di Giovanni Finetto e Paola Finetto
Obiettivo primario dei criminali informatici è sfruttare le potenzialità del mondo cyber per finalizzare i propri scopi illeciti: ad esempio, sottrarre la lista clienti di una società o carpirne i dati bancari, o ancora rendere inutilizzabili i sistemi informatici di una organizzazione, spesso accompagnando questi attacchi con una richiesta di pagamento di denaro.
Gli attacchi cyber hanno obiettivi trasversali al settore pubblico e a quello privato e sono ben descritti in uno dei rapporti più autorevoli in Italia, quello CLUSIT (CLUSIT, 2021), un’associazione senza fini di lucro composta da esperti provenienti da diversi ambiti che, dal 2012, realizza un report annuale sullo stato della sicurezza ICT in Italia. Nel report CLUSIT 2021 si legge: “Nell’anno della pandemia si registra il record negativo degli attacchi informatici: a livello globale sono stati infatti 1.871 gli attacchi gravi di dominio pubblico rilevati nel corso del 2020, ovvero con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica. In termini percentuali, nel 2020 l’incremento degli attacchi cyber a livello globale è stato pari al 12% rispetto all’anno precedente; negli ultimi quattro anni il trend di crescita si è mantenuto pressoché costante, facendo segnare un aumento degli attacchi gravi del 66% rispetto al 2017”1. Nel medesimo report vi è anche un’attenzione specifica dedicata al ransomware: “Nel 2020 gli attacchi cyber sono stati messi a segno prevalentemente utilizzando malware (42%), tra i quali spiccano i cosiddetti Ransomware – una tipologia di malware che limita l’accesso ai dati contenuti sul dispositivo infettato, richiedendo un riscatto – utilizzati in quasi un terzo degli attacchi (29%), la cui diffusione è in significativa crescita (erano il 20% nel 2019), sia in termini assoluti che in termini di dimensioni dei bersagli e di ammontare dei danni”2.
Il ransomware è un virus particolarmente sofisticato, che preclude o limita l’accesso a un dispositivo o ne cifra i dati contenuti. Per poter decifrare i dati criptati dal virus o comunque ripristinare l’operatività del sistema, il software richiede il pagamento di un riscatto. Il ransomware si palesa e si riconosce con facilità, in quanto la schermata del computer risulterà occupata da un avviso: l’utente viene informato che i suoi dati sono inutilizzabili e che potranno essere recuperati soltanto dopo il pagamento di un riscatto, che, solitamente, viene richiesto in criptovaluta (Bitcoin). Essenzialmente, esistono due operatività maligne:
- alcune forme di ransomware bloccano il sistema e intimano all’utente di pagare un riscatto per sbloccare il sistema stesso;
- altre invece cifrano i file dell’utente, chiedendo di pagare un riscatto per riportare i file cifrati in chiaro.
Questa nuova forma di estorsione si era inizialmente diffusa in Russia. Ora, gli attacchi ransomware sono perpetrati in tutto il mondo e sono diventati il nuovo strumento della criminalità organizzata per “raccogliere il pizzo”, ovvero effettuare vere e proprie estorsioni su scala globale con il minimo rischio di esposizione umana, nonché per riciclare denaro su scala internazionale. In quest’ultimo caso vengono sfruttate, come copertura, aziende che paradossalmente si occupano proprio di cyber security e che di fatto offrono servizi di decriptazione dei file ma che, in realtà, mascherano le trattative con gli hacker dirette a favorire il pagamento dei riscatti in criptovaluta, per poi fatturare al cliente, come servizio, anche l’avvenuto pagamento del riscatto.
Ciò che noi consigliamo è di non pagare mai il riscatto.
La motivazione principale, per cui si sconsiglia fortemente di cedere a richieste di pagamento del riscatto, sta nella inaffidabilità dei criminali informatici: la promessa di fornire la password per decrittare i file bloccati dal virus, dopo il pagamento del riscatto, potrà anche essere mantenuta ma non fornisce alcuna garanzia che i dati stessi non vengano ulteriormente commercializzati nel web.
È noto che il web nasconde la maggior parte dei suoi contenuti ai normali motori di ricerca: attraverso una ricerca su Google è possibile accedere ad una piccolissima parte dei contenuti di internet, all’incirca il 4%.Il restante 96% rientra nella parte sommersa dell’iceberg che prende il nome di deep web. Quest’area occultata della rete non costituisce necessariamente una minaccia ma, all’interno del deep web, si nasconde un pericoloso sottoinsieme, il dark web. Spesso i due concetti vengono confusi ma il secondo è decisamente più pericoloso del primo. Per accedere nel dark web, infatti, non è possibile sfruttare i normali canali di connessione ma si deve ricorrere a particolari reti sovrapposte, chiamate darknet, che garantiscono il totale anonimato al soggetto che vi si vuole connettere. Il dark web è diventato il recipiente di un enorme insieme di attività criminali protette rispetto alla rete “visibile”. Ebbene, è proprio in quest’area oscura che i criminali informatici e le organizzazioni criminali trattano e commerciano dati acquisiti illegalmente: anche i dati colpiti da ransomware rischiano di finire nel dark web e di divenire oggetto di traffici illeciti, naturalmente all’insaputa dell’ente al quale quei dati appartengono o al quale quei dati sono stati sottratti. È purtroppo frequente che questi dati, pur se decrittati grazie alla chiave fornita dai criminali dopo il pagamento del riscatto, vengano sfruttati e venduti nel dark web.
Il pagamento del riscatto, dunque, non garantisce la sicurezza dei dati. Anzi, sovente espone l’organizzazione ad un danno economico immediato (il pagamento del riscatto) e a danni economici e reputazionali successivi. Invero, laddove i dati carpiti dal ransomware continuino ad essere presenti nel dark web, potrebbe accadere che altri criminali li acquistino per renderli pubblici e, di conseguenza, rendere palese l’incidente di sicurezza o il data breach. Una ricerca, svolta da Accenture nel 2016 (Accenture, 2016)3, intervistando circa 2.000 impiegati (di cui circa il 50% decision maker) di alcune aziende di tutto il mondo, ha messo in evidenza che un attacco su tre si trasforma in un data breach. Questo significa che le aziende sono consce dell’elevata probabilità che tali attacchi vadano a buon fine e, soprattutto, possano causare una violazione di dati rilevante anche ai sensi del GDPR (Regolamento UE 2016/679 – Regolamento generale sulla protezione dei dati personali).
Il data breach (o violazione di dati) è una particolare tipologia di incidente di sicurezza delle informazioni, che coinvolge i dati personali. L’art. 4 comma 1 n. 12 del GDPR definisce la violazione dei dati personali come la “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Il Considerando 85 del GDPR precisa che “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”. Un data breach può dunque compromettere la riservatezza, l’integrità o la disponibilità dei dati personali coinvolti e, allo stesso tempo, può esporre l’ente titolare del trattamento a danni ingenti, soprattutto sotto il profilo reputazionale e sanzionatorio. Il rapporto “Cybereason Global Ransomware Study”4 evidenzia che il 66% di chi ha subito attacchi ha avuto perdite economiche, il 53% ha lamentato un danno d’immagine per la propria compagnia, il 29% una riduzione della forza lavoro e in un quarto dei casi l’attacco ha portato ad una chiusura dell’azienda.
L’attacco ransomware con criptazione dei dati non può essere sottovalutato: i dati potrebbero essere stati semplicemente criptati, oppure anche esfiltrati. Nel primo caso, i dati sono inutilizzabili ma non necessariamente nelle mani dei criminali informatici. Nel secondo caso, invece, è certo che i dati sono già presenti nel dark web.
Le modalità con cui viene sferrato un attacco ransomware sono sostanzialmente le medesime usate per gli altri tipi di attacchi informatici:
- l’invio di e-mail di phishing è ancora diffuso; attraverso questa tecnica, con la quale vengono veicolati oltre il 75% dei ransomware, l’utente, se non adeguatamente informato e formato sui rischi cyber, viene indotto a cliccare su un link o ad aprire un allegato, i quali fanno penetrare il virus nel sistema informatico;
- purtroppo, non sono rari neppure i casi di ransomware veicolati usando un supporto rimovibile, per esempio una chiavetta USB oppure un cavo contenenti il software malevolo; questa tecnica fa leva sul fattore umano, oltre che sulla carenza di informazione e formazione sui rischi cyber; le persone sono naturalmente curiose e non è insolito che raccolgano chiavette USB o colleghino il computer o lo smartphone ad un cavo di ricarica lasciati incustoditi in spazi comuni (ingresso dell’azienda, mensa, parcheggio, aeroporti, stazioni ferroviarie ecc.); in questo caso, il malware si attiverà appena la chiavetta USB sarà inserita nel computer, oppure appena il cavo di ricarica sarà collegato al computer o al telefono;
- il ransomware può essere veicolato anche attraverso altri software, che vengono scaricati dal web e che sono, per lo più, gratuiti e, come tali, possono nascondere più di qualche insidia;
- vi sono, infine, tecniche di attacco che sfruttano le vulnerabilità di una rete o di un sistema informatico; si pensi all’attacco del marzo 2021 che ha utilizzato vulnerabilità di Microsoft Exchange Server (software che aziende e organizzazioni in tutto il mondo utilizzano per gestire e-mail e calendari) per distribuire ransomware dopo la compromissione dei server.
Sono dunque molteplici le modalità, con cui può essere sferrato e attuato un attacco ransomware. I ransomware possono penetrare nel sistema attraverso un file scaricato o una vulnerabilità nel servizio di rete; il software eseguirà poi un payload, che, ad esempio, cripterà i file personali sull’hard disk. I ransomware più sofisticati utilizzano sistemi ibridi di criptazione (che non necessitano di condivisione di chiavi fra i due utenti) sui documenti della vittima, adottando una chiave privata casuale e una chiave pubblica fissa; in questo caso, l’autore del malware è l’unico a conoscere la chiave di decriptazione privata. Alcuni ransomware eseguono un payload che non cripta, ma è semplicemente un’applicazione che limita l’interazione col sistema, agendo sulla shell di Windows e rendendola non operativa e controllata dal malware stesso, o addirittura modificando il master boot record e/o la tabella di partizione (il che impedisce l’avvio del sistema operativo finché non viene riparata). I payload dei ransomware fanno anche uso di scareware per estorcere denaro all’utente del sistema. Il payload potrebbe, ad esempio, mostrare notifiche che credibilmente potrebbero essere state inviate da autorità pubbliche o da enti, le quali affermano falsamente che il sistema è stato usato per attività illegali o contiene materiale illegale, pornografico o piratato. Altri payload imitano le notifiche di attivazione prodotto di Windows XP, affermando che il computer potrebbe montare una distribuzione di Windows contraffatta, che va quindi riattivata.
Bitdefender – player di primo piano nella materia della prevenzione del rischio cyber – ha rilevato l’aumento di attacchi informatici attraverso la sua rete di antivirus: l’Italia sarebbe seconda solo agli Stati Uniti in questo poco invidiabile primato di attacchi ransomware. Considerate le differenze in termini di popolazione (gli USA hanno 325 milioni di abitanti e l’Italia ne ha 60 milioni), il dato statistico assume dimensioni davvero impressionanti. Nel “Consumer Threat Landscape Report 2020” pubblicato da Bitdefender nell’aprile 20215 si legge che “gli attacchi ransomware sono cresciuti di un sorprendente 485% nel 2020 rispetto al 2019. Gli attacchi nel primo e secondo trimestre del 2020 hanno rappresentato il 64% di tutti gli attacchi ovvero il 19% in più rispetto ai primi due trimestri del 2019. In Italia il 66% nei primi due trimestri”. Il riferimento è, in particolare, alla recente ondata di malware che ha investito le caselle di posta elettronica anche nel nostro Paese utilizzando una specifica tecnica di social engineering, che sfrutta l’uso della posta elettronica certificata per indurre le vittime a considerare attendibile il messaggio che contiene, invece, un cryptolocker. Gli antivirus stanno introducendo strumenti sempre più sofisticati per cercare di arginare gli attacchi ma i risultati, almeno per ora, tardano a vedersi. Una possibile soluzione potrebbe arrivare da un approccio alternativo al problema, che Bitdefender descrive come un “vaccino” per i ransomware: studiando i dati raccolti, si è compreso che i ransomware lasciano una sorta di marcatore sui computer che infettano. In altre parole, il ransomware, quando si installa su un computer, lo “marchia” in modo che venga riconosciuto. Il “vaccino” per i ransomware inserisce un marcatore che inganna il malware, facendogli credere che il computer sia già stato infettato: in questo modo il computer viene ignorato dal malware. I marcatori vengono aggiornati periodicamente via Internet per adattarsi agli eventuali cambiamenti introdotti dai cyber-criminali.
Una tipologia di ransomware, che ha fatto molte vittime nel 2019 e nel 2020, è Maze. Nel 2020, le richieste di riscatto di Maze sono state in media di 4,8 milioni di dollari, un aumento significativo rispetto alla richiesta media di riscatto rilevata in precedenza. Maze viene considerato il “pioniere” della doppia estorsione: si tratta di una tecnica particolarmente subdola per forzare la vittima a pagare il riscatto, anche se questa dispone di un backup utilizzabile. La minaccia usata è quella di esporre i dati – che sono stati esfiltrati prima della cifratura – in un sito pubblico o nel dark web. Per indurre la vittima a prendere in seria considerazione l’opportunità di pagare il riscatto, i criminali iniziano anche a pubblicare, a piccole dosi, i dati nel dark web, così da dimostrare la veridicità della minaccia paventata.
Ebbene, a maggior ragione, anche in questo caso non si deve pagare il riscatto: infatti, pur pagandolo, non si avrebbe mai la certezza che i dati carpiti dai criminali informatici non vengano poi resi pubblici.
Il rapporto “Cybereason Global Ransomware Study”6 evidenzia chel’80% di chi accetta di versare la somma richiesta dai pirati informatici viene colpito da un secondo attacco e, nella metà dei casi, da parte dagli stessi soggetti autori del primo attacco: lo studio è stato condotto da oltre 1000 esperti di sicurezza informatica in diversi Paesi (USA, Gran Bretagna, Spagna, Germania, Francia, Emirati Arabi Uniti e Singapore). La tecnica del doppio attacco viene scelta dai criminali informatici in base alle stesse motivazioni per cui i ladri tendono a rubare una seconda volta nella casa oggetto di un loro precedente furto: l’aggressore è a conoscenza delle vulnerabilità dell’ambiente (sia esso fisico o digitale), poiché lo ha già in precedenza violato. Inoltre, il “Cyberthreat Defense Report 2021”7 segnala che, nonostante quasi il 70% delle vittime abbia pagato il riscatto, meno del 20% di queste ha poi ottenuto che i propri dati fossero resi di nuovo disponibili: ovviamente, i criminali non sono affidabili e non hanno alcun interesse, singolarmente, ad esporsi ulteriormente dopo avere ottenuto quello che volevano.
Bisogna considerare che, a seconda della tipologia di vittima dell’attacco informatico (organizzazione pubblica o privata, utente privato), il danno derivante dalla indisponibilità, temporanea o permanente, dei dati compromessi può avere conseguenze e costi più o meno rilevanti, a seconda della importanza “strategica” dei dati stessi. Un’azienda pubblica o un’azienda sanitaria, che erogano servizi ai cittadini, si troveranno praticamente bloccate nella operatività quotidiana e, se poi gestiscono servizi urbani, l’intero territorio di riferimento si troverà a scontare le conseguenze dell’attacco informatico. Se ad essere colpita fosse una infrastruttura critica, che fornisce beni e/o servizi essenziali per il Paese (si pensi ai settori dell’energia, dei trasporti, della sanità), in cui i sistemi e le reti sono preposti alla gestione e al controllo di apparecchiature fisiche (macchinari sanitari, pompe e sistemi di chiuse di dighe ed acquedotti, semafori e torri di controllo, ecc.), le conseguenze di un attacco informatico potrebbero essere drammatiche, se non tragiche. Non è un caso che siano proprio le aziende sanitarie ad essere state bersagliate, negli ultimi mesi, dagli attacchi ransomware: lo scopo dei criminali è danneggiare quanto più possibile, per indurre le vittime a pagare il riscatto.
In questo contesto, la migliore protezione è la prevenzione. I ransomware hanno lo stesso meccanismo di diffusione di qualsiasi altro virus. Di conseguenza, tutte le consuete misure di sicurezza tecnico-organizzative – rilevanti anche ai sensi dell’art. 32 GDPR – si applicano anche in questo caso:
- aggiornamento continuo della protezione dei sistemi dalle vulnerabilità, comprendendo qui la conoscenza completa e aggiornata dei sistemi hardware e software in essere e il relativo monitoraggio e controllo;
- procedure di backup e, soprattutto, di restore che siano testate e affidabili, il che include la piena conoscenza dei processi e dei dati gestiti (molto difficile da ottenere e mantenere al crescere delle dimensioni dell’organizzazione); in particolare, è vitale il backup dei dati, cioè copie funzionanti e recenti (non è così scontato, purtroppo) dei propri file. Il backup dei dati aziendali dev’essere un’attività pianificata secondo la security by design e non può essere affidata alla “buona volontà” di un operatore. Dovrà prevedere sempre la “ridondanza”: non una sola copia di backup, ma almeno tre copie secondo la basilare regola 3-2-1. In pratica: tre copie di ogni dato che si vuole conservare, di cui due copie “on-site” ma su storage differenti (HD, NAS, Cloud ecc.) e una copia “off-site” (in sito remoto, ad esempio su Cloud, nastri ecc.). In questo modo, se il ransomware dovesse infettare il sistema, una copia dei dati rimarrebbe protetta, dando all’organizzazione l’opportunità di ripristinarli. Altrettanto importante è la protezione del backup, che deve essere isolato e non accessibile da un qualsiasi utente collegato in rete;
- formazione e informazione agli utenti, affinché non cadano nelle trappole del phishing, il vettore più usato per questo tipo di minaccia; in realtà, la consapevolezza costantemente aggiornata degli utenti potrebbe essere lo strumento migliore per affrontare minacce di questo tipo: negli ambiti tecnologici, il fattore umano è spesso sottovalutato, nel bene e nel male.
Come spesso accade in materia di cyber security, il governo USA è stato tra i primi a reagire a questo nuovo tipo di minaccia – il ransomware appunto – e a fornire indicazioni concrete per la prevenzione e la gestione del danno. Diverse agenzie e organizzazioni (NSA, NIST, Homeland Security) sono preposte, non sempre in maniera chiara e coesa, allo studio e alla definizione di modalità di approccio e intervento nella varia fenomenologia della cyber security. Nello specifico, proprio il NIST ha rilasciato il draft di linee guida e di how-to sul recupero di eventi “distruttivi”, come il ransomware (SP-1800-11a/b/c, di cui è prevista a breve la versione definitiva).
Tra le indicazioni di massima fornite dalle varie organizzazioni coinvolte rientra quella di non pagare il riscatto, al fine di contenere la diffusione del fenomeno, e comunque riferire l’evento agli enti preposti, affinché possano intervenire tempestivamente.
L’Italia è uno dei Paesi più attaccati e vulnerabili dal punto di vista del ransomware: la disciplina del Risk Management è ancora applicata in misura insufficiente e a macchia di leopardo, lasciando così pericolosi “vuoti” di controllo e consapevolezza, in cui possono prosperare fenomeni di cyber-espionage e più genericamente di hacking. Tuttavia, il fenomeno qui esaminato merita di essere preso in attenta considerazione e dovrebbe indurre gli enti e le organizzazioni, pubblici o privati che siano, a investire non nel pagamento dei riscatti, quanto piuttosto nella implementazione di sistemi sempre più efficaci di mappatura, gestione e prevenzione del rischio cyber.
- https://clusit.it/rapporto-clusit/ ↩︎
- https://clusit.it/rapporto-clusit/ ↩︎
- https://www.accenture.com/us-en/insight-building-confidence-facing-cybersecurity-conundrum ↩︎
- https://www.cybereason.com/press/new-cybereason-ransomware-study-reveals-true-cost-to-business ↩︎
- https://www.bitdefender.it/news/il-nuovo-report-di-bitdefender-rivela-le-principali-minacce-informatiche-globali-3974.html ↩︎
- https://www.cybereason.com/press/new-cybereason-ransomware-study-reveals-true-cost-to-business ↩︎
- https://cyber-edge.com/cdr/ ↩︎
