GFI Software ha inserito tra i Security Alert del mese il “Ransomware”, un malware che si autoinstalla sul computer degli utenti a loro insaputa e che ne blocca il contenuto da remoto: una finestra popup richiede poi il pagamento di una somma di denaro per “liberare” il PC e i relativi dati
Sono finiti i tempi in cui gli attacchi informatici avevano il solo scopo di creare scompiglio e rappresentare una forma di ribellione alle major dell’IT; oggi i criminali informatici pensano soprattutto al profitto che possono trarre dagli utenti più sprovveduti, con modalità che vanno dal phishing agli scamware, fino alle finte raccolte di beneficenza.
E tra i “malware-for-profit” più insidiosi c’è proprio il ransomware, un fenomeno sempre più diffuso che non cancella i dati degli utenti o ruba credenziali bancarie, ma tiene semplicemente in ostaggio il PC dell’utente; bloccati per sempre con una password sconosciuta all’utente, i dati vengono rilasciati solo dietro pagamento di un riscatto. Il “rapimento” dei dati può essere condotto in vari modi, che vanno dalla cifratura dei file, fino al blocco dell’intero sistema; i criminali informatici possono anche intervenire direttamente sul Master Boot Record o cambiare le impostazioni di Windows.
Esiste uno schema utilizzato dal ransomware, che ha fatto salire il numero dei sistemi infetti fino a 350.000 (nel mese di giugno) e che lo inserisce a pieno titolo tra le minacce informatiche più pericolose e diffuse. E’ inoltre un malware molto redditizio, che ha fruttato ai criminali oltre 70.000 dollari in Bitcoin: le vittime ricevevano email fasulle che le invitavano ad aprire un file .zip da Dropbox ma, appena aperto l’eseguibile, un file CryptoWall – un sistema di cifratura a 2048 bit – impediva l’accesso ai dati se non a fronte del pagamento di un riscatto di 500 dollari in Bitcoin (somma che veniva raddoppiata se le vittime non erano veloci abbastanza nel pagare). Bitcoin è una modalità di pagamento opensource che funziona come un conto corrente digitale non nominativo e chi la utilizza non è identificabile; questo rende più difficile tracciare le transazioni illegali.
In molti casi, la chiave per la decodifica è all’interno del computer infetto, per cui non è affatto semplice liberare i file; ci sono servizi di recupero dati che potrebbero essere in grado di recuperare alcuni dati, ma sono molto costosi e non danno alcuna garanzia. La cifratura a 2048 bit, come quello di CryptoWall, è lo standard attualmente utilizzato per proteggere i dati sensibili ed è molto sicuro; è dunque ideale se ad utilizzarlo è l’utente, molto meno quando serve a mettere sotto sequestro il suo PC.
Pur pagando il riscatto, non esiste poi alcuna certezza che il PC venga liberato dal malware o che i criminali inviino all’utente una chiave per la decodifica(o che funzioni); esistono molti casi in cui le vittime, anche pagando, non sono mai più state ricontattate dall’autore del furto.
Come sempre, è quindi meglio prevenire i rischi, adottando alcune precauzioni:
– educare i dipendenti sulla pericolosità del ransomware e sulle modalità con le quali può infettare il loro PC
– adottare policy aziendali che vietino di scaricare file provenienti da mittenti sconosciuti o di aprire allegati da web o da account di storage in cloud
– aggiornare sempre gli antivirus e gli antimalware presenti in azienda
– archiviare i file più importanti su server centrali e non su singolo hard drive o dispositivi personali
– effettuare il backup regolarmente e su differenti hard disk