igiene digitale

Ransomware, ecco l’igiene digitale che ci serve

Gli attacchi ransomware crescono di numero e, per prevenirli in modo consapevole, occorre conoscere cosa sono e come funzionano. Una corretta igiene digitale riduce i rischi, garantendo una maggiore resilienza sia alle grandi organizzazioni, sia alle piccole e medie imprese

Pubblicato il 20 Gen 2023

Fabrizio D'Amore

Dipartimento Ingegneria Informatica, automatica e gestionale Antonio Ruberti, Sapienza Università di Roma

ransomware

Ransomware, è davvero tanto pericoloso come sembra? E come ci si può difendere?

Cerchiamo di chiarire tutti gli aspetti di un problema sempre più attuale, per giungere a un metodo di protezione finale che non sarà una ricetta ma un insieme di pratiche, o meglio un processo, che vede la salvezza al termine di un non breve tunnel e che passa attraverso una metodica che si chiama igiene digitale.

Come la crittografia rafforza la cybersecurity e perché non basta

Cos’è il ransomware

Partiamo da zero, ovvero dal significato letterale del termine. Ransom è un termine della lingua inglese che significa riscatto ed è usato in un ambito tipico, inaugurato una settantina di anni fa, dai celeberrimi termini software e hardware. L’aggiunta del suffisso ware si riferisce allo scenario introdotto dal prefisso.

Recentemente si sono introdotte molte varianti come, per esempio, firmware, malware, spyware e altre ancora. Il ransomware è un malware, che è a sua volta un software. Come è noto il termine software indica l’insieme delle componenti non tangibili elettroniche di elaborazione ed è generalmente riferito ai programmi, la relativa documentazione e i dati trattati. La parola malware è invece relativa alla categoria più ristretta di software la cui finalità sia nociva all’utente e/o al suo computer e/o all’infrastruttura utilizzata o, più in generale, interferisce con la sicurezza/privacy dell’utente.

In breve, potremmo dire software creato a fini malefici. Ciò non è del tutto corretto ma andrà bene in questo contesto. Precedentemente si utilizzava il termine “virus” in maniera generica, oggi il virus è un particolare malware.

I principali tipi di ransomware

Il ransomware è un malware che crea danno all’utente, spesso bloccandolo completamente. Pretende il pagamento di un riscatto, da versare secondo alcune modalità desiderate, per interrompere/annullare il danno arrecato (per esempio, sbloccare il computer).

Il modo con cui opera il ransomware è in genere di due possibili tipi: bloccaschermo (screenlocker o locker-ransomware file encryption (o crypto-ransomware), dove tutti i file o una parte consistente vengono cifrati, rendendoli inaccessibili. Di tutti i tipi di ransomware, il file encryption è di gran lunga il più pericoloso. Ne esistono anche di altri tipi, di pericolosità e diffusione minori. In tutti i casi l’obiettivo dell’attaccante è quello di ottenere dall’utente un riscatto, dietro la promessa dello sblocco o della decifratura.

Esiste un’altra classificazione del ransomware che distingue fra quello opportunistico (opportunistic) e mirato (targeted): nel primo caso l’attaccante opera “a pioggia”, sparando sul mucchio, nel caso di attacchi targeted sono già note alcune vulnerabilità che possono essere sfruttate e quindi si tenta di veicolare il ransomware sfruttandole. Inoltre, sempre nel targeted, si sceglie un determinato obiettivo riaspetto a un altro, a parità di tutte le altre condizioni, in relazione alla sua capacità/volontà di pagare il riscatto. Spesso si parla di “caccia grossa” (big-game hunting).

Perché se ne parla

Gli attacchi mediante ransomware sono aumentati in maniera vertiginosa, anche approfittando della pandemia. Secondo Kaspersky, i casi di ransomware nei primi 10 mesi del 2022 sono quasi raddoppiati rispetto all’analogo periodo del 2021. Si stima che ci sia un attacco ogni 40 secondi contro aziende statunitensi (senza contare dunque quelli contro singoli individui).

Oltre alla crescita del numero di attacchi colpisce l’entità del loro impatto, mirato a rendere inaccessibili i file del dispositivo attaccato (crypto-ransomware). Per molte aziende, specie le Piccole e medie imprese (Pmi), ciò significa lo stop alle attività e ingenti danni economici. L’inaccessibilità è vera, spesso totale e indipendente dalla bravura degli informatici.

Quali sono i segnali del ransomware

Il ransomware si manifesta facendo conoscere alla vittima le condizioni poste dall’attaccante per il recupero pieno del controllo del dispositivo infettato. Per le infezioni in divenire ci sono alcuni segnali: i più ovvi sono signature-based, che tentano di rilevare la somiglianza di frammenti di codice che sta per essere eseguito con frammenti di ransomware noti: in caso di corrispondenze verosimili l’esecuzione viene bloccata.

Questo è il metodo usato da molti antivirus e da varie piattaforme per la sicurezza. Il rilevamento può essere anche behavior-based, dove si guarda invece la differenza di comportamento di utenti/programmi tra il passato e il presente.

Ecco i segnali più comuni, riferiti ad attacchi spesso (ma non necessariamente) targeted in reti più o meno complesse, come anche nel caso di Pmi provviste di reti molto semplici assimilabili a reti casalinghe. Non tutti le voci hanno senso nel caso di singoli utenti o reti semplicissime.

  • Spam/phishing email. Phishing è l’approccio più usato per veicolare il ransomware
  • Riduzione delle prestazioni
  • Sospetti tentativi di accesso continuativi, in particolare login falliti da locazioni inattese
  • Rilevazione di scansioni di rete/porte non autorizzate e inattese
  • Attacchi di prova. Su qualche obiettivo secondario, in modalità “leggera,” per sondare i tempi di reazione e la resilienza
  • Disabilitazione o rimozione del software di sicurezza
  • Cifratura dati in un qualche punto
  • Rilevamento di un qualche (noto) hacking tool
  • Attività atipica nella Active Directory
  • Tentativi di corruzione del backup.

Altra casistica è quella che si sviluppa al livello di una grande e strutturata impresa con lo sviluppo/manutenzione di appositi honeypot, bersagli esposti per attirare attacchi e monitorare tattiche in sezioni che, per definizione, sono isolate dal resto della rete. In tal caso si rileva il tentativo su un bersaglio appositamente predisposto, dove il ransomware non può arrecare danni.

Phishing: come riconoscerlo e gli strumenti per difendersi

Perché il ransomware è pericoloso

Ci riferiremo alla variante più minacciosa, il crypto-ransomware. Come già accennato, questo malware è estremamente pericoloso, perché sottrae alla disponibilità legittima parte, oppure tutto, il patrimonio informativo.

I file vengono sostituiti dalla loro controparte cifrata, con algoritmi di cifratura estremamente portenti, rapidi e disponibili in open-source, come Aes.

Possiamo ricorrere in tal caso anche al miglior esperto di sicurezza informatica, ma purtroppo la cifratura fatta con chiavi casuali (come la farebbe un qualunque esperto di sicurezza) è quasi impossibile da rompere per tornare ai file originali: spesso si incontrano problemi come eseguire 2256 tentativi differenti, troppi anche per il più potente dei computer.

La file-encryption significa la perdita dell’accesso alle anche più semplici informazioni, quali le anagrafiche clienti o la fatturazione. Si capisce che l’impatto economico possa essere arbitrariamente enorme. Anche nel caso di singoli utenti o reti semplicissime abbiamo la stessa gravità del danno. C’è poco da fare: pagare il riscatto richiesto e sperare che il criminale mantenga la parola, fornendo la chiave per decifrare.

Peraltro, negli ultimi anni si è andata diffondendo una procedura di pagamento che facilita l’anonimato, richiesta dall’attaccante e che transita attraverso dark web e/o criptovalute, oggetti su cui la vittima spesso non ha esperienza e conoscenza alcuna. Si assiste a vittime che chiedono aiuto a terzi (magari pagandoli), per procurarsi i bitcoin necessari al pagamento del riscatto, che sono assolutamente lontani dalla quotidianità a cui sono abituati.

Come prevenire l’attacco ransomware

Questa è la parte più articolata. Si compone di vari ingredienti e va vista come un processo virtuoso che dura nel tempo, ma che spesso non fornisce i risultati sperati nel breve e nel medio termine. Eccone alcuni.

Adozione di un’igiene digitale

I computer e i dispositivi vari che vogliamo proteggere nascono in un certo senso vergini, cioè privi di malware. Dunque, a scopo di prevenzione, dovremmo avere un rigoroso controllo di ciò che entra nei dispositivi. In teoria, grazie a questo controllo, potremmo del tutto evitare l’ingresso di malware.

In pratica, le cose non sono così semplici e tale controllo spesso non è proprio possibile, altre volte è molto difficile e, a qualche utente, possono sfuggire eccezioni.

Volendo essere pratici, domandiamoci quali sono i possibili ingressi. Sono pochi:

  • La rete. E-mail, messaggistica istantanea, web browsing, torrent uploading/downloading, condivisioni di file (file sharing), sistemi operativi basati sulla rete, il cloud computing, eccetera
  • Memorie esterne. Spesso connesse attraverso porte Usb possono consistere in piccole memorie (chiavi Usb) o dischi portatili di capacità da media a grande.

Va da sé che il blocco di queste sorgenti è sufficiente a prevenire qualsiasi malware, con il problema che però spesso esistono buone ragioni per consentire alcune trasmissioni (o semplicemente non è possibile attuarlo).

Per le email vale un ampio discorso secondo cui sono spesso indispensabili, è importante limitarsi a usare email testuali (senza Html o Rtf) o automaticamente convertite dalla macchina a testuali, in modo da eliminare comportamenti automatici, per cui la macchina subisce contatti diretti potenzialmente pericolosi con terzi sul web. Rimane il problema degli allegati: sarebbe meglio non aprirli, tuttavia ciò spesso non è possibile.

Si suggerisce allora un comportamento ispirato al whitelisting, teso a rifiutare tutti gli allegati tranne quelli che sono effettivamente attesi. Ciò non significa necessariamente salvezza perché l’attaccante, adottando tecniche di spear phishing, può riuscire a portare attacchi mirati dopo magari aver sorvegliato e studiato il comportamento, gli interessi e le relazioni della vittima, ma ciò si applica solo a casi speciali in cui valga la pena l’uso di tecniche ad hoc che sono sofisticate e costose, sicuramente inadeguate per gli attacchi a pioggia.

In breve, il whitelisting aiuta riducendo il numero di minacce, ma non risolve. Ciò descritto è direttamente applicabile a tutti i contatti che avvengono mediante la rete. Ciò porta a scoraggiare l’uso di piattaforme di messaggistica istantanea integrate nella macchina e, se proprio necessarie, adottare la politica di non cliccare mai documenti o link trasmessi.

Riguardo il web browsing vale quanto detto in merito agli allegati alle email, con la precisazione che è fondamentale ottenere materiale da fonti attendibili e con garanzia di integrità.

È altrettanto importante evitare siti di qualità discutibile, come distributori illegali di software, streaming, musica, libri eccetera. Si osservi che in pagine particolarmente maliziose è sufficiente la semplice visione (senza caricamento) per ottenere effetti non voluti: ciò potrebbe essere limitato dal blocco di JavaScript, ma la cosa determinerebbe il malfunzionamento di quasi tutte le pagine legittime, per cui il blocco dovrebbe divenire selettivo ed operato da persona competente. E in questo blocco selettivo anche un esperto potrebbe commettere errori.

Che dire del dark web o dei file torrent? Evitare assolutamente (a meno che non si sappia con grande certezza quello che sta avvenendo), soprattutto perché essi comportano in genere destinazioni non scritte in chiaro e non prevedibili.

In merito al file sharing, c’è poi un problema serio. Spesso questo è attivato per default e l’utente ne è ignaro. Esso è fonte di numerose vulnerabilità ed offre un veicolo di accesso molto importante. Diciamo che favorisce fortemente la contaminazione fra macchine connesse alla stessa rete.

Intanto il file sharing va disabilitato se non è necessario e, qualora lo fosse, ogni macchina che vi partecipa dovrebbe essere collocata su una porzione di rete facilmente isolabile (ciò può essere favorito dalla topologia della rete), misura (isolamento) da prendere immediatamente in caso di compromissione.

Avere una topologia che favorisca l’isolamento corrisponde all’avere un unico punto di rapido intervento che permette di disconnettere una sezione contenente macchine compromesse. Tali considerazioni sono valide anche nel caso di sistemi operativi che operano attraverso la rete, in molte aziende Microsoft Windows costituisce un esempio, come anche Kerberos, su cui Windows è basato fin da Windows 2000, oltre a molti altri sistemi operativi ispirati a Unix o proprietari.

L’igiene digitale aiuta contro il malware in generale e, di conseguenza, anche contro il ransomware ed è strumento strategico alla digitalizzazione e all’innovazione. Tuttavia, pur essendo cruciale, non è sufficiente a prevenire completamente le varie minacce (in questo caso il ransomware). L’adozione di una buona igiene digitale riduce il rischio, ma non lo annulla.

Cybersecurity: cosa sono integrità e autenticità delle informazioni e come ottenerle

Applicazioni di sicurezza

È molto diffusa la misura di schierare a difesa della piattaforma un’applicazione dedicata alla sicurezza, spesso un antivirus secondo l’accezione più moderna, capace di riconoscere e bloccare alcuni malware all’insorgenza. Il limite principale di questi strumenti è mostrato dal fatto che oltre il 50% delle vittime erano protette da un antivirus: semplicemente l’applicazione non è stata capace di riconoscere il malware, o perché dissimile da tutti quelli conosciuti, o perché trattasi di un cosiddetto zero-day, malware che ha la caratteristica di essere noto da zero giorni e che non può dunque essere riconosciuto.

Il cloud storage

Precisiamo subito che oggi il cloud fornisce un grande numero di soluzioni e servizi di differente tipologia. A differenza di una valenza generale dell’igiene digitale contro il malware, è uno strumento che si presta abbastanza bene a fornire robustezza contro il crypto-ransomware.

Tale servizio arriva a gestire in maniera automatica la sincronizzazione tra il contenuto di una porzione arbitraria di disco e quanto è memorizzato usando le risorse (sparse su Internet) di un’azienda, spesso chiamata cloud-service provider. Le cose vengono organizzate in maniera tale che viene garantita la sincronizzazione, in tempo quasi reale, dei file locali e di quelli nel cloud e tale sincronizzazione è bidirezionale (cioè è innescata da variazioni locali, ma anche da variazioni che avvengono nel cloud per effetto di altre sincronizzazioni). Di servizi di questo tipo ne esistono vari.

Una caratteristica abbastanza comune del cloud storage è quella di saper offrire le versioni precedenti dei file, almeno per un certo periodo di tempo. In altre parole, se un file viene modificato, la versione corrente viene immediatamente recepita, ma quella precedente rimane disponibile per un periodo variabile, che consta comunque di diverse settimane. Si intuisce facilmente il beneficio in termini di crypto-ransomware: se anche i file vengono resi indisponibili poiché sostituiti dalla loro versione cifrata rimane la possibilità di ottenere dal servizio cloud la versione precedente alla sostituzione cioè quella “buona”. Basta verificare l’effettiva possibilità di recuperare le versioni precedenti al momento della sottoscrizione del servizio cloud. Fare inoltre attenzione al fatto che vari file system promettono qualcosa di analogo, sfruttando a basso livello opportune strutture di dati “fully persistent.”

Il fatto che le versioni precedenti rimangano disponibili è vincolato all’uso continuo di tecniche persistenti, il che non è scontato nel crypto-ransomware, che potrebbe operare ignorando il meccanismo. Non è detto che file system che promettono la disponibilità delle versioni precedenti mantengano la promessa nel caso del crypto-ransomware. Quindi, sebbene cloud storage e certi file system facciano promesse simili, nel caso in oggetto, è solo l’approccio più orientato alla logica, corrispondente al cloud, a mantenerle.

Backup

Come è noto, la politica di eseguire frequenti backup, conservando le copie in luoghi sicuri, è diffusa e utile per svariati motivi. Ma, parlando di ransomware, eseguire la cosiddetta operazione di restore dei dati, dopo un (recente) backup, permette di affrontare a cuor leggero i pericoli del ransomware. Ovviamente in un attacco targeted l’attaccante cercherà di rendere inservibili i backup, ma il riuscirci effettivamente non è per nulla scontato.

Non c’è molto da aggiungere: modi di eseguire il backup sono numerosi e c’è solo l’imbarazzo della scelta. Spesso sono direttamente offerti dal sistema operativo in uso.

Come reagire all’attacco ransomware

Supponiamo di avere buone ragioni per ritenerci vittime del ransomware. Il dispositivo target deve venire immediatamente spento. Se questo non è possibile deve immediatamente venire isolato dalla rete, cosa non sempre immediata e semplice.

Dopo di ciò è preferibile consegnare il dispositivo a un esperto IT che esaminerà il caso. L’esperto dirà se è possibile bonificare il dispositivo e se sarà possibile il recupero/ripristino dei dati. Nell’ordine procederà a una bonifica, un ricollegamento in rete e un ripristino dati.

Deve essere chiaro che in assenza di un meccanismo di recupero/ripristino la vittima dovrà confrontare il costo della perdita dati con il costo del riscatto, arricchito dal rischio che l’attaccante non onori i termini. Va detto che nella maggioranza dei casi, l’attaccante ha tutto l’interesse ad onorarli perché il suo meccanismo di business è in genere costruito su grandi numeri (di vittime) e non su ingenti riscatti: se si propagasse la notizia che i riscatti non sono onorati il business dell’attaccante verrebbe compromesso. Diverso è il caso di un target ransomware e lì i punti interrogativi sono maggiori.

Nel caso di crypto-ransomware in genere le probabilità di recuperare i dati anche ricorrendo a esperti possono essere nulle. La crittografia usata può essere inviolabile.

Conclusioni

Un modo usato di sovente dall’attaccante per proporsi alle vittime è quello di cifrare tutti i file (meno un paio) con una chiave X e cifrare i rimanenti con una chiave Y. Quindi, all’atto dell’invio delle sue richieste alla vittima, per provare di essere il vero aggressore, fornisce la chiave Y, consentendo alla vittima di recuperare qualche file. Possono essere due o quattro, ma la sostanza non cambia. Per il recupero degli altri file servirà la chiave X, ottenuta (forse) pagando il riscatto.

Il crypto-ransomware è davvero odioso e pericoloso, troppo spesso si prendono provvedimenti preventivi solo troppo tardi. Il suo effetto è quello di causare mancanza degli elementi base per il funzionamento dell’organizzazione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati