Il significato letterale di ransomware è “software che chiede un riscatto”. Si tratta di programmi che infettano il computer ospite e ne criptano tutti i dati rendendoli inutilizzabili, per poi chiedere il versamento di una somma ingente di denaro in cambio della password necessaria a decifrare e ripristinare gli archivi.
In genere il versamento del riscatto deve avvenire usando una criptovaluta (Bitcoin o simili), e non sempre al pagamento del riscatto poi segue l’effettiva “liberazione” dei server; in ogni caso, il blocco dei server, che può durare giorni e giorni, rende impossibile lo svolgimento delle normali attività dell’azienda o dell’istituzione che è stata attaccata.
Il primo attacco ransomware risale al 1989, ma è negli ultimi anni che il fenomeno ha assunto proporzioni preoccupanti, anche con attacchi in larga scala; l’epidemia del ransomware Wannacry, nel 2019, ha bloccato server in tutto il mondo sfruttando una falla di sicurezza di Windows, peraltro già nota e corretta: evidentemente, i server attaccati non erano stati aggiornati.
A settembre 2020 in Germania c’è stato addirittura il primo caso di morte provocato direttamente da un attacco ransomware: una donna in condizioni critiche non è stata accettata al Pronto soccorso dell’ospedale universitario di Dusseldorf, in quel momento bloccato a causa di un attacco ransomware, ed è morta nel tragitto in ambulanza verso un altro ospedale. I cybercriminali, che forse pensavano di aver bloccato solo i server dell’università e non quelli del policlinico, hanno a quel punto ritirato la richiesta di riscatto e comunicato i codici per decriptare i server, presumibilmente per evitare conseguenze legali ancora più gravi.
L’infiltrazione nei sistemi informatici aziendali può avvenire in vari modi:
• via email, con messaggi che sembrano provenire da mittenti “sicuri”: un corriere che deve recapitare un pacco, un ufficio amministrativo che ha bisogno di dati per sbloccare un pagamento, un servizio online che notifica un problema di sicurezza (!) e chiede di scaricare un aggiornamento; gli allegati sono file eseguibili che, una volta scaricati, entrano in azione;
• link fraudolenti all’interno di siti creati ad hoc dai cybercriminali, o “iniettati” in altri siti sfruttando falle di sicurezza; cliccando i link, si scaricano i file eseguibili del ransomware;
• all’interno di programmi gratuiti che promettono, ad esempio, di “crackare” software a pagamento per usarli senza licenza.
La difesa contro questo genere di attacchi passa sia attraverso le solite, buone regole di sicurezza informatica:
• quelle personali, che ciascuno di noi dovrebbe applicare sempre: aggiornare regolarmente antivirus e patch di sicurezza, pensare prima di cliccare su qualunque link, usare password solide;
• quelle aziendali, che che comprendono backup frequenti e tenuti in luoghi sicuri e presenza di piani di disaster recovery.
Come in molti ambiti, prevenire è meglio che curare, e quando la prevenzione non basta occorre avere pronto un piano per la gestione dell’emergenza e il ripristino dei servizi; e questo piano NON può essere “paghiamo il riscatto e speriamo che basti”.
