Riscatto ransomware
Cosa succede quando un attacco ransomware chiede il pagamento di un riscatto ad un’azienda? Si deve decidere di pagare o non pagare? Quando un’impresa viene attaccata da un ransomware che ne compromette la operatività o che minaccia di rendere pubblici dei dati sensibili, si può pensare che sarebbe meglio pagare il riscatto e porre fine all’incubo in cui si è precipitati. È saggio pagare un riscatto? Cosa succede quando le aziende pagano un riscatto per recuperare i dati?
Gli attacchi ransomware diventano ogni giorno più potenti. Gli esperti di sicurezza informatica sostengono che i criminali informatici sono abili nel trovare falle nei sistemi informatici aziendali.
In genere, gli attacchi ransomware impediscono alla vittima di accedere nuovamente ai propri dati e chiedono il pagamento di un riscatto.
Gli esperti non sono d’accordo sulla migliore linea d’azione da seguire quando si tratta di decidere se pagare o meno un riscatto. L’FBI e l’Homeland Security, sconsigliano di pagare il riscatto poiché ciò incoraggia ulteriori comportamenti criminali.
Dopo il pagamento, cosa succede?
In teoria, dopo aver pagato il riscatto, la vittima dovrebbe ricevere le chiavi di decrittazione e la promessa di non fare uso né di pubblicare i dati sottratti dal sistema informatico attaccato. Il pagamento, tuttavia, non garantisce di poter ripristinare la situazione precedente all’attacco.
I dirigenti di impresa dovrebbero tenere presente le statistiche relative a questi casi, prima di prendere la decisione di pagare, che ci raccontano che in realtà solo il 65% dei dati viene recuperato e solo l’8% delle aziende riesce a recuperare tutti i dati:
- Spesso i file criptati non possono essere recuperati. I decodificatori forniti dall’attaccante potrebbero non funzionare correttamente o bloccarsi;
- Il recupero dei dati può richiedere diverse settimane, soprattutto se sono stati pesantemente crittografati;
- Non vi è alcuna garanzia che i dati rubati non vengano comunque rivenduti in futuro o fatti trapelare nel Dark Web;
- Il pagamento del riscatto purtroppo non garantisce che i sistemi vengano riparati o che i dati vengano recuperati. Non si può credere a tutte le promesse che vengono fatte dagli estorsori, a loro non interessano le difficoltà che l’impresa dovrà superare per tornare alla normalità;
- Le statistiche dicono che le imprese che hanno pagato il riscatto, hanno più probabilità di subire un secondo attacco, in quanto i criminali sanno che il sistema informatico ha delle debolezze e che la dirigenza è disponibile a pagare.
Mentre alcuni esperti ritengono che le aziende non dovrebbero mai pagare le richieste di ransomware, altri sostengono che ogni situazione è un caso a sé stante. Questi attacchi informatici possono mettere in pericolo la stessa sopravvivenza dell’impresa, per cui bisogna lasciare che i dirigenti facciano la loro scelta.
Non esiste una soluzione semplice né valida per tutti
Pagare il riscatto comporta anche un rischio tecnologico. Secondo uno studio di Cybereason, l’80% delle vittime di ransomware che hanno pagato il riscatto richiesto sono state successivamente oggetto di un altro attacco ransomware.
La maggior parte delle aziende che pagano un riscatto lo fa perché, in seguito a un attacco ransomware, le richieste di risarcimento danni potrebbero superare l’importo chiesto dagli estorsori. Per esempio, la perdita deli dati dei clienti potrebbe da una parte suscitare azioni legali da parte dei clienti per violazione della privacy e dall’altra una caduta delle fatturazioni.
Oppure si preferisce pagare il riscatto perché viene compromessa l’operatività, come succede per esempio negli ospedali, dove la sospensione delle attività si misura in vite umane.
Questo è noto anche alle organizzazioni di ransomware, che hanno una predilezione per gli attacchi ai servizi pubblici come la Sanità ed i trasporti, il cui mancato funzionamento può gettare nel caos una Nazione.
E’ comunque noto che i gruppi di ransomware ritornano a prendere di mira aziende conosciute che hanno già pagato la prima volta perché ritengono che si tratti di un guadagno finanziario più facile. È un dato di fatto che le vittime che pagano vengono prese di mira ripetutamente.
Ragion per cui, le aziende devono valutare obiettivamente la loro capacità di riprendere le operazioni e di perfezionare il sistema informatico e le politiche di difesa al fine di non essere vulnerabili come la prima volta, e con la quasi certezza che si verificherà un secondo attacco ransomware.
Prendere contatto con un mediatore ransomware
Un modo per gestire al meglio il pagamento del riscatto è di farsi assistere da un mediatore di ransomware. Queste nuove figure professionali spesso fanno parte di società di servizi di Incident Response (IR) oppure prestano i loro servizi a società assicurative che assicurano i rischi di cybersecurity.
Questa decisione e la relativa scelta del mediatore deve essere fatta prima dell’attacco ransomware. Le organizzazioni dovrebbero informarsi sulla disponibilità dei servizi di negoziazione e sulle eventuali tariffe associate prima di firmare il contratto di assicurazione informatica o di stipulare un contratto di consulenza IR.
In caso di attacco ransomware con richiesta di riscatto, la dirigenza dell’impresa potrebbe subito sollecitare i servizi del mediatore, in modo da non affrontare la situazione alla cieca.
Spesso i mediatori hanno avuto esperienze precedenti con gli stessi criminali ed ognuno di loro segue più casi allo stesso momento. Per esperienza diretta sanno come impostare la negoziazione, che cosa si può concedere ai criminali, su che cosa sono “sinceri” e su che cosa non bisogna credere affatto. Ed inoltre, grazie alla loro esperienza, i mediatori sanno se si tratta di criminali che in altre occasioni hanno incassato i soldi del riscatto senza restituire i dati, per cui sconsiglieranno di pagare. Oppure sono a conoscenza che con l’adeguata tattica negoziale si può riuscire ad ottenere uno “sconto” importante sull’importo del riscatto.
Un’altra scelta preventiva da farsi prima di subire un attacco ransonware, è quella tenere un certo capitale in Bitcoin in un portafoglio di criptovalute per poter pagare il riscatto, se necessario. Questo tipo di pagamento è il più comune in caso di pagamento di riscatto.
Spesso un mediatore può prendere accordi per il pagamento a nome del cliente. Tuttavia, se la richiesta di riscatto è a otto cifre o superiore, la vittima deve essere consapevole di dove e come potrà ottenere una tale quantità di Bitcoin in modo tempestivo. I criminali del ransomware non sono disponibili a fare lunghe attese.
Per cui, per evitare confusione all’ultimo minuto, questa procedura dovrebbe essere stabilita in anticipo rispetto all’assalto ransomware e documentata nel piano IR. A volte il mediatore può essere d’aiuto a trovare la disponibilità di Bitcoin.
In alcuni casi gli attaccanti di ransomware chiedono il pagamento in Monero, una criptovaluta che è più difficilmente tracciabile. Questo complica ancora di più le cose, in quanto è abbastanza difficile reperire grandi quantità di Monero nel breve periodo.
Cosa fare dopo il pagamento
Dopo essere uscita da un attacco di ransomware, L’organizzazione dovrebbe prendere le adeguate precauzioni preparandosi ad un eventuale secondo attacco creando e modificando gli scenari di risposta e recupero per vari tipi di attacchi.
Quando ci si riprende da un attacco informatico, bisogna agire senza indugi e la migliore possibilità di successo è avere una risposta ben pianificata e strutturata. Ma secondo una recente ricerca, solo il 54% delle aziende con oltre 500 dipendenti dispone di un piano di ripristino completo. Il 77% delle aziende, secondo le statistiche di Cybnet, non dispone di una strategia di risposta agli attacchi di sicurezza informatica. Si tratta di una tendenza preoccupante.
Potrebbe essere il momento per tutte le imprese che hanno qualcosa da perdere, di non esitare e prendere in considerazione l’utilità di creare un piano di ripristino dopo un attacco informatico.