• Mutimedia Web la Web Agency Italiana. Contattateci per preventivi gratuiti e consulenze nello sviluppo del vostro sito web o app Ios e Android. Professinalità e assistenza garatite!
    Immagini dei quadri e opere di: Giuseppe Lattanzio

  • Social

    [easy-social-share buttons="facebook,twitter,pinterest,linkedin,digg,stumbleupon,vk,tumblr,print,mail,del,reddit,whatsapp" counters=0 hide_names="force" template="grey-blocks-retina"]

  • Contatti

    +39 347 2625439

    Form Contatti

  • WEB AGENCY

  • Sede Principale

    Multimedia Web

    Blog Studio Web

    Studio Web

    Sede a Venezia

    Web Agency Venezia

    Sede a New York

    Nyc Web Design

    Sede International

    Web Designer International

    Sito Demo One Page

    Spaghetti Web

    Landing page

    Savinus

  • smartphone

    Trovaci sul tuo smartphone

  • web-designer-ancona

  • AGENZIA WEB ITALIA

Home / News / Ransomware: è utile pagare il riscatto? | Sicurezza

Ransomware: è utile pagare il riscatto? | Sicurezza


In caso di attacco ransomware pagare il riscatto è ovviamente la soluzione peggiore dal punto di vista etico, quella alla quale non si dovrebbe mai arrivare. Pagando alimentiamo la criminalità e la rendiamo ancora più ricca e forte.

C’è un altro aspetto da considerare: se paghiamo, manderemo ai criminali il messaggio che siamo vulnerabili e disponibili a pagare. Quindi.. ci dovremo aspettare altri attacchi! Sappiamo che chi paga almeno una volta ha circa 80% di probabilità di essere attaccato una seconda volta.
Negli ultimi anni la piaga dei ransomware ha fatto nascere le figure dei “negoziatori“. Esperti specializzati a trattare il riscatto con i cybercriminali, giocando una “partita a poker” fatta anche di bluff per cercare di ridurre al minimo possibile il prezzo da pagare.

Come abbiamo visto in precedenza, ormai molte cybergang mettono a disposizione un canale di comunicazione (tipicamente una chat sul dark web) e sono disposte a trattare. Ma non è per nulla semplice. Nella nostra esperienza professionale abbiamo avuto casi nei quali una negoziazione condotta da persone inesperte ha addirittura fatto aumentare il riscatto richiesto. Abbiamo a che fare con criminali, ma molto abili e che non hanno nulla da perdere..

Chi paga dopo un attacco ransomware ottiene indietro i suoi dati?

Non si ha nessuna garanzia di riavere i propri dati: ricordiamoci sempre che dall’altra parte ci sono dei criminali. Tuttavia, per una politica di “brand reputation” a questi criminali conviene ridarci i file, altrimenti la loro “reputazione” sarebbe danneggiata e le aziende non pagherebbero più.

Questo accade nella maggioranza dei casi, ma esiste almeno un 20-30% di probabilità che, anche pagando, i dati non ritornino disponibili. Secondo il recente rapporto di Sophos “The State of Ransomware” questa percentuale nell’ultimo anno è salita al 40%. La mancata restituzione dei dati può verificarsi non solo per la disonestà dei malviventi, ma anche per altri motivi, quali:

  • un errore nel pagamento;
  • un pagamento inferiore alla richiesta (un errore in cui è facile cadere: la vittima nell’acquisto dei Bitcoin non ha considerato la commissione sulla transazione);
  • sito di pagamento nel Dark web non più raggiungibile (chiuso dalle forze dell’ordine);
  • decryptor non funzionante: è il caso accaduto a Colonial Pipeline attaccato da DarkSide nel maggio 2021.

Cosa fare se si decide di pagare il riscatto dopo un attacco ransomware

Se, nonostante tutto, si decide di pagare il riscatto, i passi da fare sono in genere questi (con piccole varianti a seconda del tipo di ransomware che ci ha colpito):

  • Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto: serve per capire come contattare i criminali, qual è l’importo richiesto, quasi sempre in Bitcoin, e – soprattutto – quanto tempo abbiamo per pagare prima che i nostri file siano persi definitivamente. In genere i cybercriminali fissano una scadenza mai molto lunga, dell’ordine di qualche giorno o di una settimana).
  • Acquistare i Bitcoin (o altra criptovaluta) per il pagamento: individuare un sito che faccia “exchange” di questa valuta. Rivolgiamoci solo ad exchange di provata reputazione. Ce ne sono molti in rete e sono assolutamente legali. Esistono però anche siti truffaldini che è opportuno evitare con attenzione.
  • Aprire un account presso il sito prescelto: si tratta in pratica di un conto elettronico (wallet) dove saranno depositati i Bitcoin acquistati.
  • Poiché il contatto con il cyber criminale avviene in genere nel dark web, attraverso la rete Tor per garantire l’anonimato, occorre installare un browser Tor.
  • Solo con il browser Tor (e non con Chrome, Firefox o Safari) possiamo accedere al sito indicato dagli hacker: i siti della rete Tor si trovano nel Dark web, non sono indicizzati in Google e sono raggiungibili solo se si conosce l’esatto indirizzo che è molto complesso. Questo è un esempio di indirizzo Tor: 7yulv7filqlrycpqrkrl.onion.
  • Pagare il riscatto: questo significa trasferire il denaro dal proprio Bitcoin wallet a quello degli hacker. Per raggiungerlo in genere è sufficiente seguire le istruzioni fornite dal cyber criminale. Il wallet su cui eseguire il pagamento è identificato da un “wallet ID”, costituito da una lunga serie di numeri e lettere come questa: 19eXu88pqN30ejLxfei4S1alqbr23pP4bd (è l’equivalente dell’IBAN bancario). Questo codice traccia il pagamento in forma solo numerica, quindi rende quasi impossibile risalire al nome dell’intestatario del wallet. Dopo aver trasferito i bitcoin sul conto degli hacker, riceveremo un altro codice (ancora una lunga serie di numeri e lettere) che rappresenta la conferma della transazione.
  • Aspettare e sperare..: entro qualche ora (il tempo necessario perché la transazione sia stata processata dai sistemi) dovremmo ricevere un file con la chiave privata di decriptazione, oppure un file eseguibile (il decryptor) che procederà a decriptare i file. Affinché la decodifica dei file possa poi essere eseguita, occorre che manteniamo collegati tutti i dispositivi e dischi che erano connessi al momento dell’infezione, altrimenti qualche file potrebbe non venire decriptato.

I rischi potenziali da non sottovalutare

In genere, dopo il pagamento, viene inviato un file “decryptor”, cioè che esegue il percorso inverso del ransomware che ha cifrato i dati. Il decryptor contiene la chiave di decifratura (in alcuni casi viene inviata a parte). Non sempre funziona bene: è un programma e potrebbe essere stato fatto in modo sbagliato. È successo anche questo, come nel citato caso di Colonial Pipeline!

Attenzione: il decryptor non rimuove il trojan, decifra solo i dati. Quindi il malware va eliminato con altri strumenti antimalware. Ancora meglio con una completa formattazione delle macchine infettate.

Il decryptor potrebbe contenere altri trojan (non è frequente, ma non possiamo essere sicuri che questo non accada). Per le estorsioni eseguite a seguito di attacchi “manuali” (cioè non opportunistici) c’è anche il rischio che la cifra aumenti, cioè che i criminali facciano un rilancio. Ciò può accadere quando questi si sono resi conto di aver colpito bersagli importanti come grandi aziende o ospedali.

È successo, per esempio, al Kansas Heart Hospital a Wichita (Kansas). Dopo aver ricevuto il riscatto, gli hacker hanno solo parzialmente dato l’accesso ai dati criptati e hanno richiesto altri soldi per decifrare i dati rimanenti. L’ospedale ha rifiutato di pagare un secondo riscatto (maggio 2016).

Ma pagare il riscatto dopo un attacco ransomware è legale? Quali sono gli impatti sulla conformità con il GDPR? Lo scopriremo nella prossima parte di questa guida.



Source link

Posted on by admin in News