Cos’è il ransomware, quanto è pericoloso e quanto si sta diffondendo?

Il ransomware è un programma informatico dannoso che può “infettare” un dispositivo digitale (quale ad es. PC, tablet, smartphone, smart TV, ecc). Lo scopo principale di tale programma malevolo è quello di bloccare l’accesso a tutti o ad alcuni dei file presenti nel dispositivo infettato al fine di permettere all’hacker di chiedere un riscatto all’organizzazione attaccata per la liberazione di tali file.

Gli attacchi informatici tramite ransomware sono diffusissimi ed estremamente pericolosi. A tal riguardo, l’Agenzia dell’Unione europea per la cybersicurezza (ENISA), nel suo report annuale “Threat Landscape 2021”, ha precisato che gli attacchi tramite ransomware sono stati valutati come la minaccia primaria in ambito cybersecurity per il periodo 2020/2021.

Cos’è il business Ransomware as a Service (Raas)?

ENISA ha rilevato altresì un aumento del modello di business criminale denominato cd. Ransomware as a Service (RaaS). Questa tipologia di modello di business consiste nell’offerta di servizi in favore di hacker/aspiranti hacker per le attività di crittografia, memorizzazione dei file, pagamento del riscatto, ecc. Questo nuovo business criminale consente dunque anche a criminali informatici inesperti di condurre attacchi ransomware, determinando un aumento del numero degli attacchi.

Come riporta ENISA, infatti, nel corso del 2020, due terzi delle campagne ransomware sono state attribuite a operatori che utilizzano RaaS. 

Con quali modalità avviene l’attacco ransomware?

Come ben precisato dalla scheda informativa in materia di ransomware recentemente pubblicata dal Garante per la protezione dei dati personali (di seguito, “Garante)”, il ransomware può essere installato sul dispositivo oggetto di attacco tramite sofisticate tecnologie (es: controllo da remoto). Nella maggior parte dei casi, tuttavia, l’attacco viene effettuato tramite la trasmissione di comunicazioni via e-mail, sms o sistemi di messaggistica che:

• sembrano apparentemente provenire da soggetti conosciuti e affidabili oppure da persone fidate;

• contengono allegati da aprire oppure link e banner da cliccare collegati a software malevoli.

In altri casi, il ransomware può essere scaricato sul dispositivo quando l’utente clicca link o banner pubblicitari su siti web o social network, naviga su siti web creati ad hoc o “compromessi” da hacker per diventare veicolo del contagio ransomware oppure attraverso il download di software e app.

Come difendersi?

Le misure di contrasto a questa tipologia di attacchi possono essere di tipo tecnico, quale ad es. l’implementazione di strategie di backup, la restrizione all’accesso a noti siti ransomware, il monitoraggio dei sistemi informatici al fine di identificare velocemente eventuali infezioni, la corretta gestione delle credenziali di autenticazione, ecc. Altrettanto importanti sono le misure di sicurezza di tipo organizzativo quale l’organizzazione di momenti di formazione e sensibilizzazione in favore degli utenti; come ricorda il Garante, infatti, la prima forma di difesa contro gli attacchi ransomware è la prudenza. Tali misure, inoltre, dovranno essere correttamente riportate nel registro delle attività di trattamento predisposte dai titolari e dai responsabili del trattamento.

Infine, qualora l’attacco ransomware risulti in una violazione dei dati personali (cd. data breach) il titolare del trattamento deve effettuare la notifica al Garante o ai soggetti interessati nei casi previsti dalla legge. A tal riguardo, si suggerisce di: (i) predisporre e aggiornare policy per la gestione dei data breach al fine di non trovarsi impreparati; (ii) svolgere simulazioni ad hoc al fine di verificare l’effettiva implementazione di tale ipotesi; nonché (iii) predisporre e aggiornare il registro delle violazioni.

https://www.garanteprivacy.it/temi/cybersecurity/ransomware

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021