anatomia di un sequestro e richiesta di riscatto
Cryptolocker e Ransomware sono la minaccia informatica più temuta da circa un anno: il virus che ‘sequestra’ i file di un computer e li rende non accessibili, criptandoli, fino a quando non paghiamo un riscatto. Inizialmente il bersaglio principale erano gli utenti casalinghi o le piccole e le medie imprese, ora invece vengono prese di mira anche le grandi imprese, gli ospedali e le pubbliche amministrazioni.
Vediamo come evitare l’attacco e cosa fare se invece è già andato a buon fine.
L’attacco inizia sempre dalla ricezione di una mail, con un bel allegato, spesso legato ad una spedizione di un corriere e un software da usa per tracciare il pacco o la busta; molto spesso viene inviata alla casella di posta certificata o pec, per dare più autorevolezza alla mail. Molti utenti la considerano una casella mail ‘sicura’ e sento molto spesso la giustificazione di essere obbligati ad aprirla essendo arrivata su quella casella.
È su questo meccanismo mentale che lavorano gli hacker, sfruttando la social engineering, perché in qualche modo conoscono il modo di ragionare di alcuni utenti e fanno leva su quello. Da notare però che le mail di questo tipo vengono spedite da caselle mail normali ‘non pec’ e ora mai tutti i provider lo segnalano.
Quindi la prima barriera, per evitare di cadere nella trappola, siamo proprio noi, dobbiamo valutare sempre chi ci manda cosa, dove e perché: un corriere perché dovrebbe mandarci un avviso di giacenza sulla casella pec e come fa ad averla, sicuramente non siamo stati noi a dargliela, oppure perché la banca dovrebbe mandarmi un software per aggiornare la protezione della connessione del home banking via mail e non comunicarmelo tramite canali ufficiali come una telefonata, una lettera cartacea o direttamente sul loro sito.
Nel caso invece che veniate colpiti, la prima cosa che il virus fa è chiedervi di riavviare il computer per completare l’installazione, poi al riavvio magari con false maschere di controllo disco o aggiornamento cripta tutti i file di office, pdf, immagini, musica e video che trova nell’hard disk e nelle cartelle di rete, non solo nel vostro profilo ma in tutti. Mi è capitato che un utente ha infettato il proprio computer e preso dalla fretta mentre si riavviava il pc, abbia usato il pc del collega e infettato anche il secondo.
Una volta che ci troviamo davanti alla richiesta di riscatto, molti professionisti hanno ceduto e lo hanno pagato; ora i riscatti possono essere anche molto particolari, legati al valore delle criptomonete fino ad arrivare anche a 2500€ oppure con foto personali di nudo da rivendere nel mercato nero del web.
Noi consigliamo invece di affidarci ad un buon antivirus a pagamento e con funzioni di euristica per identificare anche virus non ancora conosciuti, avere dei backup giornalieri o avere i propri dati in datastore in cloud dove vengono gestiti le revisioni in modo da recuperare vecchie versioni non criptati o modificati tipo Onedrive di Microsoft o Dropbox.
Nuove versione della minaccia, oltre a colpire i pc delle aziende, sono gli smartphone aziendali dati ai dipendenti che spesso sono collegati ai dati in cloud della stessa azienda o i siti internet, bloccandoli e rendendo pubblico l’attacco, uno smacco per chi vuole tener nascosto l’accaduto.
Un report della Trend Micro, azienda leader nei sistemi di sicurezza aziendale, dice che “i dipendenti non hanno una reale conoscenza di quello che potrebbe accadere cliccando su una determinata mail o scaricando un allegato. Invece, una buona educazione informatica potrebbe portare dei benefici incredibili, ad esempio aiuterebbe a capire se diffidare o meno di una determinata. Altro problema è la qualità degli investimenti nella sicurezza: un’azienda non deve necessariamente spendere tantissimi soldi, ma occorre spenderli bene. Eppure ci sono aziende che ancora si affidano agli antivirus free scaricati da Internet, a cui non si può certo pensare di delegare la propria sicurezza aziendale”.
Quindi ora bisogna investire sulla sicurezza e sulla formazione dei dipendenti, perché ora questi costi sono nettamente inferiori della perdita dei dati e del tentativo di recupero, perché non è detto che il pagamento del riscatto porti a un reale recupero o sia una frode.
