Ransomware, pizzo digitale, virus che chiede il riscatto o, più semplicemente, la piaga digitale con la P maiuscola che ormai è diventata sinonimo di “spauracchio” o “ansia” per milioni di imprese in tutto il mondo Italia compresa. La statistica ormai è tristemente nota, ogni 11 secondi, nel mondo, un ransomware va a segno e, nell’80 per cento dei casi (numeri Clusit) lascia in dote danni ad elevato impatto all’interno delle aziende.
Il punto è che si tratta di un sistema di “attacco” cyber che conosciamo da anni ma, nonostante il tempo, continua a fare danni e, di fatto, oggi è il più temibile freno per la complessa fase di ripartenza in cui sono impegnate migliaia di imprese italiane.
Una ripartenza possibile ma difficile, vedi anche il contesto internazionale, in cui le imprese, soprattutto di piccole dimensioni, faticano a mettere sul piatto le adeguate competenze per contenere una marea montante, quella dei ransomware, che si nutre di innovazione straordinaria, budget milionari (quelli di cui dispongono i cybercriminali) ma soprattutto della scarsa percezione del rischio da parte delle imprese (e qui si inserisce la piaga del fattore umano). Ed è proprio al centro di questa sfida che si inserisce la rivoluzione della sicurezza come servizio e della capacità di portarla nel cuore delle imprese proprio come sta facendo BeeCyber nuova divisione security di una eccellenza tecnologica italiana come Infor. Ma andiamo con ordine…
Ransomware, cos’è
Al di là dei numeri e della pura cronaca, in questa nuova puntata di #BeeCyber vediamo innanzitutto cosa vuol dire davvero ransomware? Intanto il vocabolario: “ransom” in inglese vuol dire “riscatto”. Una cattiva usanza che ha origini lontanissime nel mondo “fisico” e che nel digitale conta esempi risalenti al 1989. Tuttavia la comparsa del ransomware, come lo intendiamo oggi, viene datata 2005, in Russia. L’impennata si è avuta poco dopo e così, nell’ultimo decennio, gli antivirus si stanno specializzando nel rilevare i ransomware anche sulla scia di attacchi clamorosi come WannaCry, primo grande ransomware capace di colpire su scala internazionale, nel maggio 2017. Ma in che cosa consiste nello specifico il pizzo digitale?
Possiamo definirli come dei codici che hanno l’intento di bloccare improvvisamente l’accesso alle cartelle, che contengono i dati di produzione aziendale, del computer e dei server presi di mira. Ed è qui che subentra la richiesta, in denaro o criptovalute, come i bitcoin, con la promessa di rendere nuovamente fruibili i dati sottratti. Le transazioni all’inizio dovevano essere effettuate via posta, adesso il passaggio avviene con carta di credito. Sullo schermo appaiono indicazioni sul tempo che il malcapitato ha per pagare, talvolta poche ore, ed evitare in tal modo una possibile eliminazione dei contenuti.
Una volta installatosi, il ransomware va a “coprire”, con un algoritmo di crittografia (la scrittura nascosta), i file che trova sul suo cammino. Detto in alternativa “rogueware” o “scareware”, è sviluppato dagli scammer, cioè gli autori delle truffe online. Da dove arriva? Solitamente attraverso il famigerato SPAM, ovvero la posta giudicata come “indesiderata” da chi la riceve. Scaricando un documento sospetto o cliccando su un link presente nel testo, o su un sito, il ransomware si insinua velocemente, dando il via ad una vasta infezione in forma digitale.
Come funziona il ransomware
Tra i canali preferiti dal ransomware c’è il phishing, frode virtuale purtroppo ricorrente nel business. Uno strumento potente, davanti al quale sborsare cifre enormi è soltanto controproducente, perché si finisce comunque per non ottenere la decriptazione, andando soggetti a nuove minacce nonché costi di migliaia e migliaia di euro.
Il ransomware può essere controllato da remoto dai malintenzionati che, per guadagnarsi la fiducia dell’interlocutore, si nascondono dietro figure note, fingendo di erogare servizi, sfruttano i social network o addirittura costruiscono portali ad hoc per ingannare la preda. Nelle imprese vanno organizzate delle iniziative di formazione per mettere in guardia i dipendenti da pericoli che, banalmente, possono celarsi persino in app ritenute innocue.
Il ransomware, come detto, utilizza la crittografia asimmetrica. Questa è la crittografia che utilizza una coppia di chiavi per crittografare e decrittografare un file. La coppia di chiavi pubblica-privata viene generata in modo univoco dall’attaccante per la vittima, con la chiave privata per decrittografare i file archiviati sul server dell’attaccante.
L’attaccante mette a disposizione della vittima la chiave privata solo dopo il pagamento del riscatto, anche se, come si è visto nelle recenti campagne di ransomware, non è sempre così. Senza l’accesso alla chiave privata, è quasi impossibile decrittografare i file in attesa di riscatto. Esistono molte varianti di ransomware.
Spesso i ransomware (e altri malware) vengono distribuiti tramite campagne di spam via e-mail o tramite attacchi mirati. Il malware ha bisogno di un vettore di attacco per stabilire la sua presenza su un endpoint. Dopo che la presenza è stata stabilita, il malware rimane nel sistema fino al completamento del suo compito. Dopo un exploit riuscito, il ransomware rilascia ed esegue un file binario dannoso sul sistema infetto.
Questo binario quindi ricerca e crittografa file preziosi, come documenti Microsoft Word, immagini, database e così via. Il ransomware può anche sfruttare le vulnerabilità del sistema e della rete per diffondersi ad altri sistemi e possibilmente a intere organizzazioni. Una volta che i file sono stati crittografati, il ransomware richiede all’utente di pagare un riscatto entro 24-48 ore per decrittografare i file, altrimenti andranno persi per sempre. Se un backup dei dati non è disponibile o tali backup sono stati crittografati, la vittima deve pagare il riscatto per recuperare i file personali.
La conclusione è comune e si concretizza di frequente in un avviso della Polizia o dell’FBI confezionato apposta per l’occasione.
I casi sono infiniti e risalgono di fatto in continuo aggiornamento: ultimi in ordine di arrivo il presunto attacco a Ferrari e ancora al sistema di biglietteria online di Ferrovie dello Stato… PMI dunque nel mirino ma anche “pesci grossi” sfruttando ancora e sempre il fattore umano e il progressivo affinamento dei sistemi di attacco e delle truffe digitali.
Gli esempi, anche recentissimi, sono davvero numerosi e l’elenco si aggiorna quotidianamente. In questo senso emblematico forse il recente caso di cui è stata vittima Metro AG, che gestisce la terza catena di vendita al dettaglio in Europa e la quarta al mondo. La società detentrice del noto marchio è stata infatti colpita da un attacco informatico che ha bloccato parte della sua infrastruttura IT scatenando problemi con il pagamento nei negozi e la consegna degli ordini online. La stessa società è stata costretta, pur di mantenere i negozi , a passare ai sistemi di pagamento offline. Inoltre, gli ordini online effettuati tramite l’app sono risultati a lungo lenti e difficoltosi.
Cosa fare allora? Essere prudenti e riflettere bene prima di aprire e-mail dal mittente ignoto o veicolanti allegati con estensioni “.exe”. Stessa accortezza va mantenuta per i banner, poiché non sempre si sa dove possono portare.
Alla base di tutto va cambiato l’approccio alla sicurezza seguendo modelli e standard di riferimento. Tra le pratiche di prevenzione va incluso l’aggiornamento di programmi e sistema operativo e la periodicità dei backup: avendo archivi a portata di mano, un’eventuale perdita causerebbe meno danni.
Perché si sta diffondendo facilmente il ransomware?
Gli attacchi ransomware e le loro varianti si stanno evolvendo rapidamente per contrastare le tecnologie preventive per diversi motivi:
- Facile disponibilità di kit di malware che possono essere utilizzati per creare nuovi campioni di malware su richiesta
- Utilizzo di noti interpreti generici per creare ransomware multipiattaforma (ad esempio, Ransom32 utilizza Node.js con un payload JavaScript)
- Uso di nuove tecniche, come la crittografia dell’intero disco invece dei singoli file trovati. Tattica che rende più elevata la velocità di esecuzione e penetrazione dei ransomware.
I ladri di oggi non devono nemmeno essere esperti di tecnologia. I ransomware sono spuntati nel mercato online, offrendo ceppi di malware per qualsiasi aspirante criminale informatico e generando profitti extra per gli autori di malware, che spesso chiedono una riduzione dei proventi del riscatto.
Perché è così difficile trovare autori di ransomware?
L’uso di criptovalute anonime per i pagamenti, come bitcoin, rende difficile seguire la scia del denaro e rintracciare i criminali. Sempre più spesso, i gruppi di criminalità informatica stanno escogitando schemi di ransomware per realizzare un rapido profitto. La facile disponibilità di codice open source e piattaforme drag-and-drop per lo sviluppo di ransomware ha accelerato la creazione di nuove varianti e aiuta i principianti degli script a creare il proprio ransomware. In genere, i malware all’avanguardia come il ransomware sono polimorfici, il che consente ai criminali informatici di aggirare facilmente la tradizionale sicurezza basata sulle firme e sull’hah dei file.
Allarme Ransomware? La risposta di BeeCyber, servono competenza e ascolto
Il ransomware, anche a distanza di alcuni anni dalla sua scoperta, resta una delle principali minacce per la sicurezza informatica delle aziende di tutti i settori e dimensioni. Gli attacchi di questo tipo prendono infatti di mira le organizzazioni manifatturiere, sanitarie e del settore pubblico, richiedendo un ingente riscatto per restituire i file. È ormai chiaro che i tradizionali metodi di protezione, come il rafforzamento del firewall, non sono più sufficienti per mitigare completamente i danni causati da attacchi ransomware. In questo caso il pericolo maggiore è legato al fatto che gli attaccanti devono soltanto riuscire a infiltrarsi nel computer di un singolo dipendente per poi infettare l’intera rete aziendale. Si parla di movimento laterale dell’attacco ransomware: i cybercriminali sono così in grado di scansionare e attaccare silenziosamente tutti i dispositivi in rete in modo meticoloso e senza ostacoli. In questo modo il ransomware rischia di prendere il controllo dei principali dispositivi di produzione delle nostre organizzazioni, con danni che possono essere difficilmente quantificabili. In un simile contesto, BeeCyber ha scelto da tempo la strada delle competenze verticali, ovvero della capacità di analizzare, ascoltare e costruire risposte e strategie di sicurezza as a service, su misura delle imprese del territorio. Una strada, ad alto valore, su cui la Business Unit si muove forte di competenze e specializzazioni maturate nel tempo.
«Il cliente è una società che ha una propria storicità – spiega Massimiliano Belletti, Senior Cybersecurity Sales Engineer at BeeCyber (Infor) – un proprio contesto, una propria visione del business, un proprio business. Ogni realtà deve essere analizzata per fornire la migliore soluzione che non è la miglior soluzione in generale per tutti, è la miglior soluzione per quel cliente. Di fronte all’allarme ransomware oggi i manager hanno necessità di avere una risposta chiara su cosa sia davvero la cybersecurity e quale sia la miglior “postura” per mettere al sicuro le proprie attività digitali – spiega ancora Belletti -. Le imprese stanno sempre più capendo che non si tratta di un mero prodotto ma di una idea, una strategia su cui occorre avere una visione che si traduce in un punto d’inizio e un continuo affinamento. Procedure, soluzioni a tutela del proprio business… insomma i clienti chiedono consulenti di valore che parlino la loro lingua. Ed è qui che BeeCyber fa la differenza. Per noi la centralità è il business del cliente. Si parte andando ad analizzare l’infrastruttura tecnologica di una azienda, si considera la specificità delle persone, che operatività hanno, quali consuetudini hanno. A questo punto si delinea una strada capace di fornire servizi specialistici quando c’è bisogno, come c’è bisogno, affiancati però da un accompagnamento che è una ristrutturazione anche dei processi interni aziendali in ottica di consapevolezza cyber».
