Se il cybercrime fosse una serie tv, il protagonista principale sarebbe lui: il ransomware. Il numero di questa tipologia di attacco è infatti cresciuto in maniera esponenziale, per l'esattezza dell'81% tra il l 2020 e il 2021. E le prospettive per questo 2022 non indicano un cambiamento di rotta.
Quel che rende ancor più complicato lo scenario è la tipologia degli obiettivi individuati dagli attaccanti, che coincide con l’intero mondo imprenditoriale privato e con le pubbliche amministrazioni; in altre parole, gli attori del sistema economico di un Paese. Grandi aziende, Piccole e Medie Imprese, enti pubblici, scuole: nessuno è immune al ransomware e alla sua capacità di produrre danni anche molto pesanti.
«Il problema è pressante per tutti, ma è più grave per le PMI perché, diversamente dalle grandi realtà, sono mediamente meno strutturate e dotate di strumenti di sicurezza informatica in grado di arginare i danni»: così gli esperti di HWG spiegano la portata del fenomeno. E aggiungono: «Ormai è così dal 2012. Fino a quella data e dagli anni 80, i ransomware erano pochi e colpivano i privati. Poi c’è stato un salto di qualità e l’attenzione si è spostata sulle imprese, grandi o piccole che fossero».
Il team di HWG ha accennato al 2012 come data spartiacque nell’evoluzione del ransomware. Quell’anno, infatti, comincia a diffondersi Reveton, un malware bloccaschermo che fa apparire agli occhi dell’utente una schermata delle forze di polizia - di solito è l’FBI - con cui l’utente viene informato di essere sotto controllo con l’accusa di determinati crimini. Da Reveton la metamorfosi del ransomware si fa sempre più veloce e penetrante, tanto che l’anno successivo è quello in cui prendono a diffondersi i cryptolocker, tuttora i principali vettori di attacco.
«Lo schema è noto: accendo il PC e non posso accedere ai miei file - proseguono -, magari accedo al desktop, forse alla mail ma nulla di più. Per decrittare i dati viene chiesto un riscatto. L’attacco che è rimasto più vivo nella memoria è Wannacry, del 2017»”. Le ultime versioni di ransomware prevedono una letale combinazione di criptazione e di esfiltrazione dei dati, che quindi vengono portati fisicamente via dal desktop facendone una copia su un server remoto. «Il segnale più evidente di una fuga di dati è il grande utilizzo della banda, ma se un attaccante è furbo avrà sicuramente impostato delle soglie per nascondere il picco di utilizzo dei dati», viene precisato. «Quanto al contagio tra le varie macchine, anche se un’azienda è grande bastano pochi minuti per colpire altri endpoint da quello che per primo ha subito l’attacco».
Come prevenire un ransomware
La prevenzione è l’arma principale per mettere in sicurezza i propri dispositivi, e comincia individuando i vettori di entrata dell’attacco. I principali sono due: il malspam (contrazione di malicious spam) e il malvertising (crasi di malicious advertising). Quest’ultimo è il meno diffuso, agisce quando l’utente atterra su un sito web compromesso dove siano attivi elementi che conducono a un sito malevolo, dal quale parte il download del malware. Il malspam, con una diffusione dell'80%, è invece quello da temere più di tutti.
«La parola spam non deve farci pensare a qualcosa che entri direttamente nella relativa casella della mail, ma a messaggi di posta elettronica costruiti per indurre il destinatario a cliccare su un link malevolo o su un allegato che contiene le chiavi per entrare nell’azienda», spiegano i cyber security analyst. Il meccanismo è noto: cliccare comporta l’avvio di un file eseguibile che scarica il malware sul dispositivo. Allo stesso modo, è noto come negli ultimi due anni l’emergenza Covid-19 abbia incrementato phishing e social engineering, con mail a tema vaccini mandate da chi si finge azienda sanitaria, ente di ricerca o anche il proprio datore di lavoro per comunicazioni urgenti.
Come riconoscere un ransomware
Le finte mail di cui abbiamo appena detto sono sempre più simili a mail ordinarie. Addirittura riprendono conversazioni esistenti inserendosi nei thread tra colleghi. Capire che sono dei fake è difficilissimo. «Il fattore principale è il sistema di sicurezza - continuano -, il cui compito è creare un database condiviso tra tantissime aziende, in grado di riconoscere i pattern nell’oggetto della mail o nel corpo del testo, e di mandare subito la mail in quarantena. L’utente, è ovvio, deve fidarsi del sistema di protezione che dirotta la mail fuori dalla posta in entrata. Insomma, non deve recuperare la mail e aprirla».
Resta però attiva la possibilità che il sistema non intercetti la mail malevola, perché l’attacco è particolarmente sofisticato o perché è un cosiddetto “zero days” (il sistema non l’ha mai visto e non riesce a ricondurlo a un pattern malevolo). «In quel caso, l’utente deve chiedersi se sia una mail attesa. Per esempio, se non ho in programma di ricevere un pacco da Poste Italiane, da DHL o da altri, non devo cliccare. Poi dobbiamo controllare se ci siano errori di ortografia nel testo o nel dominio. Consideriamo anche che il mittente può essere mascherato: per capirlo, basta fare un Rispondi e verificare se compaia o meno un indirizzo diverso da quello che mi ha mandato il messaggio».
E se si viene colpiti?
In questo caso, non bisogna andare nel panico. E ad aiutare la calma provvede la frequenza dei backup: se sono sempre aggiornati, magari alla sera precedente, il lavoro è pressoché salvo. «Poi bisogna isolare la porzione di rete in cui ci sono i backup, per non comprometterli - proseguono cyber agent -. Se ci si accorge che il computer fa cose strane e diverse dal solito, dobbiamo staccare il cavo di rete o spegnere il Wi-Fi, cioè isolare fisicamente la macchina. E poi riavviarla, ma in un ambiente protetto, per capire l’entità del danno».
Una volta isolato l’ambiente, è necessario delimitare il perimetro dell’attacco per capire quali macchine siano state compromesse. Dopo il cambio delle password e il ripristino dei backup, si può finalmente tornare alla normale operatività.
