Generalmente, durante un attacco ransomware i cyber criminali si introducono nel sistema informativo di un bersaglio ed installano un applicativo, capace di criptare tutti i dati archiviati sull’hard disk, rendendo l’accesso impossibile a chi non dispone della chiave di decifratura.
In seguito, viene inviato un messaggio al proprietario del computer, informandolo che verrà messa a disposizione la chiave di solo in caso di pagamento di una certa somma, solitamente utilizzando la tecnica non tracciabile dei bitcoin. Il riscatto richiesto varia a seconda delle dimensioni dell’azienda in questione ma risulta sempre molto alto e compreso tra i 100.000 e i 2 milioni di euro.
Un numero spropositato di aziende in tutto il mondo sono rimaste vittime di questa tipologia di attacco, dovuto alla loro mancata duplicazione del backup dei dati. Se infatti è disponibile una copia aggiornata di backup, il soggetto attaccato può sempre rifiutarsi di pagare il riscatto, in quanto ha comunque la possibilità di ricostruire i dati bloccati.
I ransomware attack sono diffusi nel cyber crime già da diverso tempo e per questo molte aziende si sono finalmente attivate, adottando in maniera precauzionale una o più copie sistematiche dei dati aziendali.
L’evoluzione
Quanto appena descritto riguarda la situazione usuale dei ransomware attack, tuttavia, nell’ultimo periodo, questi si sono moltiplicati e le tecnologie utilizzate dai malfattori hanno compiuto un salto di qualità. Difatti, nelle ultime versioni identificate dagli specialisti di sicurezza informatica, gli attaccanti non solo possono rendere inaccessibili i dati con applicativi crittografici ma provvedono anche a copiarli. Esemplare è il caso di fine 2019 accaduto ad una grande azienda americana di guardie giurate, che ha subito una cosiddetta “doppia estorsione”. Nel concreto, dopo che l’azienda è stata attaccata da un ransomware di tipo Maze ed ha rifiutato di pagare un riscatto di due milioni di dollari, i cyber criminali hanno minacciato di rendere pubblici i dati particolari estratti dalla banca dati. In tal modo, indirizzi di posta elettronica ed altri elementi sensibili, sono stati presi come “ostaggi” da utilizzare per avviare una campagna di spam apparentemente originata da questa stessa azienda. Per confermare la validità dell’attacco, i malviventi hanno anche diffuso 700 MB di dati (circa il 10% di quelli effettivamente sottratti) contenenti tracce di contratti, anamnesi mediche, e altri dati davvero molto critici. Contemporaneamente alla diffusione di questi dati, è stato innalzato il livello del riscatto del 50%. Dopo questa prima fase i criminali informatici si sono ulteriormente evoluti elaborando un sito web dedicato che elencava i nomi delle aziende attaccate e che avevano rifiutato di pagare il riscatto. Sullo stesso sito sono stati poi pubblicati i dati sottratti a riprova della loro veridicità. Accedendo a questo sito, si trovavano i nomi di dozzine di aziende, studi legali, studi medici e compagnie di assicurazione, vittime di questa nuova tipologia di attacco informatico. Successivamente anche altri criminali informatici si sono allineati in questa strategia di aumento della pressione sul soggetto colpito, creando un altro sito chiamato “Happy blog”, dove sono stati pubblicati dettagli di 13 aziende attaccate, con un campionario di informazioni sottratte.Cosa ci aspetta e come proteggersi
Nel settore vi è una grande convinzione che questo doppio attacco continuerà a svilupparsi rapidamente ed ulteriormente durante il 2020 che stiamo vivendo, colpendo in particolare le strutture sanitarie, che non solo raccolgono dati sensibili legati alla salute, ma che costituiscono anche bersaglio preferenziale in questa situazione pandemica. Questo considerato soprattutto che il mondo della sanità, già da decenni, ha dimostrato di essere assai poco preparato a fronteggiare situazioni di crisi informatica e quindi rappresenta un bersaglio particolarmente vulnerabile. A fronte di quanto visto, ricordiamo ancora una volta alle aziende ma anche ai privati, quali sono le principali misure da adottare per mitigare il rischio di essere vittime di attacchi ransomware. Ecco un breve elenco di consigli utili:- effettuare regolarmente e frequentemente copie di tutti i dati utilizzati;
- aggiornare tutte le protezioni informatiche esistenti all’ultima versione;
- utilizzare strategie di difesa a più livelli;
- avviare un programma di educazione dei dipendenti nel gestire i messaggi di posta elettronica sospetti ed altri tentativi di intrusione dal web.