Allarme Ransomware: quando i dati vengono trattenuti in ostaggio

Il malware multipiattaforma di WildPressure colpisce macOS in Medio Oriente

GFI Software ha inserito tra i Security Alert del mese il “Ransomware”, un malware che si autoinstalla sul computer degli utenti a loro insaputa e che ne blocca il contenuto da remoto: una finestra popup richiede poi il pagamento di una somma di denaro per “liberare” il PC e i relativi dati

Sono finiti i tempi in cui gli attacchi informatici avevano il solo scopo di creare scompiglio e rappresentare una forma di ribellione alle major dell’IT; oggi i criminali informatici pensano soprattutto al profitto che possono trarre dagli utenti più sprovveduti, con modalità che vanno dal phishing agli scamware, fino alle finte raccolte di beneficenza.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

E tra i “malware-for-profit” più insidiosi c’è proprio il ransomware, un fenomeno sempre più diffuso che non cancella i dati degli utenti o ruba credenziali bancarie, ma tiene semplicemente in ostaggio il PC dell’utente; bloccati per sempre con una password sconosciuta all’utente, i dati vengono rilasciati solo dietro pagamento di un riscatto. Il “rapimento” dei dati può essere condotto in vari modi, che vanno dalla cifratura dei file, fino al blocco dell’intero sistema; i criminali informatici possono anche intervenire direttamente sul Master Boot Record o cambiare le impostazioni di Windows.

Esiste uno schema utilizzato dal ransomware, che ha fatto salire il numero dei sistemi infetti fino a 350.000 (nel mese di giugno) e che lo inserisce a pieno titolo tra le minacce informatiche più pericolose e diffuse. E’ inoltre un malware molto redditizio, che ha fruttato ai criminali oltre 70.000 dollari in Bitcoin: le vittime ricevevano email fasulle che le invitavano ad aprire un file .zip da Dropbox ma, appena aperto l’eseguibile, un file CryptoWall – un sistema di cifratura a 2048 bit – impediva l’accesso ai dati se non a fronte del pagamento di un riscatto di 500 dollari in Bitcoin (somma che veniva raddoppiata se le vittime non erano veloci abbastanza nel pagare). Bitcoin è una modalità di pagamento opensource che funziona come un conto corrente digitale non nominativo e chi la utilizza non è identificabile; questo rende più difficile tracciare le transazioni illegali.

Leggi anche:  La cybersecurity sui banchi di scuola: Clusit e Women For Security affrontano la sfida insieme

In molti casi, la chiave per la decodifica è all’interno del computer infetto, per cui non è affatto semplice liberare i file; ci sono servizi di recupero dati che potrebbero essere in grado di recuperare alcuni dati, ma sono molto costosi e non danno alcuna garanzia. La cifratura a 2048 bit, come quello di CryptoWall, è lo standard attualmente utilizzato per proteggere i dati sensibili ed è molto sicuro; è dunque ideale se ad utilizzarlo è l’utente, molto meno quando serve a mettere sotto sequestro il suo PC.

Pur pagando il riscatto, non esiste poi alcuna certezza che il PC venga liberato dal malware o che i criminali inviino all’utente una chiave per la decodifica(o che funzioni); esistono molti casi in cui le vittime, anche pagando, non sono mai più state ricontattate dall’autore del furto.

Come sempre, è quindi meglio prevenire i rischi, adottando alcune precauzioni:

– educare i dipendenti sulla pericolosità del ransomware e sulle modalità con le quali può infettare il loro PC

– adottare policy aziendali che vietino di scaricare file provenienti da mittenti sconosciuti o di aprire allegati da web o da account di storage in cloud

– aggiornare sempre gli antivirus e gli antimalware presenti in azienda

– archiviare i file più importanti su server centrali e non su singolo hard drive o dispositivi personali

– effettuare il backup regolarmente e su differenti hard disk