RANSOMWARE: cos’è e significato.

Ransomware ovvero quando è un malware a prendere in ostaggio i nostri dati. E le nostre vite.

Cadere vittima di un ransomware è molto facile, soprattutto perché spesso l’eredità promessa è davvero alta. E così, in tempi di crisi economica da Covid… quella mail promettente, magari dall’America, che allude a tanti, tantissimi soldi, si fa irresistibile.

Basta cliccare sul link indicato per atterrare sulla home di un improbabile studio notarile d’oltreoceano. E vedersi sparire in poco tempo tutti i dati dal proprio computer. O meglio, i dati restano all’interno del dispositivo, ma vengono criptati e dunque resi inaccessibili senza chiave di decriptazione.

Qualcuno, insomma, vi ha pensato -non certo per assicurarvi l’eredità promessa, quanto piuttosto per ricattarvi.

Potrete, forse, riottenere i vostri dati pagando un “riscatto” in moneta virtuale. I bitcoin risultano ideali in tal senso: dopo essere scambiati in centinaia di microtransazioni, rendono quasi impossibile il tracciamento fino al destinatario. Talvolta, in base a chi sta dietro all’operazione di turno, non viene rilasciata alcuna chiave per la decriptazione nonostante il pagamento. E così si riceve una doppia fregatura: dati inutilizzabili e soldi persi.

Attenzione quindi ad email, programmi sospetti e finti siti web

Non esiste nessuno zio d’America, né tantomeno la sua eredità (o altre fantasiose ipotesi che spingono al click): siete incappati in un pericoloso e ormai diffuso malware chiamato “ransomware”. Si sviluppa da anni, ormai 30, e ciclicamente torna ad infettare migliaia e migliaia di computer in tutto il mondo. Una email che non dovrebbe essere mai stata aperta, o una navigazione su un sito web non sicuro, è il gioco è fatto.

Cos’è un ransomware?

In inglese il termine “ransom” significa riscatto. Ed un riscatto è proprio ciò che viene richiesto per eliminare le limitazioni all’accesso del proprio computer o dei propri dati. Come già sottolineato in precedenza, oltre ad un antivirus con antiransomware, è fondamentale disporre di un backup aggiornato dei propri dati. Un semplice backup, infatti, permette di superare senza troppi intoppi il blocco generato dall’infezione di sistema causata dal malware.

Esistono migliaia di malware di questa natura ed è bene prestare sempre la massima attenzione. Basti pensare che nel 2013, uno dei più famosi antivirus come McAfee stimò la presenza di ben 250 mila differenti tipi di ransomware nei soli primi tre mesi di quell’anno.

Come funziona un ransomware?

Tecnicamente, i malware penetrano nel sistema attraverso file scaricati, approfittando di una falla della rete o del vostro router. Basterà un payload per criptare tutti i dati. Verrano create due chiavi, una pubblica ed una privata: quest’ultima rimarrà nelle mani del creatore del malware, rendendo praticamente impossibile l’accesso ai propri dati se non dopo il pagamento del riscatto – e senza margine di certezza.

Come i trojan, i ransomware entrano facilmente, spesso tramite vere e proprie campagne di phishing via mail; si installano e operano all’oscuro dell’inconsapevole destinatario. Nella maggior parte dei casi criptano tutti i dati presenti sull’unità. In altri casi non criptano i dati, operazione che ha comunque richiede i suoi tempi, ma bloccano ogni tipo di accesso al sistema: ogni interazione – sia da tastiera che da mouse- viene impedita direttamente dal sistema operativo.

In quest’ultimo caso, l’utente vedrà comparire dei finti avvisi istituzionali. Ad esempio, comunicazioni di forze dell’ordine (della polizia federale americana o della polizia postale italiana) con le quali si giustifica il blocco sostenendo che il computer è stato utilizzato per attività illecite o contiene file illegali. A seguire, una serie di notifiche per richiedere ed ottenere il pagamento necessario a sbloccare il sistema o ad ottenere la chiave di decriptazione.

Come difendersi

Insomma, difendersi da questi ransomware non è facile proprio perché confondono i navigatori, anche quelli più esperti. Se l’attacco viene rilevato in fase iniziale, è possibile limitare i danni riducendo il più possibile i file criptati e bloccando l’espandersi dell’azione al resto del computer.

Un buon antivirus potrebbe individuare il malware attraverso una scansione ed eliminarlo; ma è sicuramente il backup dei dati a rappresentare una delle soluzioni più efficaci al problema: non è necessario pagare il riscatto se si possiede una copia sempre aggiornata dei propri dati.

Certo, il backup richiederà dei tempi più lunghi. Bisognerà resettare il sistema operativo, così da eliminare ogni traccia di malware, e procedere con il ripristino dei dati. In più occasioni, Momit è stata in grado di recuperare dati ed interi server di aziende fortemente danneggiate da ransomware grazie ai backup in datacenter eseguiti secondo metodi ben precisi (cfr. la regola del 3 2 1 1 0).

In uno di questi casi, le azioni preventive di Momit hanno preservato all’azienda cliente dal soccombere alla richiesta di riscatto (circa 42.000 € da pagarsi in bitcoin) o dalla perdita definitiva dei propri dati. I backup realizzati su più livelli e gli algoritmi innnovativi dello storage Zadara, ci hanno permesso di ripristinare rapidamente circa 200TB di dati, liberando la rete aziendale del cliente.

Non solo Ransomware

Malgrado questi malaware siano ormai conosciuti, è bene restare sempre vigili: gli scammer, i truffatori, stanno sempre al passo con i tempi.

Uno dei più noti worm ransomware è “Reveton”: malaware diffusosi nel 2012 operante tramite un blocco del sistema da parte di una fittizia polizia federale. Per sbloccare il sistema l’utente avrebbe dovuto pagare una “multa” entro tre giorni dal blocco. Altri rinomati e pericolosi ransomware sono  WannaCry, Petya, Cerber, Cryptolocker, Locky.

Nel 2014: “Cryptolocker”, questo il suo nome, impedì persino ad un canale nazionale di notizie australiano di poter operare la normale attività di informazione, costringendo a spostare le dirette dagli studi di Sydney a quelli di Melbourne.

Nel 2017 un nuovo attacco del malaware WannaCry, definito dall’Europol il più imponente di sempre infettò oltre 230 mila computer in più di 150 Paesi, molti dei quali di enti pubblici, come ospedali e Comuni, ed aziende.

L’ultimo allarme risale al periodo relativo al Covid-19, in particolare in relazione all’app Immuni: app ideata per arginare i contagi umani che si avvale di un fitto sistema di tracciamento dei contatti. Molti hanno segnalato la circolazione in rete di malware attivati dal download di un file chiamato “Immuni”. Il meccanismo è di fatto sempre lo stesso: invito al download ricevuto via mail e reindirizzamento a un sito web fittizio; nel nostro caso, l’ente coinvolto è la Federazione nazionale degli Ordini dei Farmacisti Italiani.

Tutte vicende, quelle appena citate, che fanno ben comprendere quale sia l’impatto dei ransomware nella vita di tutti giorni, cos’è e qual è il significato di questo termine.