Ransomware, perché non si deve pagare

Pierguido Iezzi

La tua azienda è stata infettata da un Ransomware e ti è stata recapitata una richiesta di riscatto. Il tuo impulso potrebbe essere quello di pagare, ma potrebbe essere un errore fatale...

Gli attacchi Ransomware sono di gran lunga i più in crescita per intensità e complessità tra tutte le varie minacce che costellano la galassia del cyber crimine. Un trend che non ha fatto altro che aumentare in questo 2019 con casi di altissimo profilo come quelli della norvegese Norsk Hydro e della danese Demant che hanno sfondato cifre altissime per costi diretti e indiretti (stiamo parlando di decine di milioni di dollari). Ma se il volume e l’efficacia degli attacchi è in aumento, sembra anche emergere un altro dato preoccupante: sempre più vittime stanno cominciando a pagare i riscatti.

 

L'evoluzione del rischio Ransomware

Fino a pochi anni fa se un’azienda veniva colpita da un Ransomware e i suoi dati crittografati, non era necessariamente così incline a cedere alla richiesta dei criminal hacker e pagare la cifra chiesta dal riscatto.

 

Per quale motivo? Solitamente perché il Ransomware nelle sue forme “embrionali” poteva agilmente essere bypassato con un semplice restore dei dati – ovviamente se fatto in maniera regolare e continuativa – e un restart.

 

I tempi, ahimè, sono però cambiati e sembra proprio che il rateo di sviluppo dei Malware e di conseguenza dei Ransomware a volte supera persino quello dei sistemi non specializzati di cyber security. Una delle novità più preoccupanti su questo fronte è il sempre più ampio utilizzo dei bot di command-and-control. Questi non solo sono usati per crittare i dati delle aziende bersaglio, ma anche per navigare attraverso i sistemi di queste ultime. Una volta ottenuto l’accesso:

  • Esfiltrano dati;
  • Sottraggono le credenziali degli amministratori.

 

Questi malware altamente avanzati permettono ai criminal hacker di entrare nelle infrastrutture IT delle aziende e di “deployare” il ransomware sia nei sistemi principali sia nei sistemi di backup. Insomma, le ultime evoluzioni dei Ransomware lasciano poco spazio alle classiche attività di remediation e mitigation. Il restringersi delle opzioni tradizionali ha, quindi avuto un risvolto molto negativo per chi si trova ad affrontare queste situazioni. Sono aumentati i casi di coloro i quali decidono di cedere al riscatto e pagare la somma richiesta! Ma non potrebbe esserci strategia più sbagliata.

 

Non bisogna cedere

Il non cadere sotto la pressione del riscatto è qualcosa che gli esperti di cyber security da sempre cercano di inculcare ai più neofiti o a chi non è del settore, sin dalla prima comparsa dei Ransomware. Certo, una azienda che si trova dinnanzi alla terrificante situazione di avere i propri database crittati non sempre agisce con la massima calma olimpica. Ma questa strada – e questo è il primo motivo per cui non pagare – è più irta d’insidie e pericoli di quanto potrebbe sembrare. Un recente studio ha infatti rivelato che solo il 19 per cento di chi paga riesce ad avere indietro i suoi file. Un vero e proprio All in che nella maggior parte dei casi non frutta alcun risultato. Chi azzarderebbe mai una scommessa tale dinnanzi alla possibilità di perdere tutto?

 

Ci sono un paio di motivi per cui i dati oggetto del riscatto vengono persi.

 

A volte i criminal hacker hanno come scopo ultimo unicamente di incutere il maggior timore possibile nelle vittime, senza alcuna intenzione di sbloccare i sistemi bloccati. In altri casi il mancato recupero è unicamente frutto di un pessimo codice di crittazione che rende impossibile anche per chi lo ha scritto il recupero.

 

Come rispondere

Ma se pagare il riscatto è – comprensibilmente – fuori discussione, come fare ad affrontare un efficace processo di Data Recovery Ransomware nel caso di infezione?

 

Le opzioni sono due:

  • Provare la rimozione del malware;
  • Pulire i sistemi e reinstallarli da zero (Contando di avere dei backup “sani”).

 

Per agire nel primo caso esistono siti Internet e/o pacchetti software che affermano di essere in grado di rimuovere i Ransomware dai sistemi. “Affermano” appunto, perché ci sarebbe da discutere se sia veramente possibile rimuovere completamente e correttamente un’infezione attraverso una miracolosa panacea digitale. Una cosa è certa, non esiste un decryptor ad hoc funzionante per tutti i ransomware conosciuti, e – come accennato in apertura – più è nuovo il ransomware più è probabile che sia sofisticato e che minore sia stato il tempo per i “buoni” di sviluppare un decryptor.

 

Sicuramente il modo più sicuro per essere certi che un ransomware siano stati rimossi da un sistema è quello di eseguire una cancellazione completa di tutti i dispositivi di archiviazione e reinstallare tutto da zero. La formattazione dei dischi rigidi nel sistema assicurerà che non rimangano residui del malware. Se hai seguito una solida strategia di backup, dovresti avere copie di tutti i tuoi documenti, supporti e file importanti fino al momento dell’infezione. Qui c’è un passaggio fondamentale, devi assicurati di determinare la data d'inizio dell'infezione.

 

Come farlo?

Dalle date dei file di malware, i messaggi e altre informazioni che hai scoperto sul funzionamento del tuo malware specifico. Considera che un’infezione potrebbe essere stata inattiva nel tuo sistema per un po’ prima di attivarsi e apportare modifiche significative al tuo sistema. Identificare e conoscere il particolare malware che ha attaccato i tuoi sistemi ti permetterà di capire come funziona quel malware e quale dovrebbe essere la tua migliore strategia per ripristinare i tuoi sistemi. Fatto questo dovresti selezionare un backup – o più backup – eseguiti prima della data dell’infezione ransomware iniziale. Un buon programma di backup consente di tornare indietro nel tempo e specificare la data prima della quale si desidera ripristinare i file. Se hai seguito una buona politica di backup sia locale che esterno, dovresti essere in grado di utilizzare copie di backup che sei sicuro di non essere collegato alla rete (!) dopo il momento dell’attacco e quindi protetto dalle infezioni. Le unità di backup completamente disconnesse dovrebbero essere sicure, così come i file archiviati nel cloud. Potresti essere tentato di utilizzare un punto di Ripristino configurazione di sistema per riavviare il sistema. Ma questa non è una buona soluzione per la rimozione, poiché il software dannoso viene in genere sepolto in tutte le aree di un sistema. Quindi, non è possibile fare affidamento sul fatto che ripristino configurazione di sistema sia in grado di sradicare tutte le parti del malware.

 

Insomma, anche con le corrette procedure essere colpiti da un Ransomware non sarà mai una passeggiata, ma questo non deve mai indurci a cedere. Pagare non sarà mai la soluzione!

Di più su questi argomenti: