Ransomware cos’è, come funziona il pizzo digitale, blocco del computer, dei dati… chiamatelo come volete ma resta il senso, il significato, il suono di una parola con cui, in questi anni abbiamo imparato a convivere e soprattutto a fare i conti. Una parola che, seppure in un contesto negativo, ha avuto il merito di portare all’attenzione di tutti, isole comprese, la necessità di rivolgere un minimo di pensiero ai dati, alle informazioni che ogni giorno creiamo, scambiamo, gestiamo su smartphone, pc, workstation, server.Una parola che ci ha insegnato, meglio di ogni altro sermone, lezione, analisi di mercato il senso della continuità di un servizio e, soprattutto, il senso di smarrimento di fronte al blocco di un servizio…Una parola che, secondo qualcuno, oggi è un po’ passata di moda così come forse sono passati di moda i rischi che comporta ma, dati del Clusit alla mano, la realtà è ben diversa. Una realtà che soprattutto, rischia oggi di presentare un conto ben più salato perché ha messo nel mirino il centro di gravità permanente di molte imprese, il backup e i dati che contiene. 

Ransomware cos’è e perché minaccia il backup, la scommessa di #VeroVeritas

Nel cuore di un trend così temibile nasce questa guida pratica ed esclusiva che si inserisce in  una nuova rubrica multipiattaforma di Channelcity e Impresacity in collaborazione con Veritas (qui la sua guida per proteggersi da un Ransomware) e Computer Gross. #VeroVeritas è il nuovo hub di contenuti a valore per capire come difendere, davvero, il nostro bene più prezioso, i dati, le informazioni critiche.Pronti partenza dunque, lontano da ogni frase fatta o di termine scontato, andiamo con ordine e, vocabolario alla mano partiamo dalle definizioni di base che, spesso, qualcuno sottovaluta.

[Vuoi sapere tutto su cosa è il Ransomware e di come Veritas ti aiuta a difendere il tuo backup e quello dei tuoi clienti? Ecco la prima ed esclusiva video guida #VeroVeritas che Fabio Pascali, Country Manager Veritas in Italia ha costruito in collaborazione con Computer Gross]

Il Ransomware cos’è davvero?

Il ransomware è un sottoinsieme di malware in cui i dati sul computer di una vittima sono bloccati, in genere mediante la crittografia, per poi richiedere il pagamento prima che i dati di riscatto vengano decrittografati e l'accesso venga restituito alla vittima. Il motivo degli attacchi ransomware è infatti generalmente monetario e, a differenza di altri tipi di attacchi cyber, alla vittima viene solitamente notificato che si è verificato un exploit e vengono fornite istruzioni su come riprendersi dall'attacco. Il pagamento è spesso richiesto in una valuta virtuale, come bitcoin, in modo che l'identità del criminale informatico non sia nota. Solitamente, secondo gli analisti più accreditati, il taglio medio del “pizzo” è 500 euro proprio per indurre le vittime a pagare con più facilità.

Ransomware cos’è e come si diffonde e come funziona

Il malware ransomware può essere diffuso attraverso allegati di posta elettronica dannosi, app software infette, dispositivi di archiviazione esterni infetti e siti Web compromessi. Gli attacchi hanno anche utilizzato il protocollo desktop remoto e altri approcci che non si basano su alcuna forma di interazione dell'utente.
Il grande “successo” dei ransomware ne ha determinato una solida diffusione mondiale a tutti i livelli… oggi veri e propri kit di ransomware sono sistemati e facilmente raggiungibili nel deep web (il web profondo raggiungibile solo attraverso server e sistemi anonimi come TOR).Un mercato fiorente che ha consentito ai criminali informatici di acquistare e utilizzare strumenti software per creare ransomware con funzionalità specifiche. Oggi gli hacker ma anche male intenzionati con un minimo di cognizione di causa possono quindi generare questo malware per la propria distribuzione, con i riscatti pagati sui loro account bitcoin. Oggi dunque è possibile ,per chi ha un background tecnico scarso o nullo, ordinare ransomware a buon mercato anche come servizio (RaaS) e lanciare attacchi con il minimo sforzo. In uno scenario RaaS, il fornitore raccoglie i pagamenti del riscatto e prende una percentuale prima di distribuire i proventi all'utente del servizio. In alcuni casi, gli hacker più evoluti hanno anche messo a disposizione delle vittime un servizio di assistenza telefonica per guidarli passo passo al pagamento del riscatto…

Storia del ransomware

La prima occorrenza documentata di ransomware può essere fatta risalire al virus del “cavallo di Troia” AIDS nel 1989. Il Trojan AIDS fu creato da un biologo addestrato ad Harvard di nome Joseph Popp, che distribuì 20.000 floppy disk infetti etichettati "AIDS Information – Dischi introduttivi" a Ricercatori specializzati proprio alla conferenza internazionale sull'AIDS dell'Organizzazione mondiale della sanità. I partecipanti che decisero di inserire il dischetto riscontrarono un virus che bloccava i file dell'utente sull'unità del computer, rendendo il PC inutilizzabile. Per sbloccare i propri file, gli utenti furono costretti a inviare 189 dollari a una casella postale di proprietà della PC Cyborg Corporation. Alla fine, gli utenti furono in grado di bypassare il virus e decrittografare i propri file perché il virus utilizzava strumenti di crittografia simmetrica facilmente risolvibili.A parte il virus Popp del 1989, il ransomware fu comunque relativamente raro fino alla metà degli anni 2000, quando gli aggressori cominciarono a una crittografia più sofisticata per estorcere denaro alle loro vittime. Ad esempio, Archievus ransomware utilizzava la crittografia RSA asimmetrica. Reveton, un virus del 2012, utilizzò la webcam del sistema per riprendere l'utente e usare tattiche “convincenti” per raccogliere un riscatto di 200 dollari.

Oggi, il vettore di attacco per il ransomware si è diffuso includendo applicazioni utilizzate su Internet of Things (IoT) e dispositivi mobili e i virus includono una crittografia più complessa. Ciò è in parte dovuto alla disponibilità di kit ransomware pronti all'uso, chiamati anche ransomware-as-a-service (RaaS), disponibili come detto nel Deep web. Il ransomware è oggi molto più abile nel prendere di mira organizzazioni più grandi rispetto ai singoli individui, il che significa che sono in gioco somme di denaro esponenzialmente maggiori. Il ransomware si è dunque evoluto da un piccolo fastidio a una grave minaccia dai tempi di Joseph Popp.

Tipologie di ransomware

Ovviamente non esiste un solo tipo di ransomware. Ecco i principali:


Scareware: questo malware si pone come software di sicurezza o supporto tecnico. Le vittime potrebbero ricevere notifiche pop-up che indicano che è stato scoperto malware sul loro sistema. Non rispondere a questo messaggio non farà altro che portare a più pop-up.

Locker dello schermo: noti anche semplicemente come locker, si tratta di un tipo di ransomware progettati per bloccare completamente gli utenti nell’uso dei loro computer. All'avvio del computer, una vittima può vedere quello che sembra essere un sigillo ufficiale del governo, costruito per indurre la vittima a credere di essere oggetto di un'indagine ufficiale. Dopo essere stato informato che sul computer sono stati rilevati software senza licenza o contenuti Web illegali, alla vittima vengono fornite istruzioni su come pagare una multa elettronica.   Crittografia

Ransomware: Altrimenti noto sequestro di dati, questi ransomware danno l'accesso e crittografano i dati della vittima e chiedono un pagamento per sbloccare i file. Una volta che ciò accade, non vi è alcuna garanzia che la vittima possa ottenere nuovamente l'accesso ai propri dati, anche se lo negoziano. I dati parlano di un oltre un 35% di casi in cui, una volta pagato il riscatto poi i dati spariscono ugualmente. Ci sono casi in cui gli hacker sono arrivati anche a crittografare i file su dispositivi infetti e fare soldi vendendo un prodotto che promette di aiutare la vittima a sbloccare i file e prevenire futuri attacchi di malware.

Doxware: con questo malware, un utente malintenzionato può minacciare di pubblicare i dati delle vittime online se la vittima non paga un riscatto.

Ransomware master boot record (MBR): con questo, l'intero disco rigido viene crittografato, non solo i file personali dell'utente, rendendo impossibile l'accesso al sistema operativo.

Ransomware mobile: questo ransomware interessa i dispositivi mobili. Un utente malintenzionato può utilizzare il ransomware mobile per rubare dati da un telefono o bloccarlo e richiedere un riscatto per restituire i dati o sbloccare il dispositivo.

Mentre i primi casi di questi attacchi a volte limitavano semplicemente l'accesso al browser Web o al desktop di Windows - e lo facevano in modi che spesso potevano essere facilmente reingegnerizzati e riaperti abbastanza facilmente - da allora gli hacker hanno creato versioni di ransomware che usano sistemi in grado di negare l'accesso ai file sul computer e oggi hanno messo nel mirino in modo particolare il backup.

Target dei ransomware, il backup nel mirino

Gli obiettivi di un ransomware possono variare da un singolo individuo a una piccola e media impresa fino a un'organizzazione multinazionale a un'intera città. Ad esempio, nel 2018, il virus ransomware SamSam ha utilizzato un attacco per indovinare password deboli a guardia di importanti infrastrutture nella città di Atlanta. Le applicazioni utilizzate dai residenti per pagare le bollette e accedere alle informazioni relative ai tribunali sono state chiuse, causando gravi problemi nelle infrastrutture della città. Il risultato fu una quantità indicibile di dati compromessi e milioni di dollari di costi di recupero.

Nel dicembre 2019, la città di Pensacola, FL è stata vittima di un attacco di ransomware. Ha interessato il servizio clienti e il pagamento delle bollette online per una serie di dipartimenti della città, tra cui Pensacola Energy e Pensacola Sanitation Services.

Le istituzioni pubbliche sono particolarmente vulnerabili al ransomware perché mancano della sicurezza informatica per difendersi adeguatamente. Lo stesso vale per le piccole e medie imprese. Oltre alla scarsa sicurezza informatica, le istituzioni pubbliche dispongono di dati insostituibili che potrebbero paralizzarli se resi non disponibili. Questo li rende più propensi a pagare. Non a caso, secondo il Clusit proprio i file di backup di imprese Pubbliche e PMI sono diventati il target prediletto degli attacchi ransomware. Obiettivo “facile”, obiettivo critico, utenti predisposti al pagamento… per evitare blocchi e danni ben più gravi con clienti e fornitori.

Ransomware i numeri

Un'analisi di safeatlast ha stimato che nel 2019 un'azienda è caduta vittima di un attacco ransomware ogni 14 secondi. Si prevede che tale intervallo si ridurrà a ogni 11 secondi entro il 2021. Ciò può essere attribuito in parte alla crescente prevalenza di dispositivi IoT, che subiscono in media 5.200 attacchi al mese secondo gli analisti più accreditati.

Soprattutto, safeatlast.co ha stimato nel 2018 che il 77% delle aziende soggette a un attacco ransomware era aggiornato nella tecnologia di sicurezza degli endpoint. Ciò dimostra che l'utilizzo e la corretta manutenzione del software di difesa endpoint non è sufficiente per scoraggiare l'ultimo ransomware proprio perché mette nel mirino bersagli più grandi come appunto interi sistemi di backup aziendali, dove c’è uil cuore, il centro di gravità permanente di una azienda.

Le statistiche sui ransomware indicano generalmente che, proprio per questa sua nuova “passione” per il backup, il ransomware è potenzialmente il problema numero uno per le imprese perché colpisce frequentemente, ha la capacità di legare ingenti somme di denaro, può diffondersi ed evolversi molto oltre le difese standard. Inoltre, i riscatti stessi sono difficili da tracciare, con circa il 95% di tutti i profitti scambiati utilizzando una piattaforma di criptovaluta. 

Ransomware i casi CryptoLocker e WannaCry

Forse il primo esempio di un attacco diffuso che ha utilizzato la crittografia a chiave pubblica è stato CryptoLocker, un “cavallo di Troia” attivo su Internet da settembre 2013 a maggio dell'anno successivo. Il malware richiedeva il pagamento in bitcoin o in un buono prepagato, e gli esperti generalmente ritenevano che la crittografia RSA utilizzata, se correttamente implementata, fosse essenzialmente impenetrabile. Nel maggio 2014, tuttavia, una società di sicurezza ha ottenuto l'accesso a un server di comando e controllo coinvolto nell'attacco e ha recuperato le chiavi di crittografia utilizzate. Uno strumento online che ha consentito il recupero gratuito delle chiavi ha efficacemente neutralizzato l'attacco.

Nel maggio 2017, un attacco chiamato WannaCry ha poi infettato e crittografato più di un quarto di milione di sistemi a livello globale. Il malware utilizzava la crittografia asimmetrica in modo che non ci si potesse ragionevolmente aspettare che la vittima recuperasse la chiave (privata e non distribuita) necessaria per decrittografare i file riscattati.

I pagamenti erano richiesti in bitcoin, il che significa che il destinatario dei pagamenti di riscatto non poteva essere identificato, ma anche che le transazioni erano visibili e, quindi, i pagamenti di riscatto complessivi potevano essere conteggiati.
Ad esempio, il Servizio sanitario nazionale nel Regno Unito è stato gravemente colpito ed è stato costretto a portare i servizi offline durante l'attacco. Rapporti pubblicati suggeriscono che i danni causati alle migliaia di aziende interessate potrebbero superare 1 miliardo di dollari.

Ransomware e backup, le regole e il caso Veritas

E siamo al 2020, un anno ancora una volta iniziato, dati del Clusit alla mano, con ransomware e phishing a guidare la classifica delle minacce informatiche più dannose in Italia. In particolare, come anticipato, proprio il ransomware sta facendo “festa” grazie alla capacità sempre più affinata di mettere nel mirino i sistemi di bakcup aziendale. Un terreno scivoloso su cui sa tempo è scesa in campo una società come Veritas con una strategia, soluzioni e guide pratiche precise.

«Per ogni organizzazione è essenziale avere una strategia di sicurezza preventiva che includa un programma di formazione interno completo – spiegano da Veritas -. Eppure, anche adottando queste misure, esiste sempre il rischio di un errore commesso in buona fede. L'approccio migliore è avere un piano di backup, ma che sia un piano affidabile.  

La strategia più intelligente? Conservare una copia sicura dei file. Una soluzione di backup moderna come Veritas NetBackup semplifica la protezione dei dati in tutti gli ambienti (virtuali, fisici e persino multi-cloud) e offre un'alternativa semplice e flessibile per gestire e recuperare i backup. NetBackup consente di configurare i backup esattamente in base alle specifiche desiderate, ma non solo: offre anche tutta la tranquillità di sapere che i dati sono gestiti con efficienza e nel rispetto della compliance, e che sono protetti dai ransomware». 

Difendere il backup da un ransomware

Dalle parole ai fatti però ecco quattro strategie di backup utilizzabili per tenere al sicuro i dati:  

• Creazione di backup "a tenuta stagna": se i dati vengono conservati offline e su supporti amovibili, ad esempio su nastro, per gli aggressori è impossibile accedervi e crittografarli per richiedere un riscatto. Sono poche le misure che garantiscono una protezione al 100% dai ransomware, ma questa è una di quelle. Il suo valore per l'organizzazione è incommensurabile.

 

• Distribuzione di molteplici copie delle immagini di backup in luoghi diversi: conservando svariate copie delle immagini di backup in archivi diversi, si realizza una strategia che può̀ ulteriormente ostacolare eventuali tentativi di acquisire tutte le copie dei dati. Di solito, infatti, i ransomware si limitano a colpire dati archiviati e accessibili localmente mediante normali account utente. Se più̀ immagini di backup sono conservate in archivi diversi, sarà̀ difficile per gli aggressori rilevare ogni singola copia: la difficoltà dell'impresa e il tempo necessario a compierla probabilmente li faranno desistere.

 

• Uso limitato delle credenziali di backup: se le credenziali di accesso o gli account utente autorizzati ad amministrare e utilizzare il sistema di backup sono soggetti a restrizioni sull'uso, i casi di tentativi di phishing oppure di sessioni
  di navigazione su web potenzialmente pericolose si ridurranno sensibilmente, o addirittura scompariranno. Questa procedura sbarra efficacemente l'accesso ai punti di ingresso più̀ comuni e contribuisce a prevenire le infezioni da ransomware nell'ambiente di backup.

 

• Valutazione dell'RPO: i danni provocati da un attacco ransomware possono essere contenuti eseguendo backup più̀ frequenti in modo da ridurre l'obiettivo del punto di ripristino (RPO) e limitare così la potenziale perdita a ore oppure minuti.