Tra i diversi problemi che ci hanno colpito in quest’anno solare, il 2020 sarà ricordato anche come un anno di crescita esplosiva delle infezioni da ransomware.
Difatti, fin dalla loro prima apparizione, i ransomware hanno intrapreso un percorso evolutivo: da strumenti frammentari creati da appassionati isolati a una potente industria sotterranea che ha fatto la fortuna dei loro creatori. Per di più, per entrare in questo mondo oscuro, i costi si stanno abbassando.
Al giorno d’oggi, gli aspiranti criminali informatici non hanno più bisogno di creare il proprio malware o addirittura di acquistarlo sulla dark web. Non devono fare altro che accedere a una piattaforma RaaS (Ransomware-as-a-Service) su cloud. Facili da implementare e che non richiedono competenze di programmazione, tali servizi consentono praticamente a chiunque di utilizzare strumenti ransomware, e questo ha naturalmente portato a un numero crescente di incidenti informatici provocati da questa minaccia.
Un’altra preoccupante tendenza recente è il passaggio da un semplice modello di ransomware ad attacchi combinati che prelevano i dati prima di cifrarli. In questi casi, il mancato pagamento non comporta la distruzione delle informazioni, ma la loro pubblicazione su risorse pubbliche o la loro vendita in aste chiuse. In una di queste aste, che si è svolta nell’estate del 2020, sono state messe in vendita database di aziende agricole, rubati con il ransomware REvil, al prezzo di partenza di 55 mila dollari.
Sfortunatamente, molte vittime dei ransomware si sentono costrette a pagare nonostante sappiano che la restituzione dei dati non sia affatto garantita. Questo perché i cybercriminali tendono a prendere di mira aziende e organizzazioni che non possono tollerare tempi lunghi di inattività. I danni causati da un arresto della produzione, ad esempio, possono ammontare a milioni di dollari al giorno, mentre un’indagine su un incidente potrebbe richiedere settimane e non è sempre detto che tutto torni come prima. E che dire di organizzazioni e istituzione medico-sanitarie? In situazioni di emergenza, alcuni ritengono di non avere altra scelta se non quella di pagare.
Pochi mesi fa, l’FBI ha pubblicato una dichiarazione specifica sui ransomware, sconsigliando inequivocabilmente di pagare il riscatto ai cybercriminali (il pagamento, infatti, incoraggia altri attacchi e non garantisce in alcun modo il recupero delle informazioni cifrate).
Qualche esempio
Ecco alcuni incidenti avvenuti nei primi mesi di quest’anno e che indicano la crescente portata del problema.- A febbraio scorso, la società danese di servizi ISS è stata vittima di un ransomware. I criminali informatici hanno cifrato il database dell’azienda, il che ha portato alla disconnessione dai servizi aziendali di centinaia di migliaia di dipendenti in 60 paesi. I danesi si sono rifiutati di pagare. Il ripristino della maggior parte dell’infrastruttura e la conduzione di un’indagine hanno richiesto circa un mese e le perdite totali sono state stimate tra i 75 e i 114 milioni di dollari.
- In primavera, un ransomware ha colpito la multinazionale statunitense Cognizant, che fornisce servizi IT. Il 18 aprile la società ha ammesso ufficialmente di essere stata vittima di un attacco da parte del popolare ransomware Maze. I clienti utilizzano il software e i servizi dell’azienda per fornire assistenza a dipendenti in smart working, attività che ovviamente ha subito interruzioni. In una dichiarazione inviata ai partner subito dopo l’attacco, come indicatori di compromissione Cognizant ha elencato gli indirizzi IP specifici del server Maze e gli hash dei file (kepstl32.dll, memes.tmp, maze.dll). La ricostruzione di gran parte dell’infrastruttura aziendale ha richiesto tre settimane e, nei risultati finanziari del secondo trimestre del 2020, Cognizant ha riportato perdite tra i 50 e i 70 milioni di dollari.
- A febbraio, il Redcar and Cleveland Borough Council (Regno Unito) ha subito un attacco. Il quotidiano britannico The Guardian ha citato un membro del consiglio di amministrazione, secondo il quale durante tre settimane, il tempo necessario per ripristinare efficacemente l’infrastruttura informatica utilizzata da centinaia di migliaia di cittadini, il consiglio è stato costretto ad affidarsi a “carta e penna” per le proprie attività.
Come difendersi
La strategia migliore è sempre quella di essere preparati, dotando i servizi di posta elettronica, che sono potenziali gateway per l’accesso non autorizzato, di filtri antispam per bloccare o mettere in quarantena gli allegati eseguibili. Ecco, inoltre, un breve elenco di consigli utili:- effettuare regolarmente e frequentemente copie di tutti i dati utilizzati;
- aggiornare tutte le protezioni informatiche esistenti all’ultima versione;
- utilizzare strategie di difesa a più livelli;
- avviare un programma di educazione dei dipendenti nel gestire i messaggi di posta elettronica sospetti ed altri tentativi di intrusione dal web.
