Negli ultimi anni, i ransomware, ossia i virus che vengono utilizzati per estorcere soldi alle vittime dopo aver criptato loro i dati e bloccato i computer, sono diventati una preoccupazione crescente per le aziende che operano in qualsiasi settore.
Il loro potenziale distruttivo è enorme: nella prima metà del 2017, si sono verificati due grandi episodi di attacco mondiale, attraverso i ramsomware WannaCry e NotPetya, che hanno causato grossi danni a moltissimi utenti e moltissime organizzazioni dovunque sul pianeta.
Ma malgrado entrambe queste epidemie abbiano causato enormi problemi per coloro i quali hanno subito l’infezione, hanno sorprendentemente portato ben pochi introiti ai loro creatori.
Infatti, l’indirizzo di pagamento Bitcoin di WannaCry, in cui veniva chiesto di versare il “riscatto”, ha raggiunto solo $ 149.545, mentre l’indirizzo di NotPetya ha ottenuto molto meno: $ 11.181.
Il problema che i criminali affrontano, afferma Marcin Kleczynski, direttore generale della società di sicurezza informatica Malwarebytes, è che “le persone sono diventate ormai insensibili ai comuni ransomware che crittografano i file”. I criminali che diffondono questi virus sperano che le persone soffrano per la perdita dei loro ricordi digitali o per la perdita di documenti aziendali critici, e conseguentemente paghino qualche centinaio di dollari per ottenere la chiave per decrittografarli. Nella pratica, invece, dice Kleczynski, un numero crescente di vittime semplicemente scrolla le spalle e ripristina i dati da un backup.
Kleczynski e il suo collega Adam Kujawa, che dirige la ricerca a Malwarebytes, prevedono dunque che i criminali studieranno nuovi modi per spronare le vittime a pagare piuttosto che semplicemente ripristinare i backup ed ignorare la richiesta di pagamento.
Ed ecco infatti comparire sulla scena una forma di ransomware noto come “doxware”.”Fondamentalmente”, dice Kujawa, “un doxware ti pone questo aut-aut: paga, o prenderemo tutte le cose che abbiamo crittografato e le metteremo on-line con il tuo nome”.
Il nome deriva dal “doxing”, il termine usato per descrivere la pubblicazione di informazioni private su internet per ingannare, minacciare o intimidire qualcuno; e l’idea di automatizzare tale pubblicazione non è certo solo una ipotesi teorica. E, con queste condizioni e queste minacce, è difficile non pagare il riscatto.
Si sono già presentati esempi di doxware “mirato”, ed alcuni di essi hanno ottenuto gli onori delle cronache.
Nel 2014, Sony Pictures ha subito un attacco combinato di e-mail di phishing e di malware, in seguito al quale i criminali sono venuti in possesso di file registrati che si riferivano alle conversazioni private tra i principali dirigenti della società. Nelle registrazioni, i dirigenti esprimevano le proprie opinioni sui dipendenti, sugli attori, sui concorrenti e, soprattutto, parlavano dei loro piani per le future produzioni cinematografiche. Non è noto se i criminali abbiano ottenuto un riscatto, ma il fatto è che le conversazioni in questione sono diventate dominio pubblico, creando non pochi problemi al gigante dell’intrattenimento.
A maggio, gli hacker hanno rubato i file da una clinica di chirurgia plastica lituana, contenente informazioni personali di circa 25.000 ex clienti: nomi, indirizzi e procedure eseguite, nonché scansioni passaporti, numeri nazionali di assicurazione e foto nude dei pazienti. Hanno messo il database online attraverso la rete criptata Tor e hanno chiesto pagamenti ai singoli pazienti per rimuovere le loro informazioni personali dal sito. I prezzi variavano da € 50 per quei pazienti che avevano solo nomi e indirizzi nel sito, fino a € 2.000 per le informazioni più invasive.
Ed inoltre pochi giorni fa la HBO ha dovuto fronteggiare una analoga situazione, con 1,5 TB di video rubati dagli hacker – inclusi episodi di Game of Thrones – e detenuti a riscatto, con la minaccia di pubblicazione.
Finchè il doxware viene “puntato a mano” su alcune, precise e ben individuate, vittime, il rischio rimane, in qualche modo, circoscritto. Ma un doxware che fosse in grado di colpire con la stessa pericolosità di WannaCry rappresenterebbe una delle più grandi violazioni della privacy nella storia, nonchè una delle maggiori opportunità di guadagno di denaro mai raggiunte attraverso la criminalità informatica.
Il rischio, però, non è solo questo. Infatti, i doxware rappresentano solo uno dei vari, possibili futuri per l’evoluzione dei ransomware.
“Immaginate di essere in grado di infettare, ad esempio, il sistema nazionale di biglietteria ferroviaria” spiega Kleczynski. “Un cosiddetto attacco di denial of service bloccherebbe completamente il servizio e, finché andasse avanti, rappresenterebbe un danno di milioni di dollari al giorno. Non stai tenendo i file in ostaggio, stai tenendo in ostaggio un servizio pubblico su scala nazionale. Non c’è nessuna possibilità di ripristino dal backup.”
E cosa succederebbe se venissero infettate le automobili? “Un ransomware sulle nostre auto è sicuramente possibile”, ha detto Craig Smith, direttore di ricerca del trasporto di Rapid7, azienda che si occupa di cybersecurity. “Chi si prenderebbe il rischio di guidare un veicolo compromesso?”
Forse questi scenari non sono poi così fantascientifici, e non sono neanche i peggiori. A dicembre, un’indagine su 10 defibrillatori cardiaci impiantabili ha trovato “gravi debolezze di protocollo ed implementazione”, che permetterebbero ad un malintenzionato di ingannare il dispositivo per mantenere i suoi canali di comunicazione aperti e consentire intrusioni. Sarà quindi possibile tenere in ostaggio un cuore? Ancora non è mai successo, ma nel dubbio non crediamo che nessuno voglia provare a ripristinarlo da un backup…
di Giovanni Calcerano