Ransomware: quando il computer viene codificato

Poiché siamo costantemente online sul web, ci sono diversi pericoli su Internet che devono essere trattati. Il TCS desidera svolgere un ruolo attivo nella lotta contro questi pericoli e rischi ed è quindi diventato membro della SISA Swiss Internet Security Alliance.

Il business dell’estorsione digitale è in espansione. Il ransomware, termine che nasce dall’incontro di «ransom» = riscatto e «ware» da malware, ovvero un software nocivo, è in piena espansione. Non c’è giorno in cui i quotidiani non riportino notizie al riguardo. Si leggono casi che interessano aziende, ospedali, organizzazioni, ma com’è la situazione in ambito privato? Il ransomware interessa anche i privati?

Se un computer o una rete sono stati infettati con un ransomware, questo blocca l’accesso al sistema (locker ransomware) oppure codifica i suoi dati (crypto ransomware). Per ripristinare l’accesso ai dati, i criminali informatici richiedono alle vittime il pagamento di un riscatto. Il più delle volte, tale importo deve essere pagato con una criptovaluta, ad esempio in Bitcoin. Il contatto avviene solitamente attraverso la darknet.

«La nuova generazione» di attori ransomware non è disposta ad accettare sconti o trattative lunghe e complicate. Nel concreto ciò significa che insieme alla codifica dei dati indicano un scadenza per il pagamento del riscatto. Se la richiesta di riscatto non viene pagata, i dati riservati vengono direttamente pubblicati o distrutti.

I malware possono essere contratti ad esempio attraverso l’allegato di un’e-mail, il download di un file o un sito web «falsificato» di una fonte autorevole.

Una volta che il malware è entrato nel dispositivo, non è più possibile accedervi e i dati personali non possono essere decodificati autonomamente. In alcuni casi, lo schermo diventa improvvisamente nero e il dispositivo non reagisce più agli input di mouse e tastiera. In seguito appare un testo dai toni minacciosi ad opera dei criminali con il quale minacciano la cancellazione o l’inoltro di tutti i dati presenti sul computer. Di regola il testo contiene le seguenti caratteristiche:

• Countdown, barra di avanzamento o data che indica il presunto tempo rimanente. In tal modo viene sottolineata l’urgenza mettendo la vittima sotto pressione.
• Si viene esortati ad acquistare Bitcoin e a trasferirli all’account indicato.
• L’unica cosa che resta da fare è solitamente accedere a un mercato per criptovalute dove acquistare il riscatto e inviarlo online agli artefici del reato. Questo mezzo di pagamento viene scelto dai criminali informatici poiché consente di mascherare i pagamenti rendendo più difficile per le autorità di perseguimento penale rintracciare le transazioni.

Per evitare a priori di trovarsi nella situazione di dover eliminare ransomware dal proprio computer è importante prestare la dovuta attenzione quando si ha a che fare con file sconosciuti.

• Create regolarmente una copia di sicurezza (backup) dei vostri dati. La copia di sicurezza dovrebbe trovarsi offline, ovvero salvata su un mezzo esterno, come ad esempio un disco rigido esterno. Una volta completata la procedura di backup, assicurarsi di scollegare dal computer il mezzo sul quale viene creata la copia di sicurezza. Altrimenti, in caso di un attacco ransomware è possibile che anche i dati presenti sul mezzo di backup vengano codificati e resi inutilizzabili.
• Prestate attenzione a una gestione sicura della posta elettronica.
• Non collegate mai chiavette USB di provenienza ignota ai vostri dispositivi. Talvolta, i responsabili preparano appositamente chiavette USB e addirittura cavi di ricarica USB (cosiddetti cavi OMG) per far cadere nella trappola chi sfortunatamente entra in loro possesso.
• Mantenete aggiornati i programmi e il sistema operativo. L’aggiornamento regolare dei programmi e dei sistemi operativi contribuisce a proteggervi dai malware.
• Utilizzate esclusivamente fonti conosciute per il download. Non scaricate mai software o file media da pagine sconosciute. Prestate attenzione anche quando effettuate il download sul vostro dispositivo mobile. Fate affidamento a Google Play Store o Apple App Store, a seconda del dispositivo.

In caso di un attacco ransomware, scollegate immediatamente il computer da Internet e da tutti i mezzi di archiviazione collegati per evitare ulteriori danni. Nella maggior parte dei casi di malware è consigliabile formattare il disco rigido e riconfigurare il computer con la copia di sicurezza (backup). 

Segnalate l’incidente informatico al Centro nazionale per la cibersicurezza NCSC.

Non pagate mai un riscatto! Anche se molti privati e molte aziende sono tentati di pagare il riscatto per recuperare il controllo dei propri sistemi, questo dovrebbe essere solo l’ultimo rimedio estremo, di comune accordo con la polizia. Pagando il riscatto si corre il rischio di animare i ricattatori rendendovi suscettibili di nuovi attacchi.