Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Venerdì, 12 Agosto 2022
Il Ransomware - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Il Ransomware - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

LUGLIO 2022

Il ransomware è un tipo di software dannoso, che inibisce l’apparato informatico della vittima e lo mantiene bloccato sino a quando non viene pagato all'attaccante un riscatto. La realizzazione di un attacco ransomware normalmente procede attraverso tre passaggi, come codificato da IBM (https://www.ibm.com/au-en/topics/ransomware) :

Passaggio 1: Ricognizione.

Gli aggressori eseguono la scansione del sistema infetto per comprendere meglio l’apparato e la rete, nonché scoprire i file sui quali concentrare l’attenzione. Sono ricercate anche credenziali aggiuntive che potrebbero consentire agli attaccanti di diffondersi nella rete, propagando il ransomware a più dispositivi.

Passaggio 2: Attivazione.

Il ransomware inizia a identificare e crittografare i file. La maggior parte dei ransomware di crittografia implementa la crittografia asimmetrica, utilizzando una chiave pubblica per crittografare il ransomware e conservando una chiave privata in grado di decrittografare i dati. Poiché le vittime non hanno la chiave privata, non possono decrittografare autonomamente i dati. Alcuni ransomware disabilitano anche le capacità di ripristino del sistema per aumentare la pressione per pagare la chiave di decrittazione.

Passo 3: La richiesta di riscatto.

Una volta che l’apparato è stato disabilitato, il ransomware avvisa la vittima dell'infezione e richiede il riscatto con le relative istruzioni per pagarlo ed avere una chiave per
ripristinare le operazioni standard.

Pagare il riscatto è accettato dalla maggioranza degli utenti. In uno studio dell’IBM del 2021, è evidenziato che il 61% delle aziende, che sono state interpellate e che hanno confermato di aver subito un attacco ransomware, ha dichiarato di aver pagato il riscatto. Però, le forze dell'ordine federali statunitensi scoraggiano le vittime di ransomware dal pagare richieste di riscatto:
“The FBI does not encourage paying a ransom to criminal actors. Paying a ransom may embolden adversaries to target additional organizations, encourage other criminal actors to engage in the distribution of ransomware, and/or fund illicit activities. Paying the ransom also does not guarantee that a victim's files will be recovered.”
La richiesta di pagamento, con le relative istruzioni, compare di solito in una finestra che si apre automaticamente sullo schermo del dispositivo infettato. All’utente viene comunicato che ha poche ore o pochi giorni per effettuare il versamento del riscatto, altrimenti il blocco dei contenuti diventerà definitivo.
Secondo l’AGI (Agenzia Giornalistica Italia), non c’è mai la certezza che dopo il primo pagamento i criminali cederanno la chiave crittografica per sbloccare dati o sistemi in ostaggio. Per giunta i dati liberati dopo un attacco possono risultare corrotti.
Il modus operandi dei banditi è che una volta attaccata la vittima e aver ottenuto un riscatto, continuerà a farlo, per molte volte. Le varie gang potrebbero poi passarsi le informazioni sulle vittime affinché possano essere attaccate di nuovo da altri gruppi, ancora e ancora. Queste anche secondo Yoroi, società che si occupa di sicurezza informatica, alcune delle ragioni per cui le vittime di ransomware non dovrebbero mai pagare il riscatto.
Inoltre, la stessa società ha rilevato che Kisa, agenzia per la cybersecurity della Corea del Sud, ha rilasciato il decryptor per Hive Ransomware, un gruppo che ha attaccato anche aziende italiane come Ferrovie dello Stato, portando al blocco delle biglietterie. Avere a disposizione il decryptor potrebbe salvaguardare numerose organizzazioni che a causa di attacco ransomware hanno visto rallentare la produzione o, in alcuni casi, arrivare al suo blocco totale.
Secondo vari studi circa l’80% delle organizzazioni e società che hanno pagato il riscatto dopo l’attacco, secondo Yoroi, sono state colpite dal ransomware una seconda volta. “Il nostro consiglio – ha spiegato Marco Ramilli, ad di Yoroi - è di essere preparati a un attacco ransomware e a non pagare in nessun caso il riscatto. Se è stato fatto un adeguato backup, l’azienda o l’ente colpito, possono riavviare le normali attività, mentre l’autorità giudiziaria provvederà a fare il suo lavoro”

Alberto Traballesi

(Newletter AIIC n. 7 (2022))