Se sullo schermo del nostro computer compare un’immagine come quella delle figure 1 e 2 è il segnale che un ransomware ha colpito ed ora ci presenta – come una sentenza – la richiesta di riscatto. Cosa possiamo fare ora, senza farci prendere dal panico e dalla disperazione?
Figura 1- Esempio di una richiesta di riscatto
Figura 2 – Altro esempio di una richiesta di riscatto
Quando compare questo messaggio (in genere è un file immagine o in formato .txt) significa che il ransomware ha già concluso il processo di criptazione dei nostri files.
Le immagini che abbiamo mostrato erano i messaggi standard presenti negli attacchi ransomware fino a qualche anno fa. Oggi, i ransomware più recenti utilizzano spesso un’altra tecnica. Non escono subito allo scoperto con la richiesta del riscatto, ma avvisano solo che ci hanno colpito e nella comunicazione che compare viene riportato un canale di comunicazione per contattarli. In genere si tratta di un link .onion che indirizza ad una loro pagina sul dark web.
Di cosa si tratta? È la pagina del Customer Care, cioè del servizio clienti del cybercriminale. Ove per queste bande i “clienti” altro non sono che le loro vittime!
La figura n.3 è uno screenshot realizzato su TOR (quindi dark web) della pagina di contatto (“Contact Us”) del gruppo Lockbit 3.0. Una delle gang cybercriminali più attive negli ultimi anni e di cui abbiamo parlato in questa lezione. Rappresenta il canale di comunicazione che Lockbit mette a disposizione dei suoi “clienti”. Un canale anche molto efficiente, se paragonato ai customer care di molte aziende tradizionali.
Perché in questi casi la richiesta di riscatto non viene esplicitata immediatamente?
Anche questa modalità ci fa capire come i cybercriminali si siano evoluti ed abbiano perfezionato le loro tecniche. Invece di richiedere un riscatto standard a priori, per loro è più profittevole comunicare con il cliente/vittima. In questo modo riescono ad avere maggiori informazioni, capire quanto la vittima è debole (magari non ha neppure un backup disponibile…) e predisposta a pagare. E quindi possono alzare il prezzo.
Come vedremo successivamente, la fase di negoziazione del riscatto è una “partita a poker”, nella quale di solito è il cybercriminale ad avere il punto in mano.
Figura 3 – La pagina di contatto di Lockbit 3.0 nel dark web
Non c’è solo la criptazione dei dati, ma anche la Double Extortion
Il Ransomware è una attività di Cybercrime, la finalità è soprattutto di natura finanziaria: denaro.Si tratta di un sequestro di dati a scopo di estorsione. Con la comparsa della Double Extortion (nella seconda fase dei ransomware, dal 2019), anche il furto di dati è diventato un obbiettivo.
Il Rapporto Clusit definisce la Double Extortion come:
attacchi ransomware che, oltre a cifrare i file, ne fanno anche una copia di “sicurezza” con il loro trasferimento sui computer dei cyber criminali minacciando di procedere alla loro diffusione pubblica e/o metterli all’asta nel dark web per la vendita al miglior offerente.
Questa nuova tecnica d’attacco – ormai molto diffusa – rende ancora più grave l’impatto del ransomware. Infatti questi possono essere venduti nel mercato nero del dark web oppure pubblicati.
Secondo ENISA, European Union Agency for Cybersecurity con sede ad Atene, ogni mese vengono pubblicati oltre 10 terabyte di dati rubati dai ransomware alle organizzazioni prese di mira. E, sempre secondo ENISA, circa il 58,2% di tutti i dati rubati contiene dati personali. Quindi con un rischio anche di sanzioni per violazione del GDPR.
Siamo stati attaccati da un ransomware. Cosa possiamo fare a questo punto?
I dati sono stati sequestrati e ora bisogna decidere cosa fare. Anche perché molto probabilmente l’organizzazione colpita si troverà ad avere la sua operatività bloccata proprio per l’impossibilità di accedere ai propri dati.
In casi estremi, ma realmente accaduti, l’organizzazione potrebbe non essere più in grado di ripartire e quindi essere costretta alla chiusura. Perché se un’azienda non ha più i dati, non esiste più. In questa malaugurata ipotesi, le opzioni possibili sono sostanzialmente quattro:
- Ripristinare i file da un backup: la soluzione migliore, anzi la sola che dovrebbe prendere in considerazione un’azienda ben organizzata.
- Cercare un “decryptor” in rete per decriptare i file.
- Non fare nulla e perdere i propri dati.
- Pagare il riscatto (ransom).
Le analizzeremo una per una nel dettaglio.
Ripristinare i file da un backup
È la soluzione migliore e possiamo averla a disposizione se abbiamo operato con attenzione e ci siamo organizzati con una corretta gestione di salvataggio periodico dei nostri dati. Infatti per poter fare un ripristino è necessario avere una copia di backup che sia:
- disponibile;
- recente;
- funzionante (quindi deve essere testato periodicamente);
- protetto (cioè non attaccabile dal ransomware stesso).
Ho voluto evidenziare questi quattro requisiti, perché troppo spesso ci si trova in aziende che – in piena emergenza ransomware, con i computer bloccati – non hanno la certezza dello stato del backup fino a quando non vanno a esaminarlo. Salvo scoprire che: è incompleto (alcune cartelle non sono state copiate), non è aggiornato (perché da un po’ di tempo non veniva più fatto..) e altre amenità del genere. Purtroppo veramente accadute.
Ma oggi il rischio maggiore è che l’attacco ransomware riesca a criptare anche il backup. Infatti gli attacchi sono diventati molto più mirati e sofisticati. Il cyber criminale è consapevole che molto probabilmente la vittima si è premunita di un backup che potrebbe rendere inefficace il suo attacco. Per questo i ransomware dell’ultima generazione, prima di “uscire allo scoperto” con la crittografia dei dati, analizzano il sistema che hanno violato.
Lo scopo è proprio quello di trovare il backup e criptarlo, in modo da privare la vittima della contromisura più importante. Se si arriva a questo punto, l’azienda colpita sarà inerme di fronte al ransomware, senza più strumenti di difesa. Si stima che Il 75% delle aziende che hanno pagato il riscatto abbiamo avuto il backup compromesso.
Come proteggersi da ransomware che cercano di crittografare anche il backup?
Ovviamente con la fondamentale regole del 3-2-1 Backup: 3 copie di ogni dato che si vuole conservare. Di queste: 2 copie “onsite” ma su storage differenti (HD, NAS, Cloud..) e sempre 1 copia in sito remoto in modo che sia off-site ed offline (per esempio su unità a nastro disconnesse dalla rete).
Ed inoltre, configurare sempre la procedura di backup in modo che le copie di backup non siano accessibili in rete, ad eccezione del software preposto al backup stesso. Nessun altro utente deve poter aver accesso al backup!
Ma come creare un backup inattaccabile dai ransomware? Lo scopriremo nella prossima lezione.