Tempo di lettura: 5 min
Qualche settimana fa ho seguito un bellissimo corso di gestione aziendale in quel di Bologna ed ero al tavolo con altri imprenditori e professionisti.
Uno specialista di marketing e comunicazione è rimasto molto colpito dal sapere che aprendo la mail sbagliata poteva trovarsi i propri file completamente criptati e che qualcuno gli avrebbe chiesto un riscatto (in inglese ransom) per poterli sbloccare.
Questo è, molto sommariamente, il funzionamento di un attacco ransomware di cui Cryptolocker è una delle varianti più conosciute e famigerate.
Ancora più colpito ero io nel vedere come ci fosse qualcuno che ancora non conoscesse la minaccia informatica per eccellenza degli ultimi anni.
In realtà è colpa mia. Occupandomi di ICT do spesso per scontato, sbagliando alla grande, che anche le altre aziende guardino al mondo informatico con lo stesso mio sguardo.
Per me il Cryptolocker è una minaccia quotidiana, spesso ho a che fare con aziende che si trovano nell’emergenza di dover ripristinare i propri dati criptati o che mi chiedono come fare per stare più sicure.
È colpa mia e chiedo scusa ai miei lettori. Vorrei quindi rimediare cercando di ripartire dalle basi per illustrare con parole semplici questa minaccia al fine di capire come potersi tutelare.
COS’E’ UN RANSOMWARE
Come dicevo prima ransom in inglese vuole dire riscatto (c’era anche un film omonimo con Mel Gibson) e con il termine di “ransomware” vanno tutti quei software (perché di questo si tratta – piccoli pezzi di codice) che hanno come scopo quello di impedirvi l’accesso al vostro computer o ad i vostri file per chiedervi un riscatto, pagato il quale – nella gran parte dei casi – i file vi vengono restituiti.
Dal 2013 in avanti la quasi totalità degli attacchi ransomware ha avuto come risultato la criptazione dei file presenti sul computer attaccato e la variante più diffusa di ransomware in circolazione è Cryptolocker.
COME SI PUO’ ESSERE INFETTATI?
Il veicolo più comune di infezione è la posta elettronica. Possono arrivare messaggi con degli allegati “infetti” o, più comunemente negli ultimi tempi, dei messaggi che contengono dei link da cui si scarica (in modo trasparente all’utente ignaro) il codice malevolo.
A ME NON INTERESSA, CHI VUOI CHE SIA INTERESSATO DAL CRIPTARE I FILE DELLA MIA AZIENDA? NON SIAMO MICA LA NASA…
Al di là delle statistiche ufficiali vi posso riportare la mia esperienza diretta, su Clienti che conosco personalmente e vedrete come i settori colpiti sono i più disparati:
- concessionario d’auto
- editoria
- agenzia viaggi
- trattamento metalli
- produzione valvole idrauliche
- studente
- produzione apparecchiature elettriche
- catena di pizzeria
- avvocato
- commercialista
- agenzia di marketing e comunicazione
- pensionato
- manutenzione impianti di condizionamento
- ….
Pensate ancora che il vostro settore sia immune?
BE’ TANTO NOI “CI ABBIAMO” L’ANTIVIRUS…
Gli antivirus tradizionali si basano sulla rilevazione di elementi GIA’ CONOSCIUTI come dannosi che vengono quindi bloccati.
Gli hacker producono nuove minacce al ritmo di 3.5 al secondo e quindi la possibilità di incappare in qualcosa di non ancora conosciuto come dannoso è molto alta.
L’efficacia degli antivirus in questi casi è di circa il 47%! (https://blog.watchpointdata.com/why-didnt-my-antivirus-detect-cryptowall).
DA CHI POSSONO ARRIVARE QUESTI MESSAGGI INFETTI?
I messaggi posso avere come mittente (apparente) alcune grosse aziende:
- banche
- trasportatori
- ENEL, Telecom
Oppure più recentemente mi è capitato di ricevere una mail dalla casella personale di un formatore che mi invitava a scaricare le slide del corso appena concluso. Anche questa era un fake (cioè un clamoroso falso) che conteveva un allegato da cui scaricare il malware.
E’ POSSIBILE ACCORGERSI CHE IL MESSAGGIO E’ FARLOCCO?
È possibile fare due cose:
- verificare il mittente del messaggio analizzandone l’intestazione (o header).
- Con Outlook per Windows: messaggio/file/informazioni/proprietà/intestazioni internet
- Con Outlook per MAC: tasto dx sul messaggio / view source (ho l’outlook in inglese)
- Per esempio se la mail dovrebbe arrivare da DHL e risultasse spedita da un mail server che nulla ha a che fare con DHL questo potrebbe essere un indizio.
- verificare il link da cui ci è chiesto di scaricare.
- Passiamo con il mouse SENZA cliccare sul link da cui ci è chiesto di scaricare e prendiamo nota del link proposto
- Se ci è chiesto di scaricare una lettera di vettura di UPS da un link del tipo: https://is.gd/Cfe123… be anche questo potrebbe essere sospetto.
SE NON ME NE SONO ACCORTO ED HO CLICCATO COSA SUCCEDE?
Se non vi siete accorti che la mail era farlocca ed avete cliccato sul link che vi era contenuto avete dato seguito a questa catena di eventi:
- si apre il browser internet
- vi fa scaricare un file zippato
- lo avete aperto
- nell’aprirlo in realtà avete dato l’ok (a vostra insaputa) all’avvio di un programmino che vi cripterà i dati
- il suddetto programma colloquia con “la morte nera”, cioè con il serverone dei cattivi da cui scarica la chiave di criptazione (cioè di encryption) con cui inizia a criptare i dati del vostro computer, partendo da quelli locali ed arrivando rapidamente a quelli presenti sul file server (o sul NAS aziendale)
- quando tenterete di accedere ad un file criptato otterrete un errore e nella cartella troverete un file con le istruzioni per pagare il riscatto, tipicamente in bitcoin – la valuta elettronica usata sul web.
HO UN MIO AMICO CHE SMANETTA CON IL COMPUTER, CHIEDO A LUI?
Innanzitutto, mi spiace dirlo, se non si è in possesso della chiave di encryption con cui sono stati criptati i dati E’ VIRTUALMENTE IMPOSSIBILE DECRIPTARE I FILES.
L’algoritmo di encryption utilizzato è molto potente. Ogni tentativo di decryption con metodi di bruteforce attack (cioè provare chiavi su chiavi per trovare quella giusta con computer molto potenti) richiederebbe, almeno in linea teorica, qualche centinaio d’anni.
ALLORA CONCRETAMENTE COSA POSSO FARE? DEVO PAGARE?
In merito a questa opzione ho sentito diversi pareri:
- pagare è inutile perché i dati non vi verranno decriptati
- pagare alimenta un business illegale
Chi sta dietro il business dei ransomware lo fa per denaro. Fa un’attività illegale ma la fa per denaro. Come altri tipi di rapitori hanno tutta la convenienza a “rispettare i patti”, in questo modo acquistano credibilità ed è più probabile che chi è colpito paghi. In alcuni casi addirittura hanno istituito una sorta di servizio di gestione guasti per aiutare nella decriptazione dei dati.
Quello che può capitare è che l’accessibilità alla “morte nera” sia resa impossibile dalle forze dell’ordine che, giustamente, tentano di contrastare questi criminali. In questo caso, non essendo possibile raggiungere il server con le chiavi di encryption, risulta impossibile recuperare i dati.
Il fattore tempo, in questo caso, è quindi molto importante.
Ciò che sto scrivendo potrebbe risultare scomodo e difficile da digerire… “ma come ci sta dicendo di pagare dei criminali?” Ma, purtroppo, sono in buona compagnia. Vi rimando a questo link, in cui le stesse conclusioni le tira anche l’FBI (https://securityledger.com/2015/10/fbis-advice-on-cryptolocker-just-pay-the-ransom/).
Sul fatto che pagando si alimenta un business illegale sono ovviamente d’accordo. Ma qui si entra in un ambito di scelte etiche difficili da giudicare, in cui non esiste solo bianco o nero (non nel senso juventino del termine) ma veramente ci sono molte sfumature di grigio (forse più di 50…).
Se il pagamento del riscatto fosse l’unico modo:
- per tenere aperta l’azienda
- per evitare di dover sospendere l’attività
- per evitare di incorrere nel pagamento di penali
- per non dover lasciare a casa dei collaboratori
- …….
Allora in questi casi il pagamento sarebbe ammissibile?
Oppure se il Cryptolocker ha criptato tutte le foto di quella persona cara che non c’è più e non ne avete un’altra copia… difficile dare un giudizio…
A QUANTO AMMONTA IL RISCATTO?
Nella gran parte dei casi la somma richiesta è compresa tra 300€ e 500€. Non ho esperienza diretta ma in letteratura si parla di casi di infezioni ad aziende ospedaliere americane in cui il riscatto ammontava a più di 100.000 USD.
Su questo punto c’è, purtroppo, un aggiornamento di inizio d’anno…
come potete leggere più approfonditamente su:
il prezzo degli ultimi riscatti di cui sono venuto a conoscenza oscillavano tra i 4.000 ed i 5.000€…
BE,… MA IN ITALIA QUESTE COSE NON CAPITANO…
Da un recente studio di Sophos (www.sophos.com) si evidenzia come le sei nazioni più colpite da attacchi ransomware siano:
- USA
- Giappone
- UK
- Italia
- Germania
- Russia
CASPITA, HO I BACKUP POSSO USARLI?
Questa è l’unica opzione che, realisticamente, vi può consentire di recuperare i vostri file senza dover pagare il riscatto.
Circa il 65% delle aziende inglesi colpite da Cryptolocker NON è stata in grado di recuperare i file dai propri backup… e voi quando è l’ultima volta che avete verificato il buon esito dei vostri backup? E quando avete fatto una prova di restore?
E’ ANCORA VERO CHE PREVENIRE E’ MEGLIO CHE CURARE?
In effetti aveva ragione Mentadent, la prevenzione è la migliore forma di cura per il Cryptolocker. Nel prossimo articolo, online il 6 gennaio 2017, parlerò proprio degli strumenti di prevenzione che possono essere messi in pista con i ransomware.
Buon anno a tutti 🙂