Cos’è l’estorsione informatica e come proteggersi da essa?

Comprendere e Combattere l’Estorsione Informatica: Una Guida Completa

Continua a leggere mentre esploriamo alcuni dei tentativi di estorsione digitale più noti e le strategie per prevenirli.

Una rapina fisica in banca comporta notevoli rischi per un criminale. Il malfattore si espone a pericoli reali durante l’azione e rischia severe conseguenze legali se catturato.

Al contrario, un attacco ransomware, un sofisticato crimine informatico, permette ai responsabili di rimanere quasi sempre al sicuro.

In sintesi, le estorsioni informatiche risultano meno rischiose e potenzialmente più redditizie rispetto alle tradizionali rapine o furti. Inoltre, pene meno severe hanno ulteriormente favorito i criminali informatici.

Considerando la difficoltà nel tracciare le criptovalute, è fondamentale che rafforziamo le nostre difese informatiche.

Cosa si intende esattamente per estorsione informatica?

L’estorsione informatica è un’offensiva online con l’obiettivo di sottrarre ingenti somme di denaro attraverso richieste di riscatto. Questo avviene solitamente minacciando guasti ai server tramite attacchi DDoS o criptando i dati, impedendone l’accesso.

L’estorsione informatica si manifesta principalmente attraverso queste modalità di ricatto:

Sequestro di Dati

Un malintenzionato blocca l’accesso alla rete di computer, richiedendo un riscatto per ripristinarlo. Ciò si verifica spesso dopo aver inavvertitamente cliccato su un link dannoso che scarica malware, criptando i file e bloccando l’accesso.

Un’alternativa è il dirottamento del sistema per copiare dati sensibili, con conseguente ricatto per il pagamento, pena la divulgazione pubblica delle informazioni. Talvolta, si ricorre all’ingegneria sociale, che manipola psicologicamente le vittime inducendole a credere di essere state hackerate, anche quando non è vero.

Attacchi DDoS

Utilizzato a volte come diversivo per coprire furti di dati, l’attacco Distributed Denial of Service (DDoS) si verifica quando la rete viene sommersa da richieste di servizio fittizie, impedendo l’accesso agli utenti reali.

Questi attacchi vengono eseguiti tramite una rete di server infetti (botnet) o tramite tecniche di memcaching, provocando rallentamenti o malfunzionamenti dei server. Le perdite, a seconda della dimensione dell’attività online, possono essere considerevoli.

Finanziare un attacco DDoS può costare anche solo 4 dollari all’ora, infliggendo centinaia di migliaia di dollari di danni alla vittima. Oltre alle perdite immediate, il fermo attività spinge i clienti verso la concorrenza, causando danni ulteriori nel tempo.

I Principali Attacchi di Estorsione Informatica

Analizziamo alcuni degli attacchi più importanti registrati in passato.

#1. WannaCry

Avviato il 12 maggio 2017, WannaCry fu un attacco ransomware globale rivolto ai computer con sistema operativo Microsoft Windows. La sua portata esatta è tuttora sconosciuta, poiché continua a manifestarsi in varie forme.

Nel primo giorno, WannaCry ha infettato 230.000 computer in oltre 150 paesi, colpendo grandi aziende e governi a livello mondiale. Il malware era in grado di copiarsi, installarsi, eseguirsi e diffondersi all’interno della rete senza l’interazione umana.

WannaCry sfruttò una vulnerabilità di Windows tramite l’exploit EternalBlue. Ironia della sorte, EternalBlue fu sviluppato dall’NSA statunitense per sfruttare una falla di Windows. Il codice exploit fu in seguito rubato e reso pubblico dal gruppo di hacker noto come The Shadow Brokers.

Microsoft, consapevole del problema, rilasciò un aggiornamento per correggerlo. Tuttavia, la maggior parte degli utenti che utilizzavano sistemi obsoleti divenne l’obiettivo principale dell’attacco.

Il salvatore in questo caso fu Marcus Hutchins, che involontariamente fermò il malware registrando un dominio citato nel codice dell’exploit. Questo agì come kill switch, contenendo la diffusione di WannaCry. Per ulteriori dettagli, inclusi gli attacchi DDoS successivi al kill switch e la gestione di Hutchins su Cloudflare, si può consultare TechCrunch.

Le stime delle perdite globali si aggirano intorno ai 4 miliardi di dollari.

#2. CNA Financial

Il 21 marzo 2021, CNA Financial, con sede a Chicago, scoprì che erano stati copiati dati personali sensibili di dipendenti, collaboratori e familiari a carico. Questo emerse dopo oltre due settimane, dato che l’attacco, avvenuto il 5 marzo 2021, non era stato rilevato.

Si trattò di un attacco ibrido, comprendente furto di dati e sequestro del sistema CNA. Gli hacker, un gruppo russo noto come Evil Corp, utilizzarono malware per crittografare i server CNA. Dopo negoziazioni sull’iniziale richiesta di riscatto di 60 milioni di dollari, gli hacker accettarono infine 40 milioni, secondo quanto riportato da Bloomberg.

#3. Colonial Pipeline

L’attacco hacker all’oleodotto Colonial causò interruzioni nella fornitura di carburante da uno dei più grandi oleodotti degli Stati Uniti. Le indagini rivelarono che la causa fu una singola password trapelata nel dark web.

Tuttavia, non è chiaro come gli hacker abbiano ottenuto il nome utente corretto associato alla password compromessa. Gli hacker accedettero ai sistemi Colonial tramite una rete privata virtuale destinata ai dipendenti che lavoravano da remoto. In assenza di autenticazione a più fattori, un nome utente e una password furono sufficienti per l’accesso.

Dopo una settimana di attività illecita, il 7 maggio 2021, un dipendente notò una richiesta di riscatto di 4,4 milioni di dollari in criptovaluta. Nel giro di poche ore, i funzionari chiusero l’intera pipeline, incaricando società di sicurezza informatica per valutare e mitigare il danno. Fu inoltre rilevato un furto di dati di 100 GB e gli hacker minacciarono di pubblicarlo in caso di mancato pagamento del riscatto.

Il ransomware bloccò la sezione di fatturazione e contabilità dei sistemi IT Colonial. L’importo del riscatto fu pagato poco dopo l’attacco a DarkSide, un gruppo di hacker dell’Europa orientale. DarkSide fornì uno strumento di decrittazione che si rivelò così lento da richiedere una settimana per normalizzare le operazioni della pipeline.

Il Dipartimento di Giustizia degli Stati Uniti pubblicò una dichiarazione il 7 giugno 2021, annunciando il recupero di 63,7 bitcoin dal pagamento originario. In qualche modo, l’FBI si appropriò delle chiavi private degli account degli hacker, recuperando 2,3 milioni di dollari, apparentemente meno dell’ammontare pagato a causa del crollo dei prezzi dei bitcoin in quel periodo.

#4. Dyn

Oltre a molte altre funzioni su Internet, Dyn funge principalmente da provider di servizi DNS per alcune grandi aziende come Twitter, Netflix, Amazon, Airbnb, Quora, CNN, Reddit, Slack, Spotify e PayPal. Queste aziende subirono gravi disservizi a seguito di un pesante attacco DDoS il 21 ottobre 2016.

Gli hacker usarono la botnet Mirai, che sfruttò un vasto numero di dispositivi IoT compromessi per inviare false richieste DNS. Questo traffico bloccò i server DNS, causando rallentamenti significativi e danni economici incalcolabili a livello globale.

A causa della vastità dell’attacco, è difficile determinare l’esatta entità dei danni subiti dai siti Web, ma Dyn subì notevoli perdite.

Circa 14.500 domini (circa l’8%) passarono a un provider DNS diverso subito dopo l’attacco.

Sebbene molti altri abbiano subito attacchi simili, come Amazon Web Services e GitHub, evitiamo di divagare e concentriamoci sull’elaborazione di una strategia solida per prevenire tali eventi di estorsione informatica.

Come Prevenire l’Estorsione Informatica?

Ecco alcune delle misure preventive fondamentali che possono contribuire a proteggerti da questi attacchi informatici:

#1. Evitare di Cliccare su Link Dannosi

Gli aggressori sfruttano spesso una caratteristica intrinseca della psicologia umana: la curiosità.

Le email di phishing sono state la porta d’accesso per circa il 54% degli attacchi ransomware. Pertanto, oltre a sensibilizzare i tuoi dipendenti sulle e-mail di spam, organizza dei workshop formativi.

Questo potrebbe includere simulazioni di phishing settimanali per fornire formazione pratica. Funzionerà come una vaccinazione, dove una piccola quantità di virus morto protegge dalle minacce vive.

Inoltre, puoi formare i dipendenti sull’uso di tecnologie di sandboxing per aprire link e applicazioni sospette.

#2. Aggiornamenti Software e Soluzioni di Sicurezza

Indipendentemente dal sistema operativo, il software obsoleto è vulnerabile agli attacchi di estorsione informatica. WannaCry avrebbe potuto essere facilmente evitato se gli utenti avessero aggiornato i loro PC Windows in tempo.

Un altro errore comune è credere di essere al sicuro se si usa un Mac. Ciò è del tutto infondato. Il Rapporto sullo stato del malware di Malwarebytes smentisce qualsiasi falsa sensazione di sicurezza tra gli utenti Mac.

Il sistema operativo Windows è stato storicamente più soggetto ad attacchi, semplicemente perché il Mac non era altrettanto diffuso. Il sistema operativo Microsoft detiene ancora una quota di mercato vicina al 74%, il che rende meno conveniente prendere di mira gli utenti Mac.

Tuttavia, le cose stanno lentamente cambiando, e Malwarebytes ha registrato un aumento del 400% delle minacce indirizzate al Mac OS dal 2018 al 2019. Inoltre, hanno rilevato 11 minacce per Mac rispetto a 5,8 per un dispositivo Windows.

In sintesi, investire in una soluzione di sicurezza Internet completa come Avast One si dimostrerà sicuramente un investimento valido.

Inoltre, è consigliabile implementare sistemi di rilevamento delle intrusioni come Snort o Suricata per una maggiore sicurezza di rete.

#3. Utilizzare Password Complesse

L’attacco a Colonial Pipeline è stato causato da un dipendente che ha utilizzato una password debole per due volte.

Secondo un sondaggio Avast, circa l’83% degli americani utilizza password deboli, e fino al 53% usa le stesse password per più account.

È risaputo che spingere gli utenti a usare password complesse è già di per sé un compito arduo. Chiedere loro di farlo al lavoro appare quasi impossibile.

Qual è quindi la soluzione? Le piattaforme di autenticazione utente.

Queste piattaforme possono essere utilizzate per imporre password complesse nella tua organizzazione. Si tratta di specialisti di terze parti con piani flessibili in base alle dimensioni aziendali. Puoi anche iniziare con piani gratuiti offerti da fornitori come Ory, Supabase, Frontegg, ecc.

A livello personale, è consigliabile utilizzare gestori di password.

È inoltre importante aggiornare regolarmente le password. Ciò garantirà la sicurezza anche in caso di furto delle credenziali. Questo è reso molto più semplice con gestori di password premium come Lastpass, che possono aggiornare automaticamente le password con un semplice clic.

Non fermarsi solo alle password complesse; cerca di essere creativo anche con i nomi utente.

#4. Backup Offline

La sofisticazione di questi attacchi può a volte ingannare anche esperti di sicurezza informatica, per non parlare dei piccoli imprenditori.

Pertanto, è fondamentale mantenere aggiornati i backup. Questo ti aiuterà a ripristinare il sistema in caso di problemi.

I backup offline rappresentano un ulteriore vantaggio. Sono una sorta di “cassaforte” protetta, irraggiungibile dagli estorsori informatici.

Inoltre, valuta le capacità di ripristino disponibili, poiché i tempi di inattività prolungati possono talvolta rendere vantaggiosa la richiesta di riscatto. Questo è il motivo per cui alcuni imprenditori negoziano con gli aggressori e finiscono per pagare ingenti somme.

In alternativa, si possono usare soluzioni di backup e recupero dati di terze parti come Acronis. Queste forniscono protezione contro i ransomware e meccanismi di recupero dati senza problemi.

#5. Rete di Distribuzione dei Contenuti (CDN)

Molti hanno rilevato e sventato grandi attacchi DDoS grazie a reti di distribuzione dei contenuti efficienti.

Come già accennato, un ottimo CDN, Cloudflare, ha mantenuto online il killswitch di WannaCry senza interruzioni per due anni, resistendo a numerosi attacchi DDoS in quel periodo.

Una CDN conserva una copia cache del tuo sito web in tutto il mondo su più server. Trasferisce il carico in eccesso sulla propria rete, prevenendo sovraccarichi e tempi di inattività del server.

Oltre alla protezione contro le minacce DDoS, questa strategia si traduce in siti Web più veloci per gli utenti di tutto il mondo.

Infine, non può esistere un elenco esaustivo per proteggerti dalle estorsioni informatiche. La tecnologia si evolve costantemente, ed è sempre consigliabile avere a bordo un esperto di sicurezza informatica.

Ma cosa succede se accade comunque? Come agire nel caso di un attacco di estorsione online?

Risposta all’Estorsione Informatica

La prima reazione di fronte ad un attacco ransomware, oltre alla normale ansia, è spesso quella di pagare per risolvere la situazione.

Tuttavia, questa soluzione non sempre funziona.

Un sondaggio condotto da SOPHOS, un’azienda di sicurezza IT britannica, dimostra che pagare il riscatto non è la soluzione migliore. Il rapporto d’indagine sugli attacchi afferma che solo l’8% delle aziende ha ricevuto tutti i dati dopo aver pagato il riscatto. Il 29% è riuscito a ripristinare solo il 50% o meno dei dati rubati o crittografati.

Pertanto, l’atto di conformarsi alla richiesta di riscatto può rivelarsi controproducente. Rende la vittima dipendente dal malintenzionato e dai suoi strumenti per decrittografare i dati, ritardando al contempo altri tentativi di recupero.

Inoltre, non c’è garanzia che lo strumento fornito dall’hacker funzioni. Potrebbe non funzionare o potrebbe infettare ulteriormente il sistema. Inoltre, pagare i criminali espone la tua azienda come bersaglio futuro, aumentando le probabilità di nuovi attacchi.

In sintesi, il pagamento dovrebbe essere l’ultima risorsa. L’uso di altri metodi, come il ripristino dai backup, è più sicuro rispetto al pagamento a un criminale sconosciuto tramite criptovalute.

Alcune aziende hanno contattato esperti di sicurezza informatica e informato le forze dell’ordine, come nel caso del recupero dei fondi dell’estorsione a Colonial Pipeline da parte dell’FBI.

Estorsione Informatica: Conclusione

È fondamentale essere consapevoli che l’estorsione informatica è più frequente di quanto si possa pensare. Naturalmente, la migliore strategia è quella di rafforzare le difese e mantenere i backup.

In ogni caso, mantieni la calma, avvia le procedure di recupero e contatta gli esperti.

Cerca di non cedere alle richieste di riscatto, poiché il pagamento potrebbe non essere efficace anche se paghi una fortuna.

PS: L’analisi della nostra checklist sulla sicurezza informatica può rivelarsi vantaggiosa per la tua azienda.