Site icon Sophos News

Le autorità avvisano le aziende che il pagamento del ransomware non riduce i rischi legali

Di fatto, il ransomware si riduce a quello che nel linguaggio comune prende il nome di estorsione, ricatto o minaccia, ovvero un tentativo di ottenere denaro prospettando un pericolo.

Solitamente, gli autori dell’attacco lasciano tutti i tuoi preziosi file dove sono, in modo che tu possa vederli e avere l’illusione di potervi accedere quando vuoi…

…ma se tenti di aprirli, ti accorgerai che sono inutilizzabili, trasformati nell’equivalente digitale di uno squallido “cavolo tritato”.

E a quel punto significa che ti trovi di fronte a un’estorsione, un ricatto o una minaccia, comunque tu voglia chiamarlo: “Abbiamo un programma per decifrare i file e la chiave di crittografia esclusiva della tua rete. Possiamo mandarti il toolkit di recupero in cambio di una somma ragionevole. Contattaci per scoprire quanto devi pagare.”

A volte i criminali rubano prima buona parte dei tuoi file e li caricano in un cloud di backup crittografato, di cui possiedono un codice di accesso esclusivo.

Quindi, alla loro richiesta di estorsione, aggiungono che se tenti di ripristinare i file crittografati, ad esempio tramite i tuoi backup, i tuoi dati verranno utilizzati per scopi illegali.

Possono minacciare di trasmettere le informazioni all’autorità per la protezione dei dati nel tuo Paese oppure venderli ad altri criminali, o ancora pubblicarli in una posizione accessibile a tutti.

Senza dubbio, questo crimine include sia richieste che minacce concrete, come potrai sentire in questo messaggio, in cui il ricattatore non si preoccupa nemmeno di alterare la propria voce, o le sue minacce velate:

 

Molte bande di cybercriminali gestiscono “nuovi siti Web” in cui minacciano di pubblicare “aggiornamenti sullo stato” delle aziende che rifiutano di pagare, nella speranza di umiliarle al punto da spingere le future vittime ad accettare un compromesso, pagando il riscatto pur di non rischiare l’esposizione.

Inoltre, gli autori degli attacchi ransomware di solito non si limitano a penetrare nella rete delle vittime e a rilasciare subito il codice per la crittografia dei file, ma prima dedicano giorni o addirittura settimane ad esplorare l’ambiente, soprattutto nel tentativo di scoprire come eseguono i backup, per poterli alterare prima di sferrare l’attacco.

Questi hacker vogliono impedirti di recuperare i dati in modo autonomo, per aumentare la probabilità che accetterai di trattare con loro pur di riprendere la tua normale attività.

Ma i dati non sono l’unico problema

Recuperando i dati e riprendendo le operazioni aziendali, tuttavia, il problema non si risolve completamente, perché potresti anche andare incontro a una sanzione per la responsabilità civile.

In una lettera aperta alla comunità giuridica pubblicata alla fine della settimana scorsa, l’Information Commissioner’s Office (ICO), insieme al National Cyber Security Centre (NCSC, un organo consultivo del governo che fa parte dei servizi segreti), ha scritto quanto segue:

R: Ruolo della professione legale a supporto della sicurezza online del Regno Unito.

[…] Negli ultimi mesi abbiamo assistito a un incremento del numero degli attacchi ransomware e degli importi dei riscatti pagati, e sappiamo che spesso le vittime contattano i propri consulenti legali per capire come rispondere e se pagare o meno il riscatto.

Abbiamo motivo di ritenere che molti credano ancora che il pagamento del riscatto garantisca la protezione dei dati rubati e/o determini una riduzione della sanzione applicata dall’ICO in caso di indagine. Desideriamo chiarire che non è così.

Come sottolinea chiaramente l’ICO, ripetendo quello che abbiamo scoperto nei nostri recenti sondaggi sul ransomware (evidenziato di seguito):

[I]l pagamento incentiva ulteriormente i comportamenti criminali e non garantisce la decifratura delle reti né la restituzione dei dati rubati.

 […] A scanso di equivoci, l’ICO non ritiene che il pagamento del riscatto ai criminali che hanno attaccato un sistema possa contenere il rischio per le persone, di conseguenza non riduce le eventuali sanzioni imposte dall’ICO.

A questo proposito, se ti stai chiedendo in che modo il pagamento tempestivo del riscatto contribuisca a finanziare gli attacchi ransomware futuri, ricordati che una volta la banda di ricattatori informatici REvil ha versato con disinvoltura $ 1.000.000 in Bitcoin a un forum per il crimine online.

Questo pagamento anticipato aveva lo scopo di attirare complici particolarmente dotati, soprattutto quelli che possono vantare un’esperienza reale di utilizzo o violazione dei principali strumenti software di backup.

I nostri sondaggi sul ransomware hanno già dimostrato che pagare i criminali non consente quasi mai di risparmiare denaro, anche perché, oltre a pagare il riscatto, dovrai comunque seguire una procedura di ripristino che richiede un tempo pari a quello normalmente previsto per un ripristino convenzionale.

Abbiamo anche scoperto che gli strumenti di decifratura forniti dagli autori dell’attacco sono spesso inadeguati.

Alcune vittime pagano, ma non riescono a recuperare assolutamente niente, e sono ben poche quelle che riescono a recuperare tutto. (Corre voce che Colonial Pipeline abbia pagato $ 4.400.000 per un decodificatore che si è rivelato sostanzialmente inutile.)

È bene anche ricordare che le pubbliche autorità non intendono accettare il pagamento come una sorta di giustificazione legalmente valida, del tipo “abbiamo fatto tutto il possibile per risolvere il problema”.

Secondo l’ICO, il contenimento dei rischi non può avvenire pagando le richieste di estorsione, perché il processo di contenimento dei rischi deve svolgersi come segue:

L’ICO intende riconoscere il contenimento dei rischi alle organizzazioni che hanno adottato tutte le misure necessarie per comprendere con precisione l’accaduto al fine di imparare dall’esperienza e, ove appropriato, hanno segnalato l’incidente all’NCSC, lo hanno denunciato alle Forze dell’ordine tramite Action Fraud e possono dimostrare di aver consultato l’NCSC per ottenere supporto o di averne seguito tutte le indicazioni in modo appropriato.

Come comportarsi

Combinando i risultati dei nostri sondaggi con i consigli legali dell’ICO, si ottengono queste quattro semplici regole da ricordare:

In parole povere, pagare è una pessima idea e deve essere la tua ultima risorsa, perché a volte serve solo a peggiorare ulteriormente una situazione già disperata.

 

Exit mobile version