su cui è installato il controller.
Le botnet facilitano la diffusione di malware e vengono utilizzate anche nei modelli di business del ransomware-as-a-service, che consentono a chiunque di noleggiare, tramite appositi servizi nel dark web, dei kit completi di tutto per condurre attacchi ransomware, senza disporre di competenze particolarmente elevate e soprattutto senza avere a disposizione la potenza di fuoco di un’intera organizzazione criminale. I pesci piccoli del ransomware stanno contribuendo ad incrementare notevolmente la tossicità della rete, rimanendo spesso impuniti, a fronte di danni complessivi tutt’altro che irrilevanti.
Quanto alla geografia degli attacchi, attraverso la lettura dei report pubblicati dai principali vendor di software antivirus, si stima che la maggior parte dei ransomware sia il frutto dell’attività di sviluppo di gruppi cybercriminali russi, come Revil, Trickbot e Conti, peraltro spesso sospettato di attività nation-state commissionata dal Cremlino e apertamente schierato contro Anonymous e NB65 nella cyberwar tra Russia e Ucraina.
Gli attacchi ransomware a doppia estorsione: la minaccia più critica da affrontare per le aziende
Il ransomware, inteso quale agente in grado di crittografare i file, è oggi uno strumento che consente di mettere in atto una strategia criminale ben più letale, che merita una trattazione specifica: la pratica della doppia estorsione. La sua azione risulta meno rilevante verso i singoli utenti privati. Le sue vittime designate sono le aziende e gli enti pubblici, i contesti in cui i dati hanno un valore intrinseco che supera molto spesso il loro semplice impiego.
A differenza dell’attacco ransomware standard, la doppia estorsione prevede la preventiva esfiltrazione dei dati, in una fase in cui la vittima rimane del tutto ignara della presenza malevola dell’attaccante all’interno dei propri sistemi. I criminali riescono ad infiltrarsi grazie a vulnerabilità nel perimetro di sicurezza aziendale o all’autenticazione con i dati di un utente legittimo, vittima di un raggiro o complice fraudolento dell’iniziativa.
Una volta messo a segno il furto dei dati il cybercriminale procede con la fase violenta dell’attacco, che prevede la crittografia e il conseguente blocco dei sistemi e inaccessibilità dei dati. La vittima si ritrova a questo punto stretta all’interno di una morsa da cui risulta ben difficile sfuggire. La minaccia ransomware a doppia estorsione è dunque ben più complessa da mettere a segno, ma è al tempo stesso ben più critica da gestire per chi ne rimane inconsapevolmente vittima. Se un attacco ransomware basato sul blocco di dati e sistemi può essere superato con il semplice ripristino di un backup, un data breach non può essere preso altrettanto a cuor leggero.
La pubblica diffusione o la cessione illegale dei dati di un’azienda può causare importanti conseguenze di natura legale, causate dalla rivalsa dei suoi clienti e dalla violazione delle norme in materia di trattamento e conservazione dei dati (normativa GDPR nel caso europeo), a cui corrispondono pesanti sanzioni di natura economica. La diffusione della notizia che l’azienda non è stata in grado di proteggere i dati in suo possesso è ormai in grado di diventare virale nel giro di poche ore, grazie all’azione dei social network. Tale pubblicità negativa è spesso causa di un danno reputazionale importante, che oltre a giocare direttamente a vantaggio dei competitor, lasciano ferite molto difficili da rimarginare per l’immagine del brand.
Di recente si è inoltre diffuso l’attacco ransomware a tripla estorsione, una variante più invasiva della tradizionale duplice minaccia, che consiste nel ricattare, oltre all’azienda vittima, anche i suoi clienti e i soggetti collegati alla supply chain di riferimento. La richiesta di riscatto è possibile grazie al fatto che il data leak dell’azienda vittima del ransomware consente di ottenere dati appartenenti anche a questi soggetti, che diventano a loro volta suscettibili di una richiesta di pagamento ai fini di non divulgare le informazioni illegalmente in possesso dei cybercriminali.
Tale condotta risulta particolarmente ignobile in quanto consente di prendere di mira anche le associazioni umanitarie, a cui sono collegati molti utenti fragili, come rifugiati o soggetti discriminati socio-politicamente, che potrebbero risentire in maniera importante della pubblicazione dei dati relativi alla loro posizione. Tali informazioni darebbero modo ai loro paesi di origine di rivalersi e procedere con atti violenti o intimidatori nei loro confronti, oltre a procedere con ritorsioni sui loro cari rimasti in patria.
Pagare o non pagare? Questo è il problema
Secondo le informazioni diffuse dalle forze dell’ordine, il pagamento del riscatto non costituisce quasi mai una soluzione al problema e spesso coincide con l’insorgenza di ulteriori problemi. Molto spesso i cybercriminali non tengono infatti fede alla promessa, non soltanto per un presunto sentimento di crudeltà, considerando che si tratta di personaggi senza scrupolo. Il criminale tende soprattutto ad evitare di lasciare tracce di attività che potrebbero consentire alle forze dell’ordine di risalire alla sua posizione, individuando i server attraverso cui avviene il traffico dei dati.
È la ragione per cui i pagamenti del riscatto vengono solitamente richiesti attraverso criptovalute, la cui privacy intrinseca consente di tracciare la transazione, ma non di risalire direttamente all’identità dei soggetti coinvolti. Non bisogna mai dimenticare che le cosiddette gang ransomware sono forme di criminalità organizzata che incamerano ogni anno anche diverse centinaia di milioni di dollari provenienti dagli attacchi diretti e dalla fornitura di servizi, come l’impiego delle botnet per diffondere le minacce e il noleggio dei kit ransomware-as-a-service.
Come proteggersi dai ransomware
Dato per scontato che pagare il riscatto sia una pratica inutile e controproducente, oltre al fatto di incentivare sempre più la crescita delle gang ransomware, le strategie di protezione nei confronti dei ransomware non differiscono dalle pratiche comuni in fatto di cybersecurity aziendale, a cui andrebbero aggiunte almeno due o tre accorgimenti specifici. In questa sede ci limiteremo infatti ad una serie di suggerimenti pratici, che possono essere attuati da tutte le realtà aziendali con un minimo di raziocinio nella gestione delle risorse IT, anche senza possedere in house competenze specialistiche in fatto di sicurezza informatica.
In primo luogo, è indispensabile conoscere la geografia dell’intero sistema informatico, in modo da isolare le minacce nel caso in cui i sistemi di sicurezza rilevassero la presenza di anomalie comportamentali riconducibili all’azione di un malware. Ciò è particolarmente rilevante soprattutto per isolare i dati più sensibili dalla possibile esfiltrazione che i cybercriminali potrebbero attuare prima di procedere con la crittografia e la richiesta di riscatto. Se si riesce a limitare l’infezione del ransomware in macchine periferiche o poco rilevanti dal punto di vista della presenza di dati, il danno che ne deriva è infatti molto relativo, oltre che ripristinabile in tempi brevi, senza generare un significativo downtime nei servizi erogati. Una buona mappatura della rete si rivela al tempo stesso estremamente utile quando, dopo aver subito l’attacco, ci si rivolge agli specialisti in materia di incident response, per offrire loro un terreno d’azione agevole nello svolgimento delle attività di investigazione forense utili a determinare la timeline dell’attacco stesso prima di procedere con la sua eradicazione.
Un altro accorgimento molto importante, soprattutto quando si tratta di proteggersi nei confronti degli attacchi a doppia estorsione, è costituito dalla crittografia dei dati, ossia nell’anticipare l’azione di chi vorrebbe giocare allo stesso gioco a nostro danno. Se un data breach portasse nelle mani del criminale una copia inservibile, questi non saprebbe cosa farsene, per cui l’attacco ransomware potrebbe considerarsi fallito per quanto concerne il suo obiettivo principale: monetizzare ai danni della vittima. Per tale ragione è estremamente importante crittografare in maniera robusta soprattutto i backup, che spesso tendono a godere di minor attenzione da parte dei sistemi di monitoraggio. Se rimangono accessibili alla rete i backup costituiscono un bersaglio privilegiato per i criminali, ben consapevoli della condotta difensiva delle aziende e delle sue fragilità diffuse.
Se i primi due suggerimenti sono di fatto una condizione sine qua non per evitare gravi danni nei casi di un attacco causato da un ransomware, non dobbiamo dimenticare che la maggior parte di tali intrusioni avviene a causa dell’errore umano. A tal fine sarebbe opportuno implementare costantemente sistemi di autenticazioni multifattoriale, anche quando non strettamente richiesto dai disposti normativi, come avviene ad esempio nel caso dell’online banking e di altre situazioni in cui sono consistenti i rischi di frode. Nella stessa logica è opportuno consigliare un sistema antivirus dotato di un password manager, per evitare che i device vengano irresponsabilmente compromessi a causa della disattenzione dell’utente che li gestisce.
Cosa fare in caso di infezione da ransomware
Affrontare in senso ampio le azioni che si dovrebbero e si potrebbero implementare quando si viene colpiti da un ransomware avrebbe poco senso se non soffermassimo l’attenzione sul contesto specifico in cui la minaccia prende corpo. Anziché sbobinare decine di “to-do” di per sé tutti validi, ma poco circostanziati, ci soffermeremo su una serie di condotte che andrebbero sempre sostenute da un approccio logico. La condizione essenziale è acquisire un mindset chiaro ed inequivocabile, che consiste nel rispondere ad un attacco.
Un attacco ransomware è un’azione che dietro alla sua portata distruttiva cela obiettivi ben precisi. Conoscere la condotta dell’attaccante è fondamentale per avviare qualsiasi azione investigativa. Tali aspetti andrebbero sempre implementati in un piano di incident response (IRP), che contiene le azioni fondamentali da attuare in caso di incidente informatico, con nota specifica per quanto concerne i ransomware.
Una buona prassi consente nel non scollegare la macchina infetta dalla rete, ma di isolarla rispetto alle regioni in cui sono conservati i dati sensibili, ai fini di limitare il più possibile la propagazione dell’attacco, confinando la sua azione malevola in quei contesti dove i danni sono più facilmente ovviabili. Se troncassimo bruscamente la comunicazione tra la macchina infetta e l’attaccante, questi si accorgerebbe del fatto che la sua azione è stata identificata, dunque comprometteremmo irrimediabilmente l’azione di un incident response team (IRT) chiamato ad investigare sulla vicenda. L’obiettivo pratico dovrebbe quindi coincidere con il mettere al sicuro la rete, isolando le macchine colpite, ma lasciare che l’attaccante rimanga convinto che la sua azione sia in corso di validità, per consentire all’IRT di risalire in maniera precisa alla dinamica che ha condotto all’attacco, in modo da individuare le vulnerabilità ed evitare che l’attacco si ripeta, a stretto giro, attraverso le medesime modalità.
In questo contesto, per molte aziende la normativa NIS prevede l’obbligo di notifica dell’incidente. Anche quando tale condizione non è esplicitamente richiesta, come nel caso delle PMI che non operano in contesti di primaria importanza nei servizi fondamentali e nelle infrastrutture critiche, sarebbe almeno consigliabile denunciare il fatto alle forze dell’ordine, offrendo tutte le indicazioni utili per agevolare l’individuare su larga scala dei cybercriminali che si celano dietro l’attacco ransomware. Soltanto grazie ad un atteggiamento di natura collaborativa è ad esempio possibile sradicare la minaccia dei ransomware propagati grazie alle botnet.
Ciò fermo restando il fatto che molte aziende temono l’esposizione mediatica che deriva dalla denuncia e dalla conseguente diffusione della notizia, con il rischio di danno di immagine. Si tratta di una preoccupazione del tutto legittima, soprattutto considerando come la stampa e social network spesso diffondono fonti e informazioni in maniera incontrollata, che additano la vittima in una condizione che al danno aggiunge sostanzialmente la beffa. A tal fine sarebbe importante dotare il team di comunicazione aziendale di una risorsa capace di gestire questo genere di crisi, divulgando alla stampa informazioni controllate, evitando il più possibile l’insorgere di speculazioni sulla notizia.
Tornando ai sistemi informatici, le operazioni da condurre dal punto di vista pratico sono sostanzialmente due. Una volta completata la diagnosi e aver ricostruito nel dettaglio la timeline dell’attacco ransomware, è possibile eradicare fisicamente la minaccia e risolvere le vulnerabilità individuate. Dopo aver completato con successo queste fasi è possibile ripristinare i sistemi colpiti alla condizione immediatamente precedente l’attacco, oltre a ripristinare i dati grazie ai backup pianificati in precedenza. Se l’azienda dispone di un buon piano di continuità di business, tali operazioni garantiscono solitamente il ritorno ad una corretta operatività in tempi relativamente brevi, comunque coerenti con le SLA (service level agreement) che l’azienda stessa garantisce ai propri clienti nei contratti di fornitura dei propri servizi.
Dopo aver scoperto come si è verificato l’attacco, risolto la vulnerabilità, eradicato l’attacco e ripristinato i dati e i sistemi colpiti dal ransomware è opportuno procedere con un’attenta azione di monitoraggio. Dal momento che gli attacchi informatici vengono condotti molto spesso con procedure automatizzate, in grado di rilevare sempre le stesse vulnerabilità, è estremamente probabile che l’attaccante provi nuovamente ad entrare nella rete di una delle vittime colpite in precedenza.
Se avremo svolto bene il nostro lavoro di risposta all’incidente informatico, ci accorgeremo di un tentativo di intrusione nel cospetto di una delle vulnerabilità che abbiamo risolto dopo aver subito l’attacco. I tentativi di ripetizione vengono condotti dai cybercriminali mediamente entro due o tre settimane dall’incidente originale ed in genere un monitoraggio post incidente può avere una durata che varia dai due ai tre mesi, anche se non vi sono disposizioni assolute in tal senso. Ogni realtà deve infatti agire in funzione della propria sensibilità e delle proprie competenze.