Ransomware, l’attacco che danneggia la reputazione della tua azienda

Il Ransomware (dove Ransom si traduce con ricatto) è stato una delle minacce informatiche più prolifiche degli ultimi anni ed è improbabile che il pericolo dovuto a questo particolare malware sia destinato ad arrestarsi presto. 

Le origini

Il primo caso di riscatto è stato osservato nel Dicembre 1989. Il Ransomware si è rivelato al mondo come “Trojan dell’AIDS”, dopo aver infettato 20mila floppy disk di delegati che avevano partecipato alla conferenza sull’AIDS dell'Organizzazione Mondiale della Sanità, a Stoccolma. Il disco conteneva un codice maligno che nascondeva le directory dei file, bloccava i nomi dei file e chiedeva alle vittime un riscatto di 189 dollari da inviare a una casella postale di Panama.

Un’evoluzione continua in pericolosità e sofisticazione

Quasi due decenni dopo la sua prima comparsa, il Ransomware si è trasformato fino a diventare una delle minacce più potenti e potenzialmente distruttive per le aziende. Nel 2006, il malware ha assunto il nome di Archiveus e ha effettuato attacchi sofisticati contro i PC in tutto il mondo. L’attacco di Archiveus criptava tutti i file nella cartella "My Documents" e forniva istruzioni alle vittime per effettuare acquisti su siti web specifici se volevano ricevere la password di decrittazione e recuperare i propri file.

L’arrivo di Bitcoin, nel 2008, ha aggiunto ulteriore carburante a una serie di attacchi sotto forma di Ransomware. I soprannomi, tra cui GPcode, Krotten, Cryzip e molti altri, hanno modificato il processo di attacco del Ransomware per estorcere denaro (in criptovalute) alle persone e generare entrate. Nel 2016, il Ransomware-as-a-service era diventato comune (ovvero gruppi di Criminal Hacker vendevano i servizi di Ransomware ad altri criminali senza le necessarie capacità informatiche), consentendo a un numero molto più alto di criminali informatici di prendere di mira le imprese più grandi, ma anche le organizzazioni del settore pubblico.

Gli operatori diventano più proattivi

Nel mondo di oggi, ci sono molte chiavi di decrittazione (ovvero i codici necessari per sbloccare le proprie macchine senza dover pagare il riscatto; cosa comunque altamente sconsigliata) per diversi famigerati Ransomware. Inoltre, con la recente iniziativa "No More Ransom Project", le organizzazioni hanno iniziato a fare marcia indietro rispetto al pagamento del riscatto agli autori dei riscatti. Questo ha portato gli operatori del Ransomware a ideare un nuovo metodo di “Naming-and-Shaming” (letteralmente, sbugiardare pubblicamente le aziende vittime). Iniziato dal gruppo dietro il Ransomware Maze, questa nuova tecnica consiste nel rivelare il nome e i dati rubati alle organizzazioni vittime sui loro siti web.

Gli attaccanti prevedono di adottare questa tattica quando una vittima rifiuta di pagare il riscatto, aggiungendo una dimensione di Data Breach all’attacco. Una novità, ma, soprattutto, un rischio imponente e potenzialmente irreparabile per la reputazione dell’azienda che si vede colpita. Un conto è il ripristino delle macchine crittate, tutt’altro discorso è riallacciare la fiducia con il cliente che si è visto indirettamente coinvolto nell’attacco e i cui dati sono stati esposti. DoppelPaymer, Sodinokibi e Nemty sono alcuni degli altri Ransomware che hanno iniziato ad allinearsi al Ransomware Maze. DoppelPaymer ha lanciato il suo sito web chiamato “Doppel Leaks” per dare un nome alle sue vittime.

Lo scenario futuro

Il Ransomware è diventato più problematico che mai e la questione continuerà, senza dubbio, anche nel 2020. Fortunatamente, esistono best practice collaudate per scongiurare la maggior parte delle infezioni come mettere in sicurezza le reti e assicurarsi che ci siano dei back-up disponibili. Solo allora sparirà la tentazione di pagare il riscatto. E, se le persone non pagano il riscatto, i criminali informatici smetteranno di vedere il Ransomware come un’arma redditizia.

Pierguido Iezzi
Swascan Cyber Security Strategy Director
(www.swascan.com/it/)