Di fatto, il ransomware si riduce a quello che nel linguaggio comune prende il nome di estorsione, ricatto o minaccia, ovvero un tentativo di ottenere denaro prospettando un pericolo.
Solitamente, gli autori dell’attacco lasciano tutti i tuoi preziosi file dove sono, in modo che tu possa vederli e avere l’illusione di potervi accedere quando vuoi…
…ma se tenti di aprirli, ti accorgerai che sono inutilizzabili, trasformati nell’equivalente digitale di uno squallido “cavolo tritato”.
E a quel punto significa che ti trovi di fronte a un’estorsione, un ricatto o una minaccia, comunque tu voglia chiamarlo: “Abbiamo un programma per decifrare i file e la chiave di crittografia esclusiva della tua rete. Possiamo mandarti il toolkit di recupero in cambio di una somma ragionevole. Contattaci per scoprire quanto devi pagare.”
A volte i criminali rubano prima buona parte dei tuoi file e li caricano in un cloud di backup crittografato, di cui possiedono un codice di accesso esclusivo.
Quindi, alla loro richiesta di estorsione, aggiungono che se tenti di ripristinare i file crittografati, ad esempio tramite i tuoi backup, i tuoi dati verranno utilizzati per scopi illegali.
Possono minacciare di trasmettere le informazioni all’autorità per la protezione dei dati nel tuo Paese oppure venderli ad altri criminali, o ancora pubblicarli in una posizione accessibile a tutti.
Senza dubbio, questo crimine include sia richieste che minacce concrete, come potrai sentire in questo messaggio, in cui il ricattatore non si preoccupa nemmeno di alterare la propria voce, o le sue minacce velate:
Molte bande di cybercriminali gestiscono “nuovi siti Web” in cui minacciano di pubblicare “aggiornamenti sullo stato” delle aziende che rifiutano di pagare, nella speranza di umiliarle al punto da spingere le future vittime ad accettare un compromesso, pagando il riscatto pur di non rischiare l’esposizione.
Inoltre, gli autori degli attacchi ransomware di solito non si limitano a penetrare nella rete delle vittime e a rilasciare subito il codice per la crittografia dei file, ma prima dedicano giorni o addirittura settimane ad esplorare l’ambiente, soprattutto nel tentativo di scoprire come eseguono i backup, per poterli alterare prima di sferrare l’attacco.
Questi hacker vogliono impedirti di recuperare i dati in modo autonomo, per aumentare la probabilità che accetterai di trattare con loro pur di riprendere la tua normale attività.
Ma i dati non sono l’unico problema
Recuperando i dati e riprendendo le operazioni aziendali, tuttavia, il problema non si risolve completamente, perché potresti anche andare incontro a una sanzione per la responsabilità civile.
In una lettera aperta alla comunità giuridica pubblicata alla fine della settimana scorsa, l’Information Commissioner’s Office (ICO), insieme al National Cyber Security Centre (NCSC, un organo consultivo del governo che fa parte dei servizi segreti), ha scritto quanto segue:
R: Ruolo della professione legale a supporto della sicurezza online del Regno Unito.
[…] Negli ultimi mesi abbiamo assistito a un incremento del numero degli attacchi ransomware e degli importi dei riscatti pagati, e sappiamo che spesso le vittime contattano i propri consulenti legali per capire come rispondere e se pagare o meno il riscatto.
Abbiamo motivo di ritenere che molti credano ancora che il pagamento del riscatto garantisca la protezione dei dati rubati e/o determini una riduzione della sanzione applicata dall’ICO in caso di indagine. Desideriamo chiarire che non è così.
Come sottolinea chiaramente l’ICO, ripetendo quello che abbiamo scoperto nei nostri recenti sondaggi sul ransomware (evidenziato di seguito):
[I]l pagamento incentiva ulteriormente i comportamenti criminali e non garantisce la decifratura delle reti né la restituzione dei dati rubati.
[…] A scanso di equivoci, l’ICO non ritiene che il pagamento del riscatto ai criminali che hanno attaccato un sistema possa contenere il rischio per le persone, di conseguenza non riduce le eventuali sanzioni imposte dall’ICO.
A questo proposito, se ti stai chiedendo in che modo il pagamento tempestivo del riscatto contribuisca a finanziare gli attacchi ransomware futuri, ricordati che una volta la banda di ricattatori informatici REvil ha versato con disinvoltura $ 1.000.000 in Bitcoin a un forum per il crimine online.
Questo pagamento anticipato aveva lo scopo di attirare complici particolarmente dotati, soprattutto quelli che possono vantare un’esperienza reale di utilizzo o violazione dei principali strumenti software di backup.
I nostri sondaggi sul ransomware hanno già dimostrato che pagare i criminali non consente quasi mai di risparmiare denaro, anche perché, oltre a pagare il riscatto, dovrai comunque seguire una procedura di ripristino che richiede un tempo pari a quello normalmente previsto per un ripristino convenzionale.
Abbiamo anche scoperto che gli strumenti di decifratura forniti dagli autori dell’attacco sono spesso inadeguati.
Alcune vittime pagano, ma non riescono a recuperare assolutamente niente, e sono ben poche quelle che riescono a recuperare tutto. (Corre voce che Colonial Pipeline abbia pagato $ 4.400.000 per un decodificatore che si è rivelato sostanzialmente inutile.)
È bene anche ricordare che le pubbliche autorità non intendono accettare il pagamento come una sorta di giustificazione legalmente valida, del tipo “abbiamo fatto tutto il possibile per risolvere il problema”.
Secondo l’ICO, il contenimento dei rischi non può avvenire pagando le richieste di estorsione, perché il processo di contenimento dei rischi deve svolgersi come segue:
L’ICO intende riconoscere il contenimento dei rischi alle organizzazioni che hanno adottato tutte le misure necessarie per comprendere con precisione l’accaduto al fine di imparare dall’esperienza e, ove appropriato, hanno segnalato l’incidente all’NCSC, lo hanno denunciato alle Forze dell’ordine tramite Action Fraud e possono dimostrare di aver consultato l’NCSC per ottenere supporto o di averne seguito tutte le indicazioni in modo appropriato.
Come comportarsi
Combinando i risultati dei nostri sondaggi con i consigli legali dell’ICO, si ottengono queste quattro semplici regole da ricordare:
- Pagando il riscatto si rischiano complicazioni legali. L’ICO sottolinea il fatto che il pagamento di un riscatto ransomware non è automaticamente illegale nel Regno Unito. Se costituisce probabilmente l’unica speranza per salvare l’azienda e tutelare il posto di lavoro dei dipendenti, il pagamento sembra essere considerato accettabile, come una sorta di “male necessario”. Tuttavia, come ci ricorda l’ICO, il pagamento può dare luogo a ulteriori complicazioni dovute ai “regimi sanzionatori applicabili (soprattutto quelli correlati alla Russia)”.
- Il pagamento potrebbe essere completamente inutile. Non c’è alcuna garanzia che i criminali saranno in grado di aiutarti a recuperare i tuoi dati, anche nel caso in cui abbiano veramente intenzione di farlo, come “monito” per le prossime vittime. Come abbiamo detto prima, alcune vittime pagano e non riescono a recuperare assolutamente niente, e sono ben poche quelle che, pur pagando, riescono a ripristinare tutti i loro dati. La metà delle vittime che scelgono di pagare perde comunque almeno un terzo dei propri dati, mentre un terzo delle vittime ne perde almeno la metà (e non può nemmeno scegliere la metà da sacrificare).
- Solitamente, il pagamento non fa che incrementare il costo complessivo del recupero. Gli “strumenti di ripristino” non sono né istantanei, né automatici, pertanto dovrai aggiungere al costo del riscatto anche tutti i costi operativi da sostenere per implementare e utilizzare gli strumenti, presupponendo che funzionino in modo affidabile al primo tentativo. Solitamente tali costi operativi sono almeno pari a quelli da sostenere per recuperare i dati dei propri backup, dal momento che la procedura generale è piuttosto simile.
- Il pagamento non riduce le sanzioni per la violazione dei dati. Il pagamento effettuato ai criminali che hanno sferrato l’attacco non viene considerato una misura di “contenimento dei rischi”, né una precauzione ragionevole, pertanto non può essere sfruttato per ottenere una riduzione della sanzione, qualunque cosa ti dicano i tuoi consulenti legali.
In parole povere, pagare è una pessima idea e deve essere la tua ultima risorsa, perché a volte serve solo a peggiorare ulteriormente una situazione già disperata.