Come proteggersi da ransomware

Cosa fare se la nostra azienda è stata colpita

1. L’esplosione dei Ransomware

In questi ultimi anni sono sempre più numerosi gli attacchi ransomware ad aziende in tutto il mondo.
Si stima che nell’anno 2021 ci sia stato nel mondo un attacco ransomware ogni 11 secondi! Due anni prima, nel 2019, c’era un attacco ogni 14 secondi.
Secondo CyberEdge (vedere fig.1), la percentuale di organizzazioni che sono state vittime di ransomware è cresciuta dal 55,1% del 2018 al 68,5% del 2021.
Nei nostri precedenti articoli abbiamo già evidenziato come gli attacchi ransomware si siano molto evoluti in questi ultimi anni, rispetto ai primi anni della loro comparsa (anni 2013÷2017 circa).
Oggi a produrre i malware sono aziende cybercriminali strutturate e dotate di grandi mezzi, con un business model paragonabile a quello delle migliori aziende “tradizionali”.

E capaci di fare ricerca e sviluppo per creare ransomware sempre più sofisticati ed aggressivi.

Figura 1– La crescita degli attacchi ransomware negli ultimi quattro anni

Sono cambiate le tecniche di attacco (TTP: tactics, techniques, and procedures), sempre più sofisticate e simili a quelle degli attacchi APT (Advanced Persistent Threat).
Ne abbiamo parlato in questo nostro precedente articolo.
Dobbiamo quindi mettere in conto la possibilità che un ransomware colpisca la nostra azienda. Il dubbio, dunque, non è più “se” ci sarà l’attacco, ma solo “quando” ci sarà.
Per qualsiasi azienda diventa quindi vitale non solo la prevenzione: ne abbiamo parlato in questo nostro articolo, ma anche come proteggersi da ransomware, una volta che questi siano riusciti a colpire ed a criptare i dati dell’azienda.

2. Come proteggersi da ransomware: le misure di remediation dopo l’attacco

Se sullo schermo del nostro computer compare un’immagine come in questo caso è il segnale che un ransomware ha colpito ed ora ci presenta – come una sentenza – la richiesta di riscatto. Quindi, come proteggersi da ransomware? Cosa possiamo fare ora, senza farci prendere dal panico e dalla disperazione?

Quando compare questo messaggio (in genere è un file immagine o in formato .txt) significa che il ransomware ha già concluso il processo di criptazione dei nostri files. I dati sono stati sequestrati e ora bisogna decidere cosa fare. In questa malaugurata ipotesi, le opzioni sono sostanzialmente quattro:

» Ripristinare i file da un backup: la soluzione migliore, anzi la sola che dovrebbe prendere in considerazione un’azienda ben organizzata.
» Cercare un “decryptor” in rete per decriptare i file.
» Non fare nulla e perdere i propri dati.
» Pagare il riscatto (ransom).

Vediamole ora più in dettaglio.


>> Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali


2.1 Ripristinare i file da un backup

È la soluzione migliore e possiamo averla a disposizione se abbiamo operato con attenzione e ci siamo organizzati con una corretta gestione di salvataggio periodico dei nostri dati. Infatti per poter fare un ripristino è necessario avere una copia di backup che sia:

» disponibile,
» recente,
» funzionante,
» protetto (cioè non attaccabile dal ransomware stesso).

Ho voluto evidenziare questi quattro requisiti, perché troppo spesso ci si trova in aziende che – in piena emergenza ransomware, con i computer bloccati – non hanno la certezza dello stato del backup fino a quando non vanno a esaminarlo. Salvo scoprire che: è incompleto (alcune cartelle non sono state copiate), non è aggiornato (perché da un po’ di tempo non veniva più fatto…) e altre amenità del genere, purtroppo veramente accadute.
Ma oggi il rischio maggiore è che l’attacco ransomware riesca a criptare anche il backup.
Infatti gli attacchi sono diventati molto più mirati e sofisticati: il cyber criminale è consapevole che molto probabilmente la vittima si è premunita di un backup che potrebbe rendere inefficace il suo attacco. Per questo i ransomware dell’ultima generazione, prima di “uscire allo scoperto” con la crittografia dei dati, analizzano il sistema che ha violato i dati. Lo scopo è proprio quello di trovare il backup e criptarlo, in modo da privare la vittima della contromisura più importante e capire come proteggersi da ransomware.

Se si arriva a questo punto, l’azienda colpita sarà inerme di fronte al ransomware, senza più strumenti di difesa.
Come proteggersi da ransomware che cercano di crittografare anche il backup?
Ovviamente con la fondamentale regola del 3-2-1 Backup: 3 copie di ogni dato che si vuole conservare.
Di queste: 2 copie ”onsite” ma su storage differenti (HD, NAS, Cloud,…) e sempre 1 copia in sito remoto in modo che sia off-site ed offline (per esempio su unità a nastro disconnesse dalla rete).
Ed inoltre, configurare sempre la procedura di backup in modo che le copie di backup non siano accessibili in rete, ad eccezione del software preposto al backup stesso. Nessun altro utente deve poter aver accesso al backup!

Se siamo in possesso di un backup utilizzabile, occorre però procedere prima a una bonifica della macchina (o delle macchine) infette, prima di eseguire il ripristino dei dati. La bonifica potrebbe essere fatta con scansioni antivirus per assicurarsi che il software dannoso sia stato rimosso, ma non è un sistema abbastanza sicuro, quindi non lo consigliamo.
Per essere certi al 100% che non ci siano più tracce di qualsiasi tipo di malware, è consigliabile procedere a una formattazione completa del computer attaccato. Solo a questo punto si può procedere al ripristino dei dati da backup su un’installazione pulita. Ovviamente questo richiede tempo ed è il motivo per cui ogni ransomware causerà downtime (blocco delle attività) all’azienda.


>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli → Inizia ora la tua prova gratuita


2.2 Cercare un “decryptor” in rete per decriptare i file

La grande proliferazione delle varietà di ransomware nel corso di questi ultimi anni ha fatto sì che i maggiori vendor di sicurezza mondiali abbiamo cercato di trovare gli “antidoti” efficaci contro questi malware. E in alcuni casi ci sono anche riusciti: per alcune versioni di ransomware meno recenti – o peggio realizzati – sono stati resi disponibili in rete programmi e tools (decryptor) in grado di recuperare i file crittografati.

Si tratta comunque di procedure non elementari e spesso complesse, che raramente hanno successo con i ransomware più moderni e meglio costruiti. Dopo tutto, anche gli hacker leggono gli stessi blog e forum di sicurezza e aggiornano i loro prodotti per renderli inattaccabili ai decryptor.
Citiamo alcuni casi noti: le prime versioni di Petya avevano punti deboli nella cifratura e questo permetteva di ricavare la chiave crittografica. Nelle versioni successive gli hacker hanno chiuso questa falla. Anche il ransomware TeslaCrypt (uno dei più diffusi fino al 2016) aveva vulnerabilità che permettevano di recuperare la chiave privata con alcuni tools appositi (TeslaDecoder, TeslaCrack, ecc.). Dalla versione 3.0 di TeslaCrypt questo difetto è stato eliminato e la crittografia AES 256 bit ha reso impossibile qualsiasi recupero della chiave di decriptazione.

Quindi questa opzione ha basse probabilità di successo (praticamente nessuna se la cifratura è stata fatta con algoritmi di crittografia forte come AES 256, Salsa20 o altri), ma può valere comunque la pena di tentare una ricerca in rete.
Segnalo a questo scopo l’utilissimo sito No More Ransom!”.
È stato creato nel 2016 dal National High Tech Crime Unit della polizia olandese (la famosa Politie), dall’European Cybercrime Centre dell’Europol e da due aziende di sicurezza informatica, Kaspersky Lab e McAfee, con l’obiettivo di aiutare le vittime del ransomware a recuperare i loro dati criptati senza dover pagare i criminali. Oggi conta molti altri partner qualificati.
Facendo una ricerca nel sito, o caricandovi due file criptati, nell’apposita pagina Crypto Sherif, potremo ottenere gratuitamente (se esiste!) il decryptor per decifrare i file.
È anche possibile – e consigliato – indicare l’URL della pagina web o dell’indirizzo di bitcoin o onion che appare nella richiesta di riscatto.

Sconsiglio assolutamente di cercare decryptor sul web, attraverso altri canali: potremmo incappare in brutte sorprese! Si trovano in rete siti che propongono strumenti per recuperare i documenti crittografati dai ransomware, ma in realtà li codificano una seconda volta.
E poi chiedono un riscatto per fornire il “decrypt tool”. Sfruttano lo stato di necessità delle persone per colpire, a conferma che non esiste etica negli attacchi cybercriminali.
Un caso noto è ZORAB, che promette di fornire la soluzione per il ransomware STOP Djvu, ma invece ricripta i file e gli cambia l’estensione in .ZRB.

2.3 Non fare nulla e perdere i propri dati

Non è certo una scelta entusiasmante e quasi mai la si può fare, soprattutto in un’azienda, a meno che i dati criptati non siano veramente di scarsa importanza. Anche se dovessimo optare per questa soluzione, consiglio comunque di:

» togliere dalla macchina il disco con i file compromessi e metterlo da parte: potrebbe succedere che in futuro qualcuno riesca a trovare il decryptor per decifrare quei nostri file, che potrebbero essere recuperati. Potrebbero passare mesi, ma potrebbe accadere…
» Oppure (per lo stesso motivo) fare un backup dei file crittografati, conservarli a parte e poi bonificare comunque la macchina.

2.4 Pagare il riscatto…

È ovviamente la soluzione peggiore dal punto di vista etico, quella alla quale non si dovrebbe mai arrivare: pagando alimentiamo la criminalità e la rendiamo ancora più ricca e forte. C’è un altro aspetto da considerare: se paghiamo, manderemo ai criminali il messaggio che siamo vulnerabili e disponibili a pagare, quindi… ci dovremo aspettare altri attacchi! Sappiamo che chi paga almeno una volta ha circa 80% di probabilità di essere attaccato una seconda volta.

Chi paga ottiene indietro i suoi dati?
Non si ha nessuna garanzia di riavere i propri dati: ricordiamoci sempre che dall’altra parte ci sono dei criminali.
Tuttavia, per una politica di “brand reputation” a questi criminali conviene ridarci i file, altrimenti la loro “reputazione” sarebbe danneggiata e le aziende non pagherebbero più.

Questo accade nella maggioranza dei casi, ma esiste almeno un 20% di probabilità che, anche pagando, i dati non ritornino disponibili. Secondo il recente rapporto di Sophos “The State of Ransomware 2022” questa percentuale nell’ultimo anno è salita al 40%.
La mancata restituzione dei dati può verificarsi non solo per la disonestà dei malviventi, ma anche per altri motivi, quali:

» un errore nel pagamento;
» un pagamento inferiore alla richiesta (un errore in cui è facile cadere: la vittima nell’acquisto dei Bitcoin non ha considerato la commissione sulla transazione);
» sito di pagamento nel Dark web non più raggiungibile (chiuso dalle forze dell’ordine);
» decryptor non funzionante: è il caso accaduto a Colonial Pipeline con DarkSide nel maggio 2021, ne abbiamo parlato in questo articolo.

Se, nonostante tutto, si decide di pagare il riscatto, i passi da fare sono in genere questi (con piccole varianti a seconda del tipo di ransomware che ci ha colpito):

» Leggere le istruzioni che ci sono state inviate con la richiesta di riscatto: serve per capire come contattare i criminali, qual è l’importo richiesto, quasi sempre in Bitcoin, e – soprattutto – quanto tempo abbiamo per pagare prima che i nostri file siano persi definitivamente (in genere i cybercriminali fissano una scadenza di circa 72 ore, comunque mai molto lunga).
» Acquistare i Bitcoin (o altra criptovaluta) per il pagamento: individuare un sito che faccia “exchange” di questa valuta. Rivolgiamoci solo ad exchange di provata reputazione. Ce ne sono molti in rete e sono assolutamente legali, ma esistono anche siti truffaldini che è opportuno evitare con attenzione.
» Aprire un account presso il sito prescelto: si tratta in pratica di un conto elettronico (wallet) dove saranno depositati i Bitcoin acquistati.
» Poiché il contatto con il cyber criminale in genere avviene nel dark web, attraverso la rete Tor per garantire l’anonimato, occorre installare un browser Tor: lo si può scaricare direttamente dal sito.
» Solo con il browser Tor (e non con Chrome, Firefox o Safari) possiamo accedere al sito indicato dagli hacker: i siti della rete Tor si trovano nel Dark web, non sono indicizzati in Google e sono raggiungibili solo se si conosce l’esatto indirizzo, che è molto complesso. Questo è un esempio di indirizzo Tor: 7yulv7filqlrycpqrkrl.onion.
» Pagare il riscatto: questo significa trasferire il denaro dal proprio Bitcoin wallet a quello degli hacker. Per raggiungerlo in genere è sufficiente seguire le istruzioni fornite dal cyber criminale. Il wallet su cui eseguire il pagamento è identificato da un “wallet ID”, costituito da una lunga serie di numeri e lettere come questa: 19eXu88pqN30ejLxfei4S1alqbr23pP4bd (è l’equivalente dell’IBAN bancario). Questo codice traccia il pagamento in forma solo numerica, quindi rende quasi impossibile risalire al nome dell’intestatario del wallet. Dopo aver trasferito i bitcoin sul conto degli hacker, riceveremo un altro codice (ancora una lunga serie di numeri e lettere) che rappresenta la conferma della transazione.
» Aspettare e sperare…: entro qualche ora (il tempo necessario perché la transazione sia stata processata dai sistemi) dovremmo ricevere un file con la chiave privata di decriptazione, oppure un file eseguibile (il decryptor) che procederà a decriptare i file. Affinché la decodifica dei file possa poi essere eseguita, occorre che manteniamo collegati tutti i dispositivi e dischi che erano connessi al momento dell’infezione, altrimenti qualche file potrebbe non venire decriptato.

In genere viene inviato un file “decryptor”, cioè che esegue il percorso inverso del ransomware che ha cifrato i dati. Il decryptor contiene la chiave di decifratura (in alcuni casi viene inviata a parte). Non sempre funziona bene: è un programma e potrebbe essere stato fatto in modo sbagliato… è successo anche questo, come nel citato caso di Colonial Pipeline!
Attenzione: il decryptor non rimuove il trojan, decifra solo i dati. Quindi il malware va eliminato con altri strumenti antimalware, ancora meglio con una completa formattazione delle macchine infette.

Esistono altri rischi potenziali da non sottovalutare:
Il decryptor potrebbe contenere altri trojan (non è frequente, ma non possiamo essere sicuri che questo non accada).
Per le estorsioni eseguite a seguito di attacchi “manuali” (cioè non opportunistici) c’è anche il rischio che la cifra aumenti, cioè che i criminali facciano un rilancio: può accadere quando questi si sono resi conto di aver colpito bersagli importanti come grandi aziende o ospedali. È successo, per esempio, al Kansas Heart Hospital a Wichita (Kansas): dopo aver ricevuto il riscatto, gli hacker hanno solo parzialmente dato l’accesso ai dati criptati e hanno richiesto altri soldi per decifrare i dati rimanenti. L’ospedale ha rifiutato di pagare un secondo riscatto (maggio 2016).

3. Ransomware e GDPR

Nei momenti che seguono un attacco ransomware, è facile perdere lucidità.
Non dobbiamo però dimenticare che un attacco del genere con tutta probabilità avrà generato un data breach (una perdita e/o compromissione di dati) e capire in anticipo come proteggersi da ransomware. Se tra i dati compromessi ci sono anche dati personali (eventualità molto probabile), l’azienda ha l’obbligo di notificare al Garante Privacy il data breach che l’ha colpita.

Questo è stabilito dall’art.33 del GDPR, che prescrive anche che questa notifica dovrà essere fatta “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Questo è un adempimento obbligatorio che non dobbiamo dimenticare, per non incorrere nelle sanzioni previste dal GDPR.


>> FlashStart è totalmente in Cloud e facilmente attivabile → Provalo ora!


4. Come proteggersi da ransomware con la soluzione FlashStart

Il filtro DNS di FlashStart è veloce, affidabile e aggiornato ovunque. Protegge da qualsiasi attacco Malware, Botnet, Ransomware e Phishing.

Definire un piano stategico per capire come proteggersi da ransomware è fondamentale.

Applicando l’Intelligenza Artificiale alla Cyber Security si adotta in primo luogo un sistema automatico di aggiornamento delle Blacklist utilizzate dal filtraggio DNS. Con più di 1,7 miliardi di siti attivi sul web e oltre 200mila nuovi domini che si aggiungono in media ogni giorno, una categorizzazione con sistemi avanzati è fondamentale per garantire un livello di protezione elevato.

Con più di 190 milioni di siti già censiti, a cui si sommano ogni giorno le nuove analisi conseguenti alle visite da utenti di tutto il mondo, Flashstart offre un’innovativa ed efficace intelligence sulle minacce informatiche (malware, ransomware, botnet, phishing, etc.) e a capire come proteggersi da ransomware, permettendo facilmente di personalizzare i contenuti accessibili agli utenti finali, in base alle esigenze aziendali, educazionali e familiari.

Introducendo il concetto di DNS Intelligence, l’algoritmo di Intelligenza Artificiale permette di velocizzare la raccolta dei dati sui DNS, domini e contenuti, “imparando” dalle analisi dei siti e prevedendo quali altri possano essere a rischio blocco. In questo modo si migliora la qualità del filtro e si evita il blocco a siti erroneamente considerati pericolosi (falsi negativi).

Per definire bene la strategia giusta per capire come proteggersi da ransomware, la scelta del tipo di filtraggio DNS è importante e bisogna considerare tre aspetti: la distribuzione, la latenza e l’aggiornamento continuo delle tabelle di controllo.
FlashStart, per esempio, è distribuito a livello globale tramite una rete Anycast di datacenter presenti nei diversi continenti e che permettono collegamenti istantanei.
Le minacce in Rete vengono aggiunte in tempo reale alle liste presenti nel cloud e i clienti hanno la garanzia di un servizio di protezione costantemente aggiornato. Last but not least, FlashStart garantisce un servizio di assistenza attivo 24/7 in italiano, inglese e spagnolo.

5. L’autore

Giorgio Sbaraglia, ingegnere, svolge attività di consulenza e formazione per la sicurezza informatica e per la privacy.
Tiene corsi su questi temi per molte importanti società italiane di formazione, tra le quali ABIFormazione e 24Ore Business School.
È coordinatore scientifico del Master “Cybersecurity e Data Protection” della 24Ore Business School.
È membro del Comitato Scientifico CLUSIT (Associazione Italiana per la Sicurezza Informatica) e certificato “Innovation Manager” da RINA.
Ricopre incarichi di DPO (Data Protection Officer) presso aziende e Ordini Professionali.
È autore dei libri:

» GDPR kit di sopravvivenza” (Editore goWare),
» Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” (Editore goWare),
» iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” (Editore goWare).

Collabora con CYBERSECURITY360 testata specialistica del gruppo Digital360 per la Cybersecurity.
Scrive anche per ICT Security Magazine, per Agenda Digitale e per la rivista CLASS.


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

Articoli correlati