I ramsonware sono software malevoli che si insidiano in un dispositivo (computer, smartphone, etc) sfruttando le più avanzate e diffuse tecniche di infezione per poi prenderne il controllo totale o solo di parte dei files che esso contiene. Il controllo avviene mediante la criptazione dei dati e per poter decriptare e rendere di nuovo utilizzabile il dispositivo o i dati in esso contenuti viene chiesto un riscatto, da pagare tramite una cripto-moneta come, per esempio, il Bitcoin.
Il motivo per cui vengono utilizzate le cripto-monete è che questo tipo di transazioni economiche non sono tracciabili per cui il criminale non può essere individuato.
Per approfondire ulteriormente l'argomento potete consultare questo breve, ma esauriente, articolo su Wikipedia
Come agiscono i ramsonware?
I ramsonware possono infettare i computer tramite diversi vettori di attacco:
- la semplice navigazione online
- l'apertura di un allegato infettante inviato via email
- attacco diretto al computer/server tramite servizi internet pubblicati online, per esempio accesso remoto di Windows, e vulnerabili perchè privi di protezioni o di aggiornamenti di sistema
Dopo aver infettato un computer il ramsonware provvede o a criptare tutti i file di un determinato tipo stabilito dalla sua programmazione oppure provvede a fornire una shell di accesso remoto al suo creatore per permettergli di controllare la tipologia di dati presenti e quindi valutare l'entità della cifra da chiedere come riscatto.
Una volta criptati i dati vengono lasciate le istruzioni da seguire per pagare il riscatto, sotto forma di files di vario tipo (.txt, .pdf, .html, etc), nelle cartelle in cui ci sono i files sequestrati.
Di solito viene indicato anche un intervallo temporale entro il quale pagare il riscatto e eventuali aumenti se si ritarda il pagamento.
Cedere al ricatto è purtroppo l'unica soluzione per poter riavere i propri dati e non sempre il pagamento del riscatto si conclude con l'esito positivo di ricevere dai cyber-criminali gli strumenti per poterli decriptare.
Ritardare il pagamento del riscatto, oltre il tempo limite indicato, di solito non porta mai a buoni risultati. Oltre certi limiti temporali, le chiavi crittografiche, per poter decriptare i propri dati, vengono distrutte e con esse ogni speranza di poterli riavere.
Pertanto, si deve decidere subito se pagare o meno e se si decide di pagare bisogna farlo nel minor tempo possibile anche perchè potreste trovare difficoltà ad acquistare una determinata quantità di cripto-valuta e ciò potrebbe far slittare i tempi oltre i limiti temporali che i cryber-criminali sono disposti ad attendere.
Ovviamente, nessuno vi assicura che una volta pagato il riscatto riceverete la chiave crittografica e il software per decriptare i files e riappropiarsi dei propri dati, ma di sicuro ogni altra scelta decreterà la perdita irrimediabile dei dati posti sotto sequestro dai cyber-criminali.
Come si previene un'infezione da ramsonware?
Prevenire invece di curare è il motto che dovrebbe vigere in ogni azienda che dipende fortemente da sistemi informatici.
Se non si sono valutati preventivamente e attentamente tutti i rischi derivanti da possibili attacchi informatici o da eventi straordinari come terremoti, incendi, furti, etc e realizzate per tempo contro misure efficaci, le conseguenze potrebbero essere talmente disastrose da condurre un'azienda sull'orlo del fallimento.
Quindi, come ci si difendede dai ramsonware?
Una risposta definitiva a questo quesito non esiste. Questi malware si evolvono ininterrottamente, con continue varianti, per eludere le difese dei più blasonati antivirus, utilizzano vettori d'attacco sempre più complessi e sfruttano tecniche di ingegneria sociale sempre più subdole per aggirare le difese mentali dell'utente inesperto.
In ogni caso queste sono le regole fondamentali, ma non esclusive, da seguire sempre:
- Utilizzate sempre un sistema operativo recente e supportato dal produttore. E' consigliabile l'utilizzo dell'ultimo sistema operativo disponibile in quanto dovrebbe garantire una maggiore sicurezza in virtù delle più recenti tecnologie impiegate
- Mantenete sempre aggiornati tutti i software compreso lo stesso sistema operativo
- Evitate come la peste i software pirata che spesso nascondono virus e backdoor per permettere l'accesso dei cyber-criminali nel tuo computer
- Non navigate mai utilizzando il browser ingrandito a tutto schermo. Ciò vi precluderebbe la visione dell'apertura di ulteriori sessioni del browser che potrebbero puntare a siti infetti
- Utilizzate Appliance Hardware di Sicurezza o in alternativa Suite Software di Sicurezza di produttori noti e rinomati
- Affidatevi a tecnici con comprovata esperienza in materia di sicurezza informatica. Diffidate dei tecnici che chiedono poche decine di Euro per i loro interventi; un esperto in sicurezza informatica non si scomoderebbe mai per tali cifre
L'ultima regola fondamentale, e anche la più importante da seguire, è quella di eseguire regolarmente delle copie di backup dei dati vitali.
Le copie ovviamente devono essere eseguite su dispositivi esterni, altamente sicuri ed affidabili dal punto di vista hardware onde evitare che la loro usura e conseguente rottura possa vanificare l'obiettivo per il quale erano destinati.
Anche il metodo con cui si effettuano i backup è fondamentale. Il metodo classico consiste in un collegamento effettuato dal computer che ospita i dati verso la periferica di Backup per trasferire i dati. In questo modo, se il computer in oggetto è infetto da un ramsonware, consentirà la criptazione dei dati anche sul dispositivo di backup.