laR+ italia

Dalla Svizzera a Roma, nella trappola dei riscatti web

Tramite "ransomware", malintenzionati entrano in siti pubblici e privati e rubano dati

Anche il sito svizzero Comparis è stato costretto a pagare un riscatto agli hacker (Keystone)

L’indebita cifratura delle informazioni degli archivi elettronici della Regione Lazio ha bloccato i sistemi e mandato in tilt i servizi normalmente erogati dall’ente pubblico cui, in Italia, compete il regolare funzionamento delle attività sanitarie.

Dopo due giorni di blocco, i dirigenti del Centro Elaborazione Dati che è stato bersaglio del famigerato attacco provano a rassicurare i cittadini e fanno dire ai politici che la situazione tornerà sotto controllo.

Nel caso di Roma, a quanto pare, non c’è stato soltanto lo stravolgimento dei dati per una indesiderata procedura crittografica, ma probabilmente i pirati informatici sono riusciti a prendere illegalmente il controllo di macchine e procedure.

Immaginate un pazzo che sale sulla vostra automobile, vi sbalza dal sedile di guida, mette le sue mani sul volante, preme il piede sull’acceleratore e comincia a sbattere il veicolo contro ostacoli o altre vetture in sosta. Probabilmente questo è lo scenario della Regione Lazio, dove il “ransomware” è solo una porzione dell’aggressione digitale. L’interesse a non alimentare le preoccupazioni di chi vede traballare la riservatezza dei propri dati sanitari porta a sottolineare solo l’aspetto legato al sempre più diffuso fenomeno dei malware mirati a ottenere il pagamento di una somma in bitcoin (o in altra criptovaluta) per ottenere gli strumenti necessari a ripristinare le condizioni di normalità.

Ma qualcuno può sperare di ottenere denaro da un ente che quasi tradizionalmente è in deficit e che è vincolato da procedure burocratiche che non lasciano spazi di autonomia amministrativa?

Meccanismo perfetto

Il “ransomware” è un’arma micidiale per colpire e ricattare operatori privati, che rapidamente e senza troppi scrupoli possono mettere mano al portafogli e versare quanto richiesto senza gli impedimenti classici della contabilità pubblica.

Ma di che razza di attacco stiamo parlando? Come funziona?

Nella vasta gamma dei virus tecnologici, il “ransomware” si distingue per la sua finalità estorsiva e nella sua estrema attualità: è la minaccia maggiormente di moda e in Rete si sono palesate organizzazioni specializzate in questa tipologia di assalto, pronte ad agire nei confronti di qualsiasi target, disposte a lavorare “conto terzi”, in grado di fornire un “mercenariato” per governi e corporation.

Tutto comincia con il massiccio inoltro di messaggi di posta elettronica indirizzati al maggior numero di appartenenti all’organizzazione presa di mira. La mail contiene un allegato “venefico” o il link a un indirizzo web che contiene la trappola: chi spedisce spera che almeno uno dei destinatari apra la comunicazione e faccia clic su quanto viene inviato.

Facile essere ingannati

È facile cadere nell’inganno, più facile di quanto si possa immaginare. Provate a pensare l’effetto di una mail intitolata “Procedimento disciplinare”, il cui testo – estremamente laconico – si limita a dire che “la informiamo che può trovare qui la documentazione per l’istruttoria che la riguarda e le indicazioni per presentare un eventuale ricorso contro il provvedimento prossimo a essere adottato nei suoi confronti”. Chi resisterebbe alla tentazione di vedere cosa c’è nel file allegato o nella pagina di cui viene presentato il link?

Il fatidico clic del mouse equivale alla pressione del grilletto di una pistola puntata alla tempia: il “suicidio” dell’utente va in realtà a uccidere il sistema informatico dell’azienda o del Ministero.

Le istruzioni maligne che vengono attivate fanno scattare una serie di operazioni ormai consolidate. Il ransomware cripta tutto il contenuto del disco fisso del malcapitato, ma non si accontenta certo di quella preda. Verifica se ci sono pendrive o dischi esterni collegati e li “cucina” nella medesima maniera. Poi controlla se lo sventurato utente è collegato a unità di memorizzazione raggiungibili attraverso la rete locale e, una volta rintracciate, procede a crittografarne il contenuto. Mica è finita. Il passaggio successivo è raggiungere i sistemi centrali e, non bastasse, le risorse in “cloud”.

Rischi enormi

Enormi patrimoni informativi vengono dilaniati dal ransomware e chi doveva assicurarne la continuità di esercizio si trova costretto ad accettare le condizioni dettate da chi ha preso in ostaggio le informazioni. La mancanza di copie di salvataggio o l’assenza di una loro versione ragionevolmente aggiornata comporta uno svantaggio incolmabile. I manager aziendali (ne sanno qualcosa quelli di Comparis, costretti infine a pagare un riscatto) prendono atto della necessità di passare sotto le forche caudine piazzate dai criminali.

I banditi promettono di fornire le “chiavi” per sbloccare i file resi inutilizzabili, ma non sempre rispettano i patti. Chi paga, quindi, non ha la certezza di ricevere quel che serve per resuscitare i database e per riportare in vita i servizi che poggiano sulla disponibilità di dati e notizie.

Il versamento del riscatto si traduce in una manovra pressoché disperata, ma in alcuni casi si prospetta davvero come l’ultima chance.

Purtroppo questo sistema delinquenziale a volte miete vittime anche tra le persone “normali”, ovvero soggetti che finiscono quasi per sbaglio nella pesca a strascico che i malfattori praticano con disinvoltura. La precauzione basilare è quella di frenare l’istinto di soddisfare la curiosità. Se arriva qualche messaggio strano è meglio lasciarlo “decantare” e aspettare un eventuale sollecito. Nel frattempo un buon antivirus può vaccinare il nostro computer e magari limitare i danni.

Resta connesso con la tua comunità leggendo laRegione: ora siamo anche su Whatsapp! Clicca qui e ricorda di attivare le notifiche 🔔
POTREBBE INTERESSARTI ANCHE