Home Attualità Rapimento e riscatto: ovvero breve illustrazione (non tecnica) di cosa sia il ‘ransomware’ e come difendersi

Rapimento e riscatto: ovvero breve illustrazione (non tecnica) di cosa sia il ‘ransomware’ e come difendersi

da Alberto Bruzzone

Il prossimo mercoledì 1° settembre, ‘Piazza Levante’ e Wylab riprendono il loro ciclo degli ‘Incontri con i protagonisti’. In via Davide Gagliardo 7 a Chiavari arriverà il sottosegretario alla Difesa, Giorgio Mulé, che sarà intervistato dal nostro editore Antonio Gozzi. Il tema è quanto mai attuale e importante: ‘Cybersecurity: la fragilità di aziende e pubblica amministrazione. Come difendersi’. L’orario è alle 16,30. Nel frattempo, abbiamo chiesto un intervento sulla questione a Marco Lanata, Ceo di Virtual, la società del Gruppo Duferco che si occupa di sistemi informatici.

di MARCO LANATA *

Un action-movie uscito nel 2000 con Meg Ryan e Russel Crowe, dal titolo appunto ‘Rapimento e riscatto’, racconta in termini romanzati il tema del rapimento, delle richieste di riscatto e della rocambolesca liberazione di un tecnico americano rapito in Sudamerica.

Gli stessi ingredienti, in qualche maniera, si ripropongono ancora oggi (fortunatamente in maniera meno drammatica e senza spargimento di sangue) quando si parla del tema del ransomware: la sottrazione di qualcosa di prezioso (i dati), la minaccia della distruzione o divulgazione dei dati privati (con la conseguente perdita economica e di reputazione), la richiesta di un riscatto (di solito in criptovalute). La ‘liberazione’ da parte di ‘truppe’ addestrate (anche se non sempre si arriva al lieto fine) oppure il pagamento del riscatto.

Sempre più spesso leggiamo che aziende private (Luxottica, Geox), aziende pubbliche (Iren), enti pubblici (Regione Lazio e Comune di Brescia per citare solo gli ultimi casi) sono rimasti vittime di questi attacchi e sono rimaste bloccate per settimane o mesi, con la conseguente perdita di denaro, reputazione e servizi per i cittadini.

Stando alle classifiche internazionali, l’Italia è quarta o quinta al mondo in quanto a numero di attacchi andati a buon fine.

In pratica come avviene un attacco di questo tipo? Chi sono le organizzazioni che effettuano gli attacchi e riscuotono il riscatto? E come è possibile prevenirlo o almeno uscirne senza troppi danni?

Cerchiamo, senza alcuna pretesa di correttezza formale, di dare una breve risposta a queste domande.

Senza entrare in dettagli tecnici, la maggior parte degli attacchi avviene secondo uno schema ben collaudato. Sentitevi liberi di saltare l’elenco numerato, se non siete interessati a questa breve descrizione.

  1. L’attaccante sceglie un bersaglio (target), sulla base di un criterio: la sua capacità di pagare un riscatto importante (parliamo di centinaia di migliaia o alcuni milioni di euro).
  2. Una volta individuato il bersaglio, è necessario avere accesso alla sua infrastruttura informatica da remoto. Si può ottenere questo accesso comprando le credenziali rubate (nome utente e password) sul mercato nero, organizzando una campagna per farsele consegnare dagli utenti meno protetti (in gergo si chiama ‘phishing’) oppure sfruttando vulnerabilità note dei suoi sistemi di accesso. A volte vengono sfruttate le vulnerabilità di un fornitore (‘supply chain attack’), magari una azienda piccola e dotata di una infrastruttura meno difesa, ma connessa a quella dell’obiettivo.
  3. Entrati nella rete dell’obiettivo e preso il controllo del computer dell’utente di cui si sono rubate le credenziali, inizia un paziente e lungo lavoro per arrivare a controllare l’intera rete. Si chiama ‘privilege escalation’, cioè aumento dei privilegi di accesso. Di solito si ottiene facendo del ‘passi di lato’ (lateral movement) da un computer a un server, poi ad un server più potente, fino ad arrivare al cuore del sistema. Oppure si sfruttano le vulnerabilità non opportunamente corrette dei sistemi informatici. Questa fase può durare settimane o anche mesi.
  4. Quando l’attaccante finalmente ha ottenuto login e password dell’amministratore del sistema, può pianificare la data dell’attacco. Di solito viene scelto un weekend, perché le reti sono meno presidiate. Nel giorno previsto, l’aggressore distrugge le copie di backup dei dati (se è possibile), cripta con un software opportuno tutti i dati dell’obiettivo e lascia un messaggio chiedendo il riscatto. Il riscatto è sempre in criptovalute (più avanti ragioneremo sul perché) e spesso la vittima viene avvisata da un conto alla rovescia dell’aumento del prezzo del riscatto. Passato un certo periodo di tempo, in mancanza del pagamento, i dati non potranno più essere decriptati e i dati più sensibili potrebbero essere divulgati indiscriminatamente.

Chi sono i ‘rapitori’? Sono di solito organizzazioni ben strutturate, vere e proprie aziende, con team di ricerca e sviluppo, team di attacco, gestori dei proventi dei riscatti, obiettivi di incasso, ecc. Sono insomma imprese che spesso reclutano i loro dipendenti nelle università oppure fra gli ex-militari. Le loro ‘sedi’ si trovano perlopiù in Russia, Ucraina e Cina, ma anche in Iran per esempio. Sono tutti stati in cui l’occidente ha poca capacità di ingerenza politica e di controllo di polizia, in cui chi svolge questo ‘mestiere’ è sostanzialmente sicuro di non essere rintracciato. I dati di accesso dalla rete Internet di questi stati sono poco accessibili dall’esterno, anche per motivi politici e militari di conflitto storico con l’occidente.

Come possono le nostre aziende e le nostre istituzioni difendersi da questi attacchi, purtroppo sempre più frequenti?

La prima linea di difesa è certamente la formazione di tutti i dipendenti e fornitori. In sostanza è necessario informare ed educare il personale a riconoscere situazioni pericolose e a individuare eventuali attacchi. Il tema culturale è quindi assolutamente prioritario, anche rispetto ad investimenti in software o hardware di protezione. L’anello debole delle infrastrutture è spesso infatti il computer degli utenti e il loro atteggiamento nei confronti della sicurezza.

Naturalmente è poi necessario investire in alcune attività prettamente informatiche, per alzare il livello di sicurezza della azienda. Ci sono attività di tipo passivo (la rimozione di sistemi operativi e hardware obsoleto, l’aggiornamento costante del software e dell’hardware) e di tipo attivo (la scansione della propria rete in cerca di vulnerabilità, la installazione di software e hardware di protezione, di sistemi di controllo delle password avanzati e maggiormente sicuri, ecc.).

Esistono poi tecnologie che ormai sono diventate necessarie in ogni azienda che voglia proteggersi: i test di attacco (‘penetration testing’) e i backup dei dati non modificabili (cioè non criptabili).

La prima tecnologia prevede di impersonare un attaccante per cercare di entrare nella rete interna e prenderne il controllo, evidenziando quali passi vengono compiuti. Questa lista di passi (chiamata ‘attack chain’) serve ai difensori per correggere le vulnerabilità e impedire quindi quel percorso di attacco.

I backup tradizionali dei dati non sono più sufficienti a garantire il recupero di quanto criptato, perché come dicevamo vengono spesso distrutti dagli attaccanti. È quindi fondamentale installare e configurare opportunamente sistemi di backup non modificabili, in modo da avere una ultima linea di difesa e potere almeno ripristinare i dati essenziali alla continuità del business aziendale.

Affrontiamo infine il tema del pagamento del riscatto. Questo è infatti il fulcro di tutta la attività dei cybercriminali. Tutte queste attività illecite hanno come scopo finale l’incasso del riscatto: è un business illegale e segue quindi le regole della massimizzazione del profitto.

Come accennavo all’inizio dell’articolo, il pagamento del riscatto avviene sempre in criptovalute, Bitcoin, per esempio. Per quali motivi? È semplice: per loro natura i pagamenti in criptovalute non sono tracciabili e possono essere effettuati senza alcun contato fisico. Queste due caratteristiche li rendono il perfetto metodo di pagamento, sicuro e affidabile (dal punto di vista dei criminali!).

Le criptovalute sono il punto di forza di tutto il sistema illegale. Di conseguenza dovrebbe essere anche l’obiettivo dell’attacco degli stati dell’occidente, se vogliamo davvero liberarci una volta per tutto dal ransomware.

Ritengo infatti che l’unico modo per debellare questa vera e propria piaga sia renderla economicamente svantaggiosa per chi la esercita. Purtroppo, il sistema delle criptovalute è basato su una tecnologia chiamata ‘blockchain’, un sistema complesso, progettato per essere totalmente distribuito su moltissimi nodi nel mondo. Semplificando molto, possiamo affermare che è quasi impossibile distruggerlo senza fare a pezzi Internet.

Personalmente ritengo che la soluzione definitiva sia rendere ‘non spendibili’ le criptovalute (Bitcoin in testa), rendere cioè impossibile usare Bitcoin per acquistare beni mobili o immobili o ovviamente convertirli in altra valuta. È chiaramente un atto autoritario e di portata planetaria, che può essere promosso solo dalla iniziativa congiunta delle nazioni del mondo occidentale, Stati Uniti e Unione Europea in testa. Anche ammesso, malgrado le evidenti difficoltà, che le nazioni e i popoli accettino di andare in questa direzione, ci vorrà molto tempo prima che si possa realizzare questa pesante riforma.

Nel frattempo, tre sono le attività a cui dobbiamo e possiamo dedicare le nostre risorse.

  • Tutti noi siamo chiamati ad alzare il nostro livello di attenzione e a dedicare tempo alla formazione e cultura sulla cybersecurity. La capacità di evitare le minacce da parte di qualunque utente della rete aziendale è la prima linea di difesa.
  • Le imprese pubbliche e private e le istituzioni devono investire per irrobustire le loro infrastrutture. La percentuale di fatturato dedicata alla protezione delle reti in Italia è ancora molto più bassa che nel resto dell’occidente.
  • Infine, è necessario creare dei corsi di formazione specifici sulla cybersecurity, tema su cui esiste una drammatica carenza di professionisti adeguatamente formati. Fra l’altro, questa è anche un’occasione per creare posti lavoro qualificati ed evitare l’ennesima fuga di cervelli all’estero.

Il giudice Giovanni Falcone diceva che per combattere la mafia era necessario “seguire il denaro, non gli uomini”. Credo che il suo insegnamento possa essere proficuamente utilizzato anche per questa urgente e sempre più importante battaglia contro il crimine organizzato.

(* CEO di Virtual, società del Gruppo Duferco)

Ti potrebbe interessare anche