Cos’è il ransomware, la forma più subdola di attacco informatico

La sua origine è la stessa dei classici virus o malware informatici, ma i suoi effetti non riguardano solamente l’ecosistema digitale di un portale o di un server. Negli ultimi anni c’è stata una vera e propria escalation di attacchi ransomware. I pirati informatici che utilizzano questo strumento di “infezione” di dispositivi (ma soprattutto di intere reti) sono i più temuti da aziende e istituzioni, perché oltre al blocco dei sistemi (con di dati che vengono resi inaccessibili) c’è una richiesta di riscatto economico (spesso attraverso le criptovalute). E oggi, nel nostro lungo viaggio all’interno del vocabolario della cyber security, spieghiamo cos’è un ransomware, il significato, gli effetti nefasti e i modi in cui difendersi.

LEGGI ANCHE > Lo sapete che un Trojan può colpire anche i nostri smartphone?

La modalità di diffusione è la stessa dei trojan, dei worm e dei più classici malware. Insomma, non propriamente dei virus, ma dei software malevoli che rischiamo di installare sui nostri dispositivi a nostra insaputa (magari effettuando il download di qualche programma o applicazione che risulta essere “infettata”). E sei trojan e worm rischiano di rendere inutilizzabile i nostri device o cancellare i dati presenti all’interno di essi, il ransomware ha effetti anche economici. Perché i dati vengono criptati, tenuto sotto sequestro e restituiti solo dopo il pagamento di un riscatto.

Ransomware significato

Prima di analizzare gli aspetti tecnici, occorre concentrarsi su ransomware significato. Il significato, in italiano, lo prendiamo dal vocabolario dell’Enciclopedia Treccani: «Programma maligno che limita o impedisce l’accesso al dispositivo sul quale si installa a insaputa dell’utente, richiedendo un riscatto da pagare per ripristinare l’uso normale del dispositivo». Spiegazione piuttosto semplice, con annessa spiegazione tecnica (e sintetica) che ci fornisce una cornice a questo quadro. Perché questa parole deriva – come quasi tutto quel che fa parte del vocabolario della cyber security – dall’unione di due termini anglosassoni: Ransom (che vuol dire “riscatto”) e “ware”, la desinenza finale che chiude la parola “software”. Insomma, un software che si insinua nei nostri dispositivi con l’obiettivo dichiarato di chiedere e ottenere un riscatto.

Ransomware, cos’è?

Dopo questa necessaria spiegazione a livello linguistico, passiamo alla storia. Il primo ransomware risale al 1989. Si chiamava “PC Cyborg”, ma era più conosciuto come “AIDS”: si trattava di un trojan realizzato dal biologo Joseph Popp. Una vendetta, probabilmente, per esser stato escluso – come spiega la CNN – dalle selezioni per un posto di lavoro Organizzazione Mondiale della Sanità. Quindi creò questo malware, diffuso attraverso un floppy disk (che doveva contenere informazioni su un incontro scientifico proprio sul virus HIV e la conseguente malattia). La prima vittima è stata un assicuratore belga che qualche giorno dopo aver inserito quel floppy nel suo pc, vide quel “virus detected” sul proprio schermo e il blocco di alcuni dati presenti all’interno dell’hard disk.

Si trattava di una forma primordiale di ransomware e il mancato pagamento del riscatto non comportò gravi perdite di dati. Poi, per anni, gli hacker hanno potenziato il sistema. In particolar modo in Russia, dove diversi gruppi di pirati informatici hanno deciso di avviare delle vere e proprie offensive diffondendo questi malware per ottenere in cambio soldi. Spesso e volentieri, infatti, questo sistema viene utilizzato proprio come forma di auto-finanziamento per le loro attività digitalmente illecite.

Come funziona?

Quel che può sembrare un concetto semplice – che abbiamo provato a spiegare nei paragrafi dedicati al ransomware significato – ha alle spalle delle dinamiche informaticamente complesse. McAfee – l’azienda americana che si occupa di sicurezza informatica e la prima a lanciare, nel 2013, l’allarme sulla diffusione di questa tipologia di malware – spiega nel dettaglio tecnico cosa accade quando un dispositivo viene colpito da un ransomware:

«Il ransomware è un malware che utilizza la crittografia asimmetrica per tenere sotto sequestro le informazioni di una vittima. La cifratura asimmetrica (pubblica-privata) è una crittografia che utilizza una coppia di chiavi per cifrare e decifrare un file. La coppia di chiavi pubblica-privata viene generata in modo univoco dall’aggressore per la specifica vittima. La chiave privata, necessaria per decifrare i file, viene memorizzata nel server dell’aggressore stesso. Quest’ultimo mette la chiave privata a disposizione della vittima solo dopo il pagamento del riscatto, anche se non è sempre così, come si è visto in recenti campagne di ransomware. Senza l’accesso alla chiave privata, decifrare i file tenuti in ostaggio è pressoché impossibile».

L’unico modo per ottenere quella chiave di accesso, decriptare i dati e riottenerli è il pagamento di un riscatto. Contestualmente all’attacco, infatti, il pirati informatico invia un alert all’azienda o all’istituzione colpita (quindi non parliamo solo di pc, ma di intere reti informatiche, compresi i server) con un conto alla rovescia e le indicazioni sul quantitativo di soldi (ormai criptovalute) da versare per riottenere quei dati sottratti. In caso di mancato pagamento, quei dati saranno poi pubblicati (spesso sul darkweb).

Come difendersi

Il problema, dunque, è triplice. Prima il blocco del sistema, poi la perdita dei dati (che finiscono nelle mani di chi ha condotto l’offensiva) e, alla fine, il danno economico. Nei mesi scorsi, mentre in Italia si sono moltiplicati gli attacchi ransomware contro aziende e istituzioni (in particolare il settore sanitario è quello preso maggiormente di mira), abbiamo riportato un’analisi pubblicata dagli esperti di Check Point Research che spiegavano cosa accade dopo aver subito un attacco ransomware:

«La durata di un attacco ransomware (dall’attacco iniziale alla ripresa della normale attività) è scesa a una media di 9,9 giorni nel 2021 dopo essere salita costantemente tra il 2017 e il 2020 fino a una media massima di 15 giorni. Inoltre, dimostriamo che il costo dell’estorsione è marginale rispetto ad altre perdite subite dalla vittima […] L’anno 2020 ha mostrato che il costo totale medio di un attacco ransomware era più di sette volte superiore al riscatto medio pagato».

Il danno economico, dunque, è ben maggiore rispetto alla mera cifra (seppur spesso elevata, ma non troppo visto che cifre esagerate non possono che portare a un’impossibile trattativa tra l’offensore e l’offeso) prevista dalla richiesta di riscatto. Per questo diventa, come in molti altri casi, fondamentale una strategia di difesa preventiva. Dunque, i consigli – anche se possono apparire ripetitivi – sono sempre gli stessi:

1. Installare un software antivirus e aggiornarlo continuamente in modo da prevenire anche nuove forme di attacco ransomware;
2. Non aprire o effettuare il download di documenti o file presenti all’interno di mail ricevute da mittenti sconosciuti;
3. Non scaricare app o programmi da siti non affidabili e certificati;
4. Tenere costantemente aggiornati i sistemi operativi (che, di volta in volta, aggiornano anche i sistemi di sicurezza interni);
5. Effettuare un continuo backup dei propri dati per non vederli persi e non essere costretti a cedere al ricatto.

A tutto ciò aggiungiamo anche un altro suggerimento: non pagare il riscatto e rivolgersi ad aziende specializzate nella cyber security. Oltre che contattare, il prima possibile, le autorità competenti. E questo vale per i singoli cittadini, per le aziende e per le istituzioni.