I ransomware (un termine che deriva dalla contrazione delle parole inglesi ransom, riscatto, e malware) sono tra i malware più temuti in quanto, sfruttando sofisticate tecniche crittografiche nei loro attacchi, impediscono alle vittime di accedere a file e cartelle o all’intero dispositivo, chiedendo poi il pagamento di un riscatto per riottenerne l’accesso.
I ransomware rappresentano, dunque, una minaccia molto temuta soprattutto negli enti pubblici e nelle aziende in quanto mettono a rischio la sicurezza del prezioso patrimonio informativo.
È dunque utile imparare a prevenire un attacco ransomware, ma anche saperlo gestire e comunicare a cittadini e clienti in modo da dare l’impressione che la situazione sia sotto controllo.
A tal proposito, è utile ricordare la notizia dell’attacco ransomware avvenuto alla fine del luglio scorso a Cervia (RA). Il Comune, nota località turistica della Romagna, si è scoperta senza difese e servizi erogabili (almeno parzialmente):
Comune di Cervia
July 29 at 12:18 PM
ATTENZIONE: avviso importante!
+++Aggiornamento #CyberAttack+++
Sono ancora in corso gli accertamenti per capire come sia avvenuto l’attacco, nonostante i sofisticati sistemi di sicurezza che proteggono la nostra rete comunale. A tal fine i nostri tecnici, in via cautelativa, stanno mantenendo spente alcune macchine.
Il Comune sta formalizzando denuncia presso gli uffici competenti della Questura di Ravenna.
+++
I server del Comune di #Cervia sono sotto attacco informatico. I nostri tecnici sono al lavoro per ripristinare i sistemi e verificare i danni subiti. Il Protocollo Generale è funzionante in modalità “emergenza”.
A causa di ciò, potranno verificarsi importanti disservizi. Ci scusiamo fin da ora per i disagi.
Seguiranno aggiornamenti. @comunecervia
L’Amministrazione comunale, raggiungibile via Facebook, ha postato in modo puntuale quello che stava succedendo:
“Attacco #hacker al Comune di #Cervia.
Aggiornamento del 30/07/2019.
I nostri tecnici del reparto informatica stanno lavorando dalla mattinata di ieri, appena si sono accorti dell’attacco che è partito nella notte del 27 luglio, proprio per creare il maggior danno. Alcuni server fisici e virtuali sono stati infettati da un malware di tipo cryptolocker. Il malware ha quindi bloccato questi server e i database in essi contenuti. Tuttavia, non ci è arrivata nessuna richiesta di riscatto. Solo una richiesta di contatto, cui non abbiamo dato seguito.
Abbiamo invece formalizzato immediatamente denuncia alla Questura di Ravenna (trasmessa alla Polizia Postale di Bologna) e inviato una informativa dell’accaduto al Garante della Privacy. Sono state immediatamente attivate le procedure di #emergenza di bonifica e backup. Stiamo lavorando con una ditta specializzata nel recupero dati di backup e nella #sicurezza. Le operazioni potrebbero durare alcuni giorni. Si tratta di fasi molto delicate: ci preme garantire la massima sicurezza dei dati! Da una prima diagnosi, non sembra esserci stato furto, copia o cancellazione di dati. Al momento quindi non funzionano diversi servizi comunali, compresa la posta elettronica.
È regolarmente funzionante la nostra casella PEC comune.cervia@legalmail.it
Il nostro sito web funziona e la sua navigazione non comporta alcun rischio. Per tutte le segnalazioni potete contattare il nostro centralino comunale allo 0544979111 oppure Cervia Informa allo 0544979350.
Per i turisti è sempre attivo il servizio Cervia Turismo allo 0544974400 oppure le pagine FB @visitcervia e @visitmilanomarittima
I servizi di messaggistica di questa Pagina funzionano regolarmente e come sempre vi risponderemo, ma vi chiediamo di non intasarla con segnalazioni che possono aspettare il regolare ripristino dei servizi competenti!
Ci scusiamo per gli eventuali disagi e vi ringraziamo per la vostra pazienza! Come per le altre emergenze che abbiamo avuto, anche per questa emergenza “virtuale” stiamo lavorando per risolverla nel più breve tempo possibile! @comunecervia”
Da notare che l’attacco è partito in data 27 luglio e il Comune lo ha formalizzato due giorni dopo, e che, nel primo post, si parla di “Aggiornamento Cyberattack” senza però che ci sia stato un “un post madre”.
+++ Aggiornamento del 1/08/2019 +++
I tecnici del comune e i consulenti hanno lavorato senza sosta in questi giorni per riportare l’apparato comunale alla normalità.
Sono stati bonificati quasi tutti i server e da oggi sono tornati attivi i servizi più importanti rivolti al pubblico come protocollo, anagrafe e servizio Cervia Informa.
La maggior parte dei gestionali interni sono ripartiti senza alcuna perdita di dati.
La situazione è ancora critica per alcuni server, in particolare per quello della posta elettronica, ma il lavoro continua e nei prossimi giorni daremo notizia degli sviluppi della situazione.
Ci scusiamo ancora per gli ultimi disagi e vi ringraziamo per la pazienza. @comunecervia
Dopodiché, sulla pagina Facebook del Comune, non si trovano più tracce (presumiamo e auguriamo al Sindaco e alla Giunta che tutto sia tornato in funzione senza troppi problemi) e gli addetti alla comunicazione hanno ricominciato ad occuparsi di meteo, attività culturali e via dicendo (com’è giusto che sia in una località che vive di turismo).
La comunicazione è un aspetto fondamentale da gestire in questi casi: soprattutto nel caso di un servizio pubblico, si deve dare l’impressione che tutto sia sotto controllo, anche se magari non lo è ancora, e comunque trasmettere affidabilità: un plauso all’informazione agli utenti, che è stata fornita in maniera molto chiara e trasparente, seppur poco puntuale, cercando di minimizzare il danno e, allo stesso tempo, tranquillizzando gli utenti meno esperti (la frase “Il nostro sito web funziona e la sua navigazione non comporta alcun rischio”) è decisamente esplicativa in tal senso.
Sorvolando sul fatto che non è stato chiesto alcun riscatto, la domanda da porsi in questi casi è: come sarebbe possibile evitare un attacco ransomware? E per molti anche; cos’è un attacco ransomware? Iniziamo dall’ultima.
Indice degli argomenti
Cos’è un attacco ransomware
Un ransomware è una specie di virus progettato per crittografare completamente il file system di una vittima, causando potenzialmente una perdita irreversibile di dati.
In secondo luogo, un numero crescente di criminali informatici utilizza ransomware per estorcere denaro dalle vittime.
Alcuni sondaggi USA hanno dimostrato che le perdite di ransomware per le aziende possono raggiungere una media di $ 2.500 per ogni incidente, con le aziende disposte a sborsare verso l’alto di quasi un milione di dollari per decriptare i loro dati in alcuni casi.
Come funziona un ransomware
Tecnicamente, un ransomware è in grado di raggiungere qualsiasi partizione dei principali sistemi operativi e allo stesso tempo è in grado di propagarsi su backup on line, backup offline e tutto quello che può venirci in mente.
Questa tipologia di malware blocca l’accesso a server, database e tutte le risorse di rete, crittografandole o rendendole inaccessibili in altro modo, o entrambi. Di fatto, quindi, rendendo la rete interna e qualsiasi tipo di cloud (pubblico, privato, ibrido) inutilizzabile.
Ma attenzione, un ransomware è in grado di infettare anche un singolo computer. In questi casi, ad esempio, un consulente che lavora per diversi clienti in contemporanea sarà probabilmente sia un rischio sia un vettore di rischio a sua volta. Volente o nolente, infatti, memorizzati in cartelle o partizioni diverse, avrà file, applicazioni o chissà cos’altro relativo al cliente X o Y con il quale collabora o ha collaborato in passato (a volte i ransomware attuano la politica della “logic bomb”, scatenandosi anche dopo mesi dall’infezione).
Quali sono, dunque, le probabilità di esser colpiti da un attacco ransomware?
La minaccia sta solo crescendo, come alcuni rapporti rilevano. Il gruppo Beazley, ad esempio, ha riscontrato che le piccole e medie imprese erano a maggior rischio. Il riscatto più alto pagato dall’azienda per i suoi clienti nel 2018 è stato di oltre 930.000 dollari.
Tutto ciò è la prova positiva che il ransomware continua ad essere un’impresa estremamente redditizia per i criminali informatici, con gli aggressori contro tutte le fonti (aziende, governi e individui) che ora richiedono circa 13.000 dollari per attacco.
Dato che lo scopo del ransomware è quello di estorcere denaro alle vittime, le perdite totali sono l’unica cifra importante per un’entità. Nel 2017 e nel 2018, un numero sempre maggiore di aziende, governi e privati ha subito enormi perdite a causa dei ransomware. E nel 2019 stiamo assistendo a enormi perdite anche per le istituzioni pubbliche.
Il caso più eclatante del 2019, finora almeno, è quello avvenuto nella città di Baltimora (US). Il sistema informatico della città è stato colpito da un’infezione da ransomware a maggio 2019 che ha paralizzato la città per oltre un mese. Le stime indicano un costo di recupero di oltre 18 milioni di dollari, sebbene il cyber criminale dietro il ransomware abbia richiesto solo un riscatto di 76.000 dollari in Bitcoin. Secondo quanto riferito, l’attacco ha avuto un impatto sulla produzione di vaccini, bancomat, aeroporti e ospedali.
Stando ai dati del 2018, l’Italia si è aggiudicata il non invidiabile primato di Paese più colpito da ransomware in Europa. Risultato raggiunto con il 12,92% dei ransomware di tutto il continente. Ed è stata anche tra i 10 Paesi più colpiti al mondo. Questa la Top 10 globale: Stati Uniti, Brasile, India, Vietnam, Messico, Turchia, Indonesia, Cina, Bangladesh e Italia.
Il numero totale di malware intercettati in Italia nel 2018 è di 26.353.635. L’Italia occupa la posizione numero 12 in questa categoria, a livello mondiale, mentre visite a siti maligni sono state 10.182.915: in questa categoria l’Italia occupa la posizione numero 18 a livello mondiale. I siti maligni ospitati in Italia e bloccati sono stati 1.485.794.
Le minacce arrivate via mail sono state 611.651.947. L’Italia occupa la posizione numero 12 in questa categoria, a livello mondiale.
I malware di online banking intercettati sono stati 4.295: il nostro Paese occupa la posizione numero 18 nel mondo. Il numero di app maligne scaricate nel 2018 è invece di 25.128. Mentre gli attacchi Exploit Kit sono stati 2.656, e L’Italia occupa la posizione numero 10 al mondo.
Ransomware: la mia azienda è a rischio?
Partendo dal presupposto che nessun dispositivo connesso ad Internet può essere considerato sicuro al 100%, è chiaro che le entità private hanno maggiori budget di spesa e maggiore sensibilità verso il tema; inoltre dispongono di una minore lentezza burocratica e di, conseguenza, qualsiasi azienda può disporre, in tempi brevi di un budget, più o meno limitato, per arginare il pericolo.
Per le entità pubbliche, invece, il discorso è molto diverso, i tempi si dilatano e le risorse a disposizione sono, soprattutto nelle realtà della Pubblica Amministrazione locali (Comuni ecc.), estremamente limitate, e il rischio di attacchi, come abbiamo già segnalato, importante.
Di conseguenza, anche i migliori piani di sviluppo, includendo Disaster Recovery (DR) e Business Continuity Plan (BCP), non supportati da risorse economiche adeguate, non sono assolutamente in grado di fermare la minaccia ransomware.
Le soluzioni preventive
Purtroppo, i normali software antivirus ed antimalware non sono in grado di bloccare queste minacce per cui è necessario ricorrere a dei software specifici (alcuni disponibili per comparazione sul sito web di AlternativeTo).
Software
Ci sono diversi software in grado (a loro detta) di poter bloccare le infezioni di tipo ransomware. È opportuno notare come questi agiscano in maniera diversa, alcuni creando honeypot, mentre altri si limitano a “firmare” i file di sistema e le applicazioni ad esso correlate, certificando il loro funzionamento ed impedendo loro la modifica da parte di applicazioni di terze parti.
Backup
Tra le varie opzioni disponibili di backup, relativamente al discorso anti-ransomware, l’opzione che probabilmente risulta essere sia la più semplice, sia la più efficace da attuare, è quella della cosiddetta “Offsite Data Protection”.
A differenza del “cold site” o del “warm site”, questa modalità prevede che i dati vengano generalmente trasportati fuori sede utilizzando supporti di archiviazione rimovibili come nastro magnetico o memoria ottica.
L’invio di backup off-site consente di ricaricare sistemi e server con i dati più recenti in caso di disastro, errore accidentale o crash del sistema. L’invio di backup fuori sede garantisce inoltre l’esistenza di una copia dei dati pertinenti che non è archiviata in loco.
In questo caso avremo una copia di tutti i dati critici inattaccabile da ransomware poiché offline, anche se non aggiornata al 100%, a costi decisamente accettabili rispetto ad altre forme di backup che comunque restano consigliate per scopi diversi dal ransomware.
Inoltre, è da non sottovalutare, mai, l’importanza del ripristino (anche su server virtuali) altrimenti tutto potrebbe andare in fumo.
Infine, il suggerimento è quello, in particolar modo per gli addetti ai lavori, di tenersi sempre aggiornati attraverso le notizie provenienti dal CERT italiano.
Le soluzioni post evento
Cosa occorre fare, invece, in seguito ad un attacco ransomware se non si ha a disposizione un backup dei dati?
Ci sono strumenti con cui tentare di decriptare i file. Al tempo stesso, un recente rapporto Forrester evidenzia come si stia sempre più facendo strada la soluzione di pagare il riscatto – così hanno fatto alcune città USA colpite dal ransomware – perché i costi di un blocco dei sistemi e perdita di file certo sarebbero più gravi.
Infine, è opportuno tenere in considerazione l’opportunità di sottoscrivere una polizza di cyber insurance in quanto alcune assicurazioni coprono i costi in caso di attacco ransomware.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
