Pagare o non pagare un riscatto ransomware?

Articolo header

Pagare o non pagare, questo è il dilemma. Quando un’azienda viene colpita da un ransomware, e subisce una richiesta di pagamento per evitare che i dati vengano resi pubblici e per riavere l’accesso ai propri file criptati e ritornare operativa, la vittima si pone la domanda: cedere al ricatto e pagare, oppure rifiutarsi?


Quando un’azienda viene colpita da un ransomware, e subisce una richiesta di pagamento per evitare che i dati vengano resi pubblici e per riavere l’accesso ai propri file criptati e ritornare operativa, la vittima si pone la domanda: cedere al ricatto e pagare, oppure rifiutarsi?

La situazione, sfortunatamente sempre più frequente, è quella di un’azienda impreparata di fronte ad uno scenario in cui i dati aziendali non sono più accessibili e l’operatività è fortemente compromessa oppure completamente bloccata.  

Spesso l’azienda vittima non ha molte scelte perché anche i backup sono stati compromessi e resi inutilizzabili oppure era malamente organizzata (non li aveva aggiornati e non li verificava regolarmente) oppure ancora non aveva previsto un piano di disaster recovery. 

A quel punto la vittima difficilmente riesce a gestire un incidente di questo tipo e si trova improvvisamente con tutti i sistemi IT bloccati e nell’urgenza di ritornare operativa nel più breve tempo possibile. 

Spesso non sa a chi rivolgersi per chiedere un aiuto che nella maggior parte dei casi è solo parzialmente risolutivo e comunque richiede tempo, giorni se non settimane e denaro per l’analisi e la risoluzione. 

Tornando alla domanda iniziale, per la polizia postale, il nucleo privacy della guardia di finanza, i professionisti che si occupano di privacy e di sicurezza informatica, la risposta sarebbe unanime: NO, non cedete al pagamento del riscatto.

La teoria: perché non cedere al pagamento del riscatto

Alcuni dei motivi:

  • Il denaro serve per continuare ad alimentare questo genere di attività illegali che non fanno altro che aumentare il budget e le risorse a disposizione degli attaccanti. Nulla di molto diverso rispetto al pagamento del pizzo che nel gergo della criminalità mafiosa è una forma di estorsione praticata anche da altre organizzazioni criminali. Anzi vi è il rischio che l’azienda sia riconosciuta come “buona pagatrice” e l’estorsione si ripeta ancora da parte della stessa o di altre organizzazioni che operano con le stesse modalità. 
  • Non vi è alcuna certezza che i cybercriminali, una volta che hanno ricevuto il pagamento, consegnino le chiavi che consentono di decrittare e recuperare i file. Anzi, potrebbero svanire nel nulla (situazione abbastanza rara che indurrebbe altre aziende colpite a non pagare) oppure, caso più frequente, viene richiesto un ulteriore pagamento. Alcune ricerche hanno dimostrato che circa l'80% delle aziende che hanno pagato un riscatto ransomware viene colpita nuovamente. E nel 46% dei casi, dagli stessi attaccanti.
  • Se durante l’attività malevola vi è stata un’esfiltrazione dei dati (esportazione non autorizzata di dati confidenziali da un sistema informatico aziendale verso l’esterno) i dati diventano comunque di dominio pubblico, condivisi ed elaborati per cercare di tracciare il maggior numero di informazioni possibili. Informazioni che hanno sicuramente un valore nel mercato illegale del dark web.
  • Possono esserci implicazioni di tipo reputazionale, legali o di compliance. Ossia il rischio di incorrere in sanzioni giudiziarie o amministrative in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina).

La pratica: il ransomware e la situazione reale

Nella realtà le cose vanno diversamente. Prima di tutto è molto difficile conoscere le esatte dimensioni del fenomeno. Sono moltissime le aziende che vengono colpite da un ransomware e che decidono di cedere al ricatto e pagare senza pubblicizzare questa scelta.

Se l’azienda è di piccole e medie dimensioni si cerca di coprire l’accaduto, minimizzando o giustificando nei confronti di clienti e fornitori l’improvviso blocco della propria attività con altre scuse. E si cercano soluzioni di rimedio che spesso coincidono con il pagamento del riscatto semplicemente perché non ci sono alternative.

Diversa cosa quando si fornisce un servizio pubblico, l’azienda ha dimensioni rilevanti e bisogna fornire spiegazioni al grande pubblico ed agli investitori. A quel punto bisogna gestire la crisi e dichiarare pubblicamente quanto accaduto oltre a prendere delle decisioni non proprio semplici.

Ad esempio, nel caso di Colonial Pipeline il dipartimento della Giustizia Statunitense ha annunciato di avere recuperato la maggior parte del pagamento di un riscatto di diversi milioni di dollari fatto da Colonial Pipeline, operatore dell'oleodotto più grande degli Usa. Colonial aveva pagato all'inizio di maggio un 'ransom' di 75 bitcoin, pari a circa 4,4 milioni di dollari, a un gruppo hacker con base in Russia.

L'attacco informatico ransomware aveva paralizzato per giorni la Colonial Pipeline. L'amministratore delegato di Colonial, Joseph Blount, presente ad un'audizione davanti alla Commissione per la Sicurezza Nazionale della Camera dei Rappresentanti, ha spiegato che, il 7 maggio, a tutti i tecnici della Colonial arrivò un messaggio degli hacker con la richiesta di un riscatto in cambio dello sblocco del sistema. La compagnia decise, un'ora dopo, di disconnettere i sistemi informatici e interrompere così il funzionamento della rete di oleodotti che conta per la metà delle forniture di carburante della Costa Est degli Stati Uniti. Blount ha così dovuto prendere la difficile decisione di pagare il riscatto di 4,4 milioni di dollari in Bitcoin, definendo tale scelta la più difficile in tutta la sua carriera ma anche la più giusta da prendere per il paese. Soprattutto quando sono bloccati 100 milioni di galloni di benzina, gasolio e carburante per aerei indispensabili per far “funzionare” la costa sud-orientale e orientale degli Stati Uniti (ndr). La metà del riscatto è stato poi recuperato successivamente dall’FBI.

Un altro caso di inizio Giugno ha riguardato la filiale americana del colosso brasiliano Jbs, il più grande fornitore di carne al mondo, ha pagato 11 milioni di dollari di riscatto (in bitcoin) agli hacker che si erano introdotti nel suo sistema informatico. La notizia è apparsa in tutte le testate giornalistiche. Tramite il chief executive della filiale, Andre Nogueira, il 31 maggio, aveva annunciato di essere stata vittima di un attacco ransomware, ma solo più tardi la filiale Usa della società ha confermato di avere pagato il 'ransom', cioè il riscatto.

Jbs ha precisato che la maggior parte delle sue strutture erano operative nel momento in cui ha effettuato il pagamento. Spiega di avere deciso di pagare per evitare eventuali problemi imprevedibili e per assicurare che nessun dato arrivasse all'esterno. "È stata una decisione molto difficile da prendere per la nostra società e per me personalmente", ha detto Andre Nogueira, CEO di Jbs Usa. "Comunque abbiamo sentito che questa decisione dovesse essere presa per evitare ogni potenziale rischio per i nostri clienti", ha aggiunto. L'FBI sta nel frattempo ancora indagando e ha chiesto a chiunque sia vittima di cyber attacco di contattare immediatamente il Bureau.

L'attacco hacker aveva preso di mira i server che sostengono le operazioni di Jbs in Nord America e Australia: la produzione ne ha subito le conseguenze per diversi giorni. Jbs ha ritenuto che non sia stato compromesso nessun dato della società, né di clienti o impiegati.

Come prevenire il rischio?

Nell’affrontare qualsiasi scenario di disastro (dovuto a ransomware o altro) che coinvolga la perdita o la compromissione dei dati vale la regola “3-2-1” dei backup. Questo approccio aiuta a rispondere a due domande importanti: quanti file di backup dovrei avere e dove dovrei conservarli? In poche parole, la regola 3-2-1 dice che si dovrebbe:

  • Possedere almeno tre copie dei dati
  • Conservare le copie su due supporti diversi (storage diversi)
  • Conservare una copia del backup off-site ossia in un luogo geografico diverso ed ancor meglio se sono off-line (non connessi ad alcuna rete) rendendoli a tutti gli effetti “irraggiungibili”

Diventa fondamentale assicurarsi che i backup vengano effettuati regolarmente e che i dati in essi contenuti siano recenti e validi. Quindi deve essere previsto che qualcuno li verifichi periodicamente e magari faccia dei test di restore, assicurandosi che siano effettivamente utilizzabili. 

Senza trascurare ovviamente gli aspetti organizzativi oltre a quelli tecnici. Considerando che la vita e l’operatività delle organizzazioni sono sempre più legate a un patrimonio informativo e di know-how dematerializzato e digitale diventa cruciale pianificare processi e ricorrere a soluzioni in grado di prevedere la problematica e porre rimedio agli attacchi o agli eventi disastrosi che danneggiano o distruggono i supporti di raccolta dei dati aziendali.

L’azienda dovrebbe essere preparata ed avere un piano di Business Continuity: processi e procedure nell’ambito di un’organizzazione volte ad assicurare l’operatività delle funzioni base durante e a seguito di un evento disastroso. Ed anche un piano di Disaster Recovery: parte del processo di Business Continuity che specifica, a livello tecnico, le precauzioni da prendere e le attività da svolgere per mettere al sicuro i dati e le funzioni aziendali da attacchi o eventi disastrosi. Partendo dalle definizioni è facile capire quali sono le differenze tra i due concetti:

  • Business Continuity è la strategia più ampia che ha l’obiettivo di assicurare la “sopravvivenza” di tutte le funzioni essenziali dell’organizzazione;
  • Disaster Recovery è la strategia che ha come obiettivo la salvaguardia di funzioni specifiche dell’organizzazione ed è parte di un piano di Business Continuity.

Articolo a cura del Gruppo Cyber Security del Comitato Scientifico di ASSO DPO

Altre news