Il fenomeno è nato come una delle tante forme di attacco ai danni di utenti comuni. Nel giro di pochi anni, però, i ransomware sono diventati lo strumento principe utilizzato dai pirati informatici per colpire le aziende. Il motivo? Semplice: bloccando l’accesso ai dati memorizzati sui sistemi informatici, i cyber criminali possono provocare il massimo danno con il minimo sforzo ed estorcere somme anche rilevanti alle imprese che colpiscono. Analizziamo un attacco partendo da un caso reale.
Ransomware: dall’attacco al ricatto
Il modus operandi dei pirati informatici che utilizzano crypto-ransomware per colpire le aziende è sempre lo stesso: dopo aver ottenuto l’accesso ai sistemi informatici dell’impresa, i pirati cercano di individuare i dispositivi critici (quelli che gestiscono i servizi più importanti dell’azienda) per avviare il loro malware con lo scopo di crittografare tutti i dati presenti sui sistemi e impedirne l’utilizzo. Obiettivo: estorcere un “riscatto” all’azienda per fornirle uno strumento che consenta di decodificare i file e ripristinare il normale funzionamento dei sistemi. “Di solito lo strumento migliore per contrastare un ransomware è semplicemente il ripristino dei dati tramite backup” spiega Lorenzo Bernini, Cyber Security Manager di HWG. “In alcuni casi, però, gli attacchi riescono a coinvolgere numerose sezioni delle infrastrutture e questa operazione diventa piuttosto difficile”. Nel caso che ha visto impegnato il team di HWG, l’attacco aveva compromesso un certo numero di file server e altre macchine collegate in rete. L’intervento è avvenuto quando l’attacco era già cominciato e il primo obiettivo degli esperti di sicurezza è stato quello di limitare i danni.
Crypto-ransomware: l’importanza di una risposta immediata
I crypto-ransomware utilizzano tecniche diverse per portare il loro attacco, un elemento comune, però, è quello di cercare di provocare il massimo danno nel minor tempo possibile. Il caso illustrato da Bernini, come accade spesso, si è verificato durante il weekend. “I cyber criminali contano sul fatto che durante il fine settimana non ci sia un livello di reattività adeguato” spiega Bernini. “Purtroppo, nella maggior parte dei casi hanno ragione e il rischio è che il malware abbia il tempo di propagarsi in maniera estesa nella rete”. Il primo obiettivo a livello di incident response, di conseguenza, è quello di isolare l’infezione per impedire che siano coinvolti altri sistemi all’interno del network. “La prima reazione è stata isolare il segmento di rete in cui è stata avviato l’attacco” conferma l’esperto di HWG. “Per bloccare l’infezione, abbiamo utilizzato un sistema EDR (Endpoint Detection and Response – ndr) sui computer dell’azienda, per individuare il malware e rilevare eventuali installazioni dormienti del ransomware”. A livello di rete, invece, il team di sicurezza ha impostato una serie di regole per il monitoraggio del traffico per mitigare il rischio di ulteriori diffusioni.
Ransomware e recupero dei dati: come si affronta
Nel caso specifico, non tutte le macchine avevano la disponibilità di una copia di backup. Per recuperare i file crittografati dal malware, quindi, il team di HWG ha attivato un processo diretto a scardinare il sistema di crittografia utilizzato per “rapire” i file. “Abbiamo avviato un’indagine attraverso il nostro servizio di intelligence per scandagliare il Dark Web alla ricerca di informazioni sul malware” spiega Bernini. “Contemporaneamente, abbiamo predisposto un cluster di macchine in ambiente virtuale per eseguire un attacco di brute forcing nei confronti del sistema di crittografia”. L’operazione, alla fine, ha portato al recupero del 70% dei dati. Il lavoro del team, però, non è finito qui. Ai sensi del GDPR (la normativa europea sulla protezione dei dati- ndr), infatti, ogni violazione richiede l’esecuzione di un’analisi forense e una valutazione che possa portare a una valutazione dei possibili dati esfiltrati nel corso dell’attacco. “Conclusa la fase di remediation, che in questo caso ha previsto anche una forma di consulenza legale per la dichiarazione al garante ai sensi del GDPR, abbiamo potuto implementare gli strumenti per impedire futuri attacchi simili” conclude Bernini.