Riscatto Ransomware: pagare o non pagare per riavere i dati?

Written By: Ontrack

Date Published: 12/11/19 0.00

Riscatto Ransomware: pagare o non pagare per riavere i dati?

I ransomware sono ormai da diversi anni una minaccia in costante crescita.

Il loro scopo è raggiungere un computer, bloccare l’accesso al sistema operativo criptando i file, quindi chiedere il pagamento di un riscatto per ottenere nuovamente accesso alla macchina e ai dati.

I ransomware sono in rapida evoluzione, alla continua ricerca di nuovi metodi di attacco in grado di compromettere la funzionalità e la sicurezza dei dispositivi digitali.

Secondo lo studio annuale condotto da Accenture Security, infatti, in Italia il costo medio per azienda per gestire un caso di attacco hacker e violazione della sicurezza dei sistemi ha subito un incremento del 19% nel 2018, con importi pari a 8 milioni di dollari. A livello globale invece tale costo sale a 13 milioni di dollari, con un aumento pari al 12%.

Nel nostro Paese le aziende subiscono con maggiore frequenza attacchi tramite phishing e ransomware. A livello globale, le aziende subiscono un attacco ogni 14 secondi!

Questi numeri aumentano la preoccupazione e la paura delle organizzazioni di finire nel mirino degli hacker: nessuna tipologia di azienda o impresa è infatti immune né completamente protetta da attacchi ransomware.

Quindi dovremmo pagare il riscatto ransomware?

Non abbiamo buone notizie per voi: anche se decidete di pagare il riscatto, non avete garanzie di ricevere la chiave per decodificare i vostri file.

Spesso, infatti, gli autori degli attacchi, dopo aver ricevuto la somma richiesta, non forniscono la chiave di decriptazione e le aziende, oltre ad aver perso definitivamente l’accesso a dati vitali per il business, hanno perso ingenti somme di denaro nella speranza di potervi riaccedere.

Se il ransomware cancella i dati senza crittografarli ci sono ancora buone possibilità di recuperarli: in questo caso non si deve pagare alcun riscatto ma è necessario rivolgersi ad un’azienda di recupero dati con comprovata esperienza nel settore.

Per approfondire il tema dei ransomware consulta la nostra guida completa.

Come funziona un ransomware?

Lo schema di attacco è quasi sempre lo stesso.

Il malware si trova spesso nell'allegato di email di spam. Utilizzando metodi sofisticati, gli aggressori creano dei falsi messaggi e inducono le vittime ad aprire gli allegati e installare il virus sui loro computer.

Le email, che fingono di arrivare da corrieri, aziende che opero nell'ambito delle telecomunicazioni cercano di convincere il destinatario che l’allegato contiene una fattura, una bolla di accompagnamento o altri documenti importanti.

Se l’utente apre l’allegato, il malware si installerà sul dispositivo e bloccherà il computer, mostrando una richiesta di riscatto.

A questo punto, per tenere la vittima sotto pressione, e spesso fingendo di essere un pubblico ufficiale, come polizia, organizzazioni anti-pirateria o persino l’FBI, gli aggressori informano che il computer è stato bloccato a causa di operazioni ritenute illegali e chiedono alla vittima di pagare una multa per ripristinare l’accesso al pc.

La pressione è incalzante: il messaggio spesso mostra un orologio che indica il tempo che manca (ad es. 72 ore) per il pagamento del riscatto e se l’utente non dovesse pagare, i dati andrebbero irrimediabilmente persi. Il riscatto che viene richiesto solitamente varia da centinaia a migliaia di dollari.

Ransomware, solo paura o pericolo reale?

Dipende tutto dalla tipologia di virus. I ransomware possono agire in due modi:

  1. bloccano l’accesso al sistema operativo
  2. criptano tutti i file e le cartelle accessibili dalla macchina infettata

Nel primo caso l’attacco è una seccatura più che un pericolo; nel secondo caso, invece, i vostri dati sono ormai persi.

Attacco scareware: come gestirlo

Se come descritto sopra, il virus ha bloccato solo l’accesso al sistema operativo, avete a che fare con un attacco scareware, che vuole solo spaventarvi per convincervi a pagare il riscatto.

Attacchi di questo genere sono relativamente semplici da fermare. Anche se il computer è stato bloccato, potete utilizzare un software antivirus, facendolo partire da un disco di ripristino (rescue disk), per scansionare il PC e disattivare il virus. Gli utenti con maggiori competenze in ambito tecnologico possono persino rimuovere il virus da soli.

Attacco CryptoLocker

Se doveste avere a che fare con ransomware più evoluti, dopo aver sbloccato il sistema potreste scoprire che tutti i vostri file e cartelle sono stati codificati. Questo è il modo in cui funziona CryptoLocker.

È la variante più sofisticata di ransomware, che codifica tutti i file sul computer ed è persino in grado di criptare le risorse di rete.

Quindi anche se utilizzate un software di backup automatico e il backup è disponibile nella vostra rete durante l’attacco, anche il backup verrà codificato.

Dopo aver aperto l’allegato contenente il virus, CryptoLocker si installa sul vostro computer, scarica una chiave privata da un server controllato dagli aggressori e quindi codifica i vostri file con un algoritmo RSA da 2048 bit. Poi, viene mostrato un messaggio che indica che avete 72 ore per pagare il riscatto.

Dopo di che, il programma si disinstallerà automaticamente insieme alla chiave pubblica, rendendo i vostri file impossibili da decodificare.

Lo stesso accadrà se disinstallerete il programma da soli o con un software antivirus: la chiave pubblica verrà rimossa, lasciandovi con file non utilizzabili che, per il momento, non possono essere decodificati.

Come proteggersi da un possibile attacco ransomware?

  • Non aprire le email e gli allegati che ricevi da fonti sconosciute, non confermate o sospette: il buon senso è la protezione più efficace contro i virus
  • Proteggi i computer e i dispositivi aziendali con software affidabili e aggiornali quando richiesto: le nuove generazioni e le varianti di ransomware continuano ad infestare il web, quindi dovresti avere sempre un database aggiornato
  • Fai sempre un backup dei file più importanti e archiviali su un dispositivo. È altrettanto essenziale verificare periodicamente il corretto funzionamento della soluzione di backup adottata
  • Se possibile (se ad esempio non sono presenti dati sensibili) archivia i file in cloud, utilizzando DropBox, Google Drive, etc.

 

Fonte: Il Sole 24 ore 

Iscriviti

KLDiscovery Ontrack Srl, Via Marsala 34/A, Torre/A, 21013, Gallarate (VA), Italia (Mostra tutte le sedi)