10 regole sul ransomware

Benvenute, e benvenuti, a una nuova serie di contenuti, che ho denominato "Il digitale per tutti" e che vi faranno compagnia tutti i venerdì mattina fino alla fine del 2023 su questo blog. Sono, essenzialmente, dei decaloghi nei quali ho elaborato una serie di regole, comprensibili anche per i non esperti, per affrontare singoli temi legati alla cybersecurity e agli attacchi informatici. Il fine è, ovviamente, quello di aumentare la sensibilità nei confronti di questi temi e, di conseguenza, le difese collettive.

Alcune premesse

Il ransomware non è più (purtroppo) un fenomeno nuovo. Si tratta, come è ormai tristemente noto, di un attacco che colpisce il mondo personale e aziendale e che è diventato un  fenomeno dilagante e pericoloso anche per le infrastrutture critiche (negli ultimi anni lo abbiamo trovato collegato anche al periodo pandemico e al conflitto bellico russo-ucraino).

Semplificando molto, si tratta di un malware che "sequestra" i nostri dati (tramite sistemi di cifratura degli stessi) e ci domanda un riscatto. Se non paghiamo il riscatto, o li elimina, o li diffonde pubblicamente.

Il ransomware, in realtà, è diventato nel corso degli anni sempre più sofisticato. Può comportare esfiltrazione dei dati, si diceva, o “sequestro” con cifratura degli stessi, ma anche, come conseguenza, blocco delle attività, sospensione della erogazione di servizi pubblici e sanitari o delle funzionalità della rete elettrica, sino al blocco delle attività di intere città o regioni, come è successo in diversi Stati (numerosi articoli parlano di intere amministrazioni cittadine "sequestrate" da attacchi ransomware).

Oggi un ransomware abbastanza sofisticato, si pensi, può cifrare centinaia di migliaia di dati in pochi minuti.

In origine questo tipo di attacco si basava su una “singola estorsione”: in pratica, l'unica cosa che faceva (se così si può dire...) era cifrare i dati di una organizzazione e domandare un riscatto per fornire, poi, la chiave per decifrarli.

Ora, invece, i criminali esfiltrano i dati delle vittime portandoli su server al di fuori dalla rete aziendale ancora prima di cifrarli, minacciando poi un rilascio pubblico dei dati in caso di mancato pagamento del riscatto.

Se ci pensiamo, infatti, la minaccia di rendere pubblici tutti i dati nostri o dei nostri clienti è ancora più grave.

Il problema è che il ransomware, ormai, non è solo un modo per estorcere denaro ma può benissimo trasformarsi in un attacco che blocca risorse informatiche di importanza nazionale e, quindi, in una vera e propria arma digitale.

DIECI semplici regole da apprendere con riferimento a questo tema

1. Il ransomware “viaggia” di solito come allegato a messaggi, quindi non bisogna mai aprire gli allegati ai messaggi di posta elettronica dubbi o non attesi.
2. Il backup dei nostri dati, in questo caso, può “salvare la vita”, a patto che il ransomware non sia talmente sofisticato da cercare di attaccare, e "sequestrare", anche i backup connessi in rete.
3. Può essere una buona idea interrompere subito ogni connessione di rete (anche staccando fisicamente i cavi e le connessioni) perché così si può impedire la esfiltrazione dei dati, soprattutto di grandi archivi (che di solito sono trasferiti in fomato .zip).
4. Un antivirus sofisticato è fondamentale: può individuare gli allegati, intercettarli e proteggere dai ransomware.
5. Occorre verificare, subito dopo l’incidente, se i più importanti produttori di antivirus, o singoli ricercatori, abbiano previsto degli antidoti o altri sistemi/software per decifrare i dati sequestrati da quello specifico ransomware.
6. Occorre coinvolgere immediatamente gli esperti informatici, sia interni sia esterni, per valutare il da farsi e le migliori strategie di gestione e di mitigazione del danno.
7. Un attacco ransomware può costituire, da un punto di vista giuridico, un data breach ai sensi degli articoli 33 e 34 del GDPR, con conseguenti obblighi di segnalazione all’autorità di controllo (Garante) e agli interessati in caso di gravi rischi anche per i loro diritti e le loro libertà.
8. La formazione del personale, e di chiunque tratti dati, è strumento di difesa fondamentale, soprattutto con riferimento a un uso corretto della posta elettronica.
9. Occorre fare attenzione anche ai fornitori e ai responsabili esterni e alla loro sicurezza, soprattutto quando sono esternalizzati servizi informatici importanti.
10. Valutare, infine, se sia il caso di attivare coperture assicurative che consentano almeno di recuperare le spese necessarie per il ripristino del sistema o per compensare eventuali richieste di risarcimento di danni provenienti da terzi.