Sono tra gli attacchi più comuni nei confronti delle aziende, ma quando si affronta la rimozione di un ransomware, troppo spesso le aziende sottovalutano gli aspetti “nascosti” degli attacchi. Il rischio è quello di lasciare i sistemi esposti ad ulteriori pericoli e incorrere in furti di dati e nuove estorsioni. Predisporre una reazione adeguata richiede un approccio a 360 gradi che consenta di arginare tutti gli effetti negativi dell’attacco.
Nell’ottica di gestire la sicurezza di un’azienda, un attacco ransomware rappresenta un problema enorme. I malware di questo genere sono originariamente progettati per “prendere in ostaggio” i file della vittima e chiedere un riscatto (normalmente in Bitcoin) per la loro “liberazione”. La tecnica usata è quella della crittografia, che rende inaccessibili i dati per chi non possiede la chiave crittografica che ne consente la decodifica. Un attacco del genere su un computer privato, porta normalmente all’impossibilità di accedere ai documenti memorizzati e non comporta problemi dal punto di vista del funzionamento della macchina. Le cose cambiano, però, quando a subire l’attacco è un’azienda. In questo caso, infatti, la crittografia dei dati conservati sui sistemi dell’impresa comporta il blocco dei servizi e, al di là del recupero dei dati nel medio-lungo periodo, l’attacco si traduce in un danno immediato dal punto di vista operativo.
Nonostante le cronache riportino numerosi casi di aziende che hanno ceduto al ricatto dei pirati informatici, la via del pagamento del riscatto per ottenere la chiave di decodifica e ripristinare i file è assolutamente sconsigliata. I motivi sono numerosi, a partire dalla considerazione legata al fatto che nulla impedisce ai cyber criminali di incassare il riscatto senza poi fornire la chiave di decodifica o cercare di estorcere ulteriori somme di denaro. Non solo: la procedura di decodifica attraverso gli strumenti forniti dagli stessi cyber criminali rappresenta un vero azzardo. Molti di questi malware, infatti, hanno difetti ed errori di programmazione che spesso rendono impossibile il recupero o portano a risultati parziali. Ancor peggio, in alcuni casi la possibilità di decodifica non è affatto prevista.
Se la via maestra per ripristinare l’operatività dei sistemi dell’azienda è quella di utilizzare le funzionalità di backup, esiste la possibilità che ci siano delle alternative. Dal momento in cui i ransomware hanno fatto la loro comparsa, infatti, le società di sicurezza hanno cominciato a sviluppare sistematicamente strumenti gratuiti per la decodifica dei file “catturati” dai malware. Si tratta di un’attività che ha visto collaborare tutti gli esperti di sicurezza e che, negli anni, ha permesso di creare un vero e proprio arsenale di strumenti che permettono di scardinare gli algoritmi di crittografia usati dai pirati informatici. Iniziative come “No More Ransom”, che vedono la collaborazione di produttori di antivirus ed Europol, mettono a disposizione di aziende e comuni cittadini questo tipo di strumenti. L’intervento di professionisti della cyber security, però, in un ambito aziendale è indispensabile. Sia per ottimizzare le possibilità di individuare lo strumento più adatto, sia per la sua applicazione.
Con la prima ondata di ransomware, iniziata nel 2015-2016, i pirati informatici hanno adottato una tecnica piuttosto dozzinale: i malware venivano inviati “a pioggia” attraverso messaggi di posta elettronica, sperando nell’impreparazione delle potenziali vittime di fronte a un fenomeno inaspettato. Con il tempo, però, gli autori degli attacchi ransomware diretti alle aziende hanno cambiato il loro modus operandi. L’installazione del malware deve essere considerata adesso come lo stadio finale di un’operazione di infiltrazione più ampia, attraverso la quale i cyber criminali si sono guadagnati l’accesso ai settori critici dell’azienda. Questo significa che la rimozione del ransomware deve essere seguita da una vera e propria “operazione di bonifica” che richiede un’accurata attività di forensica per ricostruire l’anatomia dell’attacco, individuare gli elementi compromessi e “ripulire” i sistemi IT da eventuali backdoor installate dai pirati. Una procedura senza la quale l’incidente non si può in nessun caso considerare chiuso.
L’evoluzione delle tecniche di attacco dei pirati informatici non riguarda solo le tipologie di malware e il modus operandi dei cyber criminali nella diffusione dei ransomware. Negli ultimi 24 mesi, infatti, gli hacker hanno cambiato le loro strategie adottando una tecnica che prevede una doppia estorsione: la prima fa leva sul blocco dei sistemi provocato dal malware, la seconda sulla minaccia di rendere pubblici i dati dopo la rimozione del ransomware. In alcun casi, questa seconda richiesta sfrutta il timore delle aziende legato alla possibilità di subire sanzioni da parte delle autorità ai sensi del GDPR, il regolamento europeo per la protezione dei dati che prevede multe piuttosto salate per le imprese che non hanno protetto in maniera efficace i dati in loro possesso. In altri casi, a mettere “pressione” sulla vittima è il contenuto stesso dei documenti sottratti. La diffusione di informazioni riservate, come gli elenchi dei clienti o i dati relativi alle offerte commerciali, possono infatti provocare danni estremamente rilevanti all’azienda e, potenzialmente, mettere a rischio anche il suo patrimonio intellettuale.
Anche nel caso in cui i pirati informatici non chiedano un secondo riscatto, l’ipotesi che i cyber criminali abbiano avuto accesso ai dati e siano di conseguenza in possesso di informazioni sensibili non può essere scartata a priori. Alla rimozione del ransomware, di conseguenza, deve seguire una verifica attraverso strumenti di informatica forense per individuare eventuali segni di esfiltrazione dei dati. Non solo: è indispensabile avviare attività di intelligence, come il monitoraggio del Dark Web e dei forum frequentati dai pirati informatici, allo scopo di individuare tempestivamente eventuali tentativi di vendere o diffondere informazioni rubate nel corso dell’attacco. Il rischio non riguarda solo la possibilità che queste informazioni danneggino l’azienda, ma che possano essere utilizzate per danneggiare soggetti terzi, come clienti, fornitori o gli utenti che accedono ai servizi dell’impresa.