Rischio Ransomware: non basta un antivirus di Avv. Gianni Dell’Aiuto

ransomware sono considerati le più aggressive e temibili forme di attacco informatico; sicuramente è il sistema più utilizzatO dagli attaccanti anche in considerazione dei risultati a cui può portare. Secondo il rapporto Clusit 2021 gli attacchi ransomware sono il 67 % di tutti quelli effettuati: due su tre. Da un altro rapporto l’Italia si colloca al quarto posto in Europa per queste forme di attacco; a livello mondiale sono sempre gli Stati Uniti il paese più colpito.

Gli effetti di un attacco ransomware portato a termine possono essere tra i più devastanti per un’azienda o un ente pubblico che, improvvisamente, non riesce più ad avere accesso ai propri dati fino al punto di vedere paralizzata l’intera attività; un vero e proprio rapimento dei dati per i quali viene chiesto un riscatto (ransom in inglese) e, più che nei sequestri di persona, resta il dubbio se i rapitori rilascino effettivamente il bene in ostaggio ovvero lo usino (o lo abbiano già usato) per altri ricatti o rivenduto ad altri hacker o aziende che, con questo sistema, si creano un database ben fornito.

L’attaccante in questi casi si rivela ben strutturato e, oltre a informare immediatamente la propria vittima, mette immediatamente a disposizione tutte le istruzioni per permettergli di pagare il riscatto in moneta virtuale,  magari dopo una rapida trattativa. Il sistema più utilizzato per gli attacchi ransomware resta quello delle email di phishing, magari inviate sfruttando sistemi di ingegneria sociale che preventivamente carpiscono la figura del destinatario o, più probabilmente, di un suo dipendente o anche di una segretaria; anche la navigazione su siti compromessi dagli hacker o appositamente creati per indurre in errore navigatori sempre più distratti o che fanno click senza prima accertarsi dove siano puntati mouse e dita. Famosi restano i casi dei ransomware denominati Wannacry e Criptolocker che hanno fatto non pochi danni in rete.

Per un’azienda, e questo è il punto focale della problematica ransomware, la questione deve essere valutata sotto due diverse angolazioni: prima del ransomware, con l’attività di prevenzione, e dopo l’attacco con la predisposizione di tutte le procedure a livello non solo informatico, ma anche per le informative al Garante e alla propria utenza, i cui dati sono esposti al rischio di essere rivenduti o utilizzati in altre maniere illecite.

Difendersi prima è possibile ma oltre agli antivirus, non è possibile prescindere da una efficace formazione dei titolari e del personale deputato a trattare il dato per dare l’idea della dimensione del rischio e creare la consapevolezza delle conseguenze che possono derivare da questi attacchi, specificando anche che potrebbero esservi ripercussioni a livello disciplinare.

La gestione di una fase successiva è invece attività che deve, purtroppo, essere prevista e che non deve limitarsi al semplice recupero dei dati: un backup o avere copie di riserva dei dati in memorie esterne sono soluzioni aziendali, ma non possono essere utili quando si dovrà informare dell’accaduto il Garante e i propri clienti, con l’immaginabile crollo di immagine e reputazione. Inutile dire che si tratta solo di “piccole falle” o che gli utenti non sono esposti a rischi in relazione ai dati: nominativi, mail, utenze telefoniche, probabilmente anche Iban bancari e dati di carte di credito si trovano in mano ad hacker con pochi scrupoli.

Pagare il riscatto? Potrebbe non essere la soluzione, ma solo l’inizio di altri problemi quali nuove richieste di pagamento e l’assoluta certezza che i dati potrebbero essere comunque usati illecitamente e, comunque, non restituiti.

Ransomware e istituzioni: dopo i Comuni di Brescia e Rho, giù i server dell’Agenzia Territoriale per la Casa di Torino. Negare i databreach è un errore! di Alessandro Papini – Presidente AIP

Periodo nero per l’Italia, in fatto di ransomware, con una particolarità: certo, le aziende restano bersaglio prediletto dei ransomware come dimostrano gli attacchi che hanno affossato i server di Boggi Milano e Axios, ma la nuova frontiera pare quella di colpire le istituzioni.

I comuni di Brescia e Rho sono stati attaccati durante le vacanze di Pasqua: criptati tutti i dati, server down, servizi alla cittadinanza (come l’anagrafe) sospesi e inaccessibili, estorsioni e ricatti milionari. 1.3 milioni di euro in Bitcoin è stata la richiesta al Comune di Brescia, 400.00 euro divenuti poi 650mila qualche giorno dopo sono stati richiesti al Comune di Rho. “Tra l’altro – dice il sindaco di Rho Pietro Romano – hanno davvero sbagliato bersaglio, visto che un’amministrazione comunale, anche volendo, non avrebbe potuto mai pagare“.

Infine è la volta dell’Agenzia Territoriale per la Casa di Torino: l’attacco si è svolto nella notte tra il 10 e l’11 Aprile ha completamente bloccato il sistema. I tecnici hanno scoperto l’attacco soltanto la mattina, annunciandolo poi poco dopo sui social e comunicando la sospensione di tutte le pratiche agli sportelli. Il sito web non è ancora stato ripristinato: come si legge all’indirizzo https://www.atc.torino.it/, è stata approntata una pagina provvisoria in attesa che il sito ufficiale possa essere ripristinato.

La cifra richiesta in riscatto è di 700.000 dollari, nel frattempo le famiglie che usufruiscono dei servizi di ATC, che gestisce 30.000 appartamenti di edilizia popolare a Torino, stanno incontrando disservizi continui: tema che l’Agenzia stessa ha portato all’attenzione degli attaccanti, forse in cerca di una risoluzione “etica” della questione. Alla fine, ha detto l’Agenzia agli attaccanti, chi sta subendo l’attacco non è l’agenzia stessa ma sono le famiglie.

Dalla comunicazione presente sulla pagina si evince che sono sospese anche le comunicazioni email e che anche il sistema di pagamanto è sospeso e sta determinando ritardi e disservizi. ATC ha fatto sapere di non avere alcuna intenzione di pagare il riscatto, nel frattempo mantiene i servizi possibili tornando a carta, penna e fax.

Ransomware e data breach: rassicurare troppo presto è un errore
ATC, rispetto ad altre vittime italiane recenti, non si è limitata ad allertare la Polizia Postale ma ha anche regolarmente notificato al Garante per la Protezione dei dati personali il data breach subito. Correttamente ATC ha fatto un ragionamento che dovrebbe valere sempre, vista l’evoluzione delle tecniche di attacco dei gruppi ransomware: un attacco ransomware va sempre e comunque considerato un data breach.

Il trend del “doppio riscatto” (addirittura triplo i alcuni casi) è ormai dato per assodato nel mondo dei ransomware: i gruppi di attaccanti richiedono ormai quasi sempre due diversi riscatti, uno per ottenere il tool per riportare in chiaro i file e uno per non far pubblicare i dati rubati o metterli in vendita nel dark web. Un solo attacco, doppio profitto, si potrebbe dire in breve. Questo è il motivo per il quale oramai ogni attacco ransomware è preceduto da una fase in cui gli attaccanti cercano, ottenuto l’accesso iniziale alla rete, di diffondersi a tutte le macchine collegate in rete (e eventualmente ai servizi cloud, dove presenti) per esfiltrare / rubare quanti più dati possibili, molto molto spesso dati sensibili e personali.

ATC da questo punto di vista è stato virtuoso: esponendosi anche al rischio di eventuali future sanzioni del Garante (che ha ovviamente aperto istruttoria e dovrà valutare la conformità del trattamento dei dati in atto presso ATC rispetto al GDRP) ha correttamente denunciato il data breach. Denuncia che invece non è avvenuta negli altri casi noti: anzi, al contrario sia il comune di Brescia che quello di Rho hanno categoricamente negato la compromissione di dati personali e sensibili, forse nel tentativo di ridurre il danno d’immagine.

Un esempio potrebbe essere la terribile figuraccia rimediata dal Comune di Brescia, vittima del ransomware DoppelPaymer, tra i più importanti ransomware specializzati nella tecnica della “doppia estorsione”. Il Comune, che prima aveva negato l’attacco per poi invece confermarlo costretto dai fatti a causa di diverse soffiate e fughe di notizie sui giornali nazionale e locali, ha ripetuto fermamente, convintamente e più volte di non aver subito data breach: insomma, utenti rassicurati, i dati personali dei cittadini bresciani sono al sicuro.

Peccato che pochissimi giorni dopo queste roboanti dichiarazioni, gli attaccanti hanno non solo aumentato il riscatto (ad ora a 3 milioni di euro), data la ferma volontà dell’amministrazione di non pagare, ma hanno anche pubblicato sul proprio sito di leak 4 file scaricabili contenenti una parte dei dati rubati. Stesso trama per il Comune di Rho: negata l’esfiltrazione dei dati, ma pochi giorni dopo sempre il gruppo DopplePaymer ha pubblicato nel proprio sito di leak e messo in vendita i dati rubati. Le foto sotto mostrano alcuni dati pubblicati sui siti di leak degli attaccanti che hanno colpito i comuni di Brescia, Rho e Caselle Torinese.