Attacchi ransomware: una minaccia concreta per le Pmi

Attacchi ransomware: una minaccia concreta per le Pmi

Ransomware è l’unione delle parole inglesi ransom, riscatto, e ware, con accezione al termine software, per indicarne la natura virtuale. Si tratta di piccoli software scritti con un unico obiettivo: farsi strada fino ad arrivare negli hard disk della vittima, criptarne tutti i file in maniera che sia molto complicato se non impossibile rimuovere la minaccia, e chiedere denaro in cambio della decriptazione. L’obiettivo dei creatori questi piccoli script è quindi, in ultima battuta, ottenere denaro.

Negli ultimi anni, questi software malevoli hanno più volte avuto gli onori della cronaca per la diffusione globale che alcuni di essi hanno ottenuto, e ovviamente per i danni che hanno provocato. Nel 2017, un attacco malware individuato come proviente dall’Ucraina e denominato Diskcoder.C (anche se divenuto famoso con il nome Petya o NotPetya) si è rapidamente diffuso in tutto il pianeta, criptando file in computer di piccole e grandi organizzazioni e causando danni stimati in centinaia di milioni di dollari. Pochi mesi prima, un altro ransomware creò ancora più disastri: il famigerato WannaCry fece la comparsa nei giornali di tutto il mondo nel giugno del 2017, quando aveva già criptato e reso inutilizzabili migliaia di computer in tutto il mondo, sfruttando fra l’altro una falla di sicurezza nei sistemi operativi Windows la cui patch era stata rilasciata mesi prima. I danni causati dal ransomware WannaCry furono stimati in miliardi di dollari. Contrariamente a quanto si possa pensare, i danni maggiori furono a carico proprio delle piccole aziende che, spesso, non hanno il budget o l’accortezza di adottare contromisure efficaci.

Ad aggravare ancora di più la situazione è il fatto che di ransomware ne vengono creati continuamente di nuovi e più “raffinati” ogni giorno, atti ad eludere le misure di sicurezza che vengono man mano messe in commercio dalle principali software house nel campo della sicurezza informatica.

Come funziona un ransomware

Il funzionamento di un ransomware è tutto sommato semplice: si presenta innanzitutto come un file innocuo, mascherandosi da allegato mail, documento, talvolta addirittura immagini. Una volta scaricato nel proprio computer ed eseguito, si rivela per ciò che è, spesso mostrando un messaggio a video che spiega per filo e per segno ciò che è avvenuto, ossia il criptaggio di tutti i file del proprio computer. Ciò può avvenire a vari livelli: alcuni ransomware “simulano” che ciò sia avvenuto, inibendo l’accesso allo schermo o cambiando semplicemente il pin di accesso al sistema operativo. Queste sono ovviamente le situazioni più facili dalle quali uscire, in quanto nonostante si sia stati attaccati con successo, i nostri file sono ancora al sicuro. I ransomware veri e propri procedono però effettivamente alla criptazione di tutti i file presenti nel computer: questa è la situazione più grave, in quanto i dati difficilmente possono essere recuperati.

Le soluzioni in questo caso sono due: pagare o formattare. Nella prima ipotesi, seguendo le istruzioni che gli stessi ransomware forniscono, a seguito del pagamento (quasi sempre attraverso criptovalute) viene fornito un codice di sblocco che decritta tutti i file. Le somme richieste sono varie ma in generale non sono mai altissime: questo per massimizzare le chance dei creatori di ransomware di ottenere il riscatto.

L’altra soluzione è formattare il computer, eliminando il ransomware assieme a tutto il resto. Nel caso di reti locali, è possibile che siano stati criptati tutti i computer connessi, rendendo il processo di formattazione estremamente dispendioso.

Un’unica soluzione: prevenire

Contro i ransomware i più grandi alleati sono la prevenzione ed il buon senso, non necessariamente in questo ordine. Firewall next-gen, sistemi antivirus proattivi, ma soprattutto backup continui, completi e sicuri. In particolare il backup è l’unico strumento che permette, a seguito di un attacco ransomware, di riottenere il possesso dei propri file. A patto però che i backup vengano mantenuti in un luogo sicuro, protetto e soprattutto non collegato alla rete (altrimenti gli stessi backup verrebbero criptati a loro volta dal ransomware), meglio ancora se sul cloud.