Data protection

Attacco Ransomware – misure di mitigazione e obblighi in capo al Titolare del trattamento.

Cos’e’ il ransomware?

Il ransomware[1] è un programma informatico dannoso (“malevolo”) che può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto (in inglese, “ransom”) da pagare per “liberarli”.

La richiesta di pagamento, con le relative istruzioni, compare di solito in una finestra che si apre automaticamente sullo schermo del dispositivo infettato. All’utente viene minacciosamente comunicato che ha poche ore o pochi giorni per effettuare il versamento del riscatto, altrimenti il blocco dei contenuti diventerà definitivo.

Ci sono due tipi principali di ransomware[2]:

• i cryptor (che criptano i file contenuti nel dispositivo rendendoli inaccessibili);

• i blocker (che bloccano l’accesso al dispositivo infettato).

2. Come si diffonde?

Anche se in alcuni casi (non molto frequenti) il ransomware può essere installato sul dispositivo tramite sofisticate forme di attacco informatico (es: controllo da remoto), questo tipo di software malevoli si diffonde soprattutto attraverso comunicazioni ricevute via e-mail, sms o sistemi di messaggistica che:

• sembrano apparentemente provenire da soggetti conosciuti e affidabili (ad esempio, corrieri espressi, gestori di servizi, operatori telefonici, pubbliche amministrazioni, ecc.), oppure da persone fidate (colleghi di lavoro, conoscenti);

• contengono allegati da aprire (spesso “con urgenza”), oppure link e banner da cliccare (per verificare informazioni o ricevere importanti avvisi), ovviamente collegati a software malevoli.

In altri casi, il ransomware può essere scaricato sul dispositivo quando l’utente:

• clicca link o banner pubblicitari su siti web (un canale molto usato è rappresentato dai siti per adulti) o social network;

• naviga su siti web creati ad hoc o “compromessi” da hacker per diventare veicolo del contagio ransomware.

Il ransomware può essere diffuso da malintenzionati anche attraverso software e app (giochi, utilità per il PC, persino falsi anti-virus), offerti gratuitamente per invogliare gli utenti al download e infettare così i loro dispositivi.

È bene ricordare che ogni dispositivo “infettato” ne può “contagiare” altri. Il ransomware può diffondersi sfruttando, ad esempio, le sincronizzazioni tra dispositivi, i sistemi di condivisione in cloud, oppure può impossessarsi della rubrica dei contatti e utilizzarla per spedire automaticamente ad altre persone messaggi contenenti link e allegati che diventano veicolo del ransomware.

3. Come difendersi?

La prima e più importante forma di difesa è la prudenza. Occorre evitare di aprire messaggi provenienti da soggetti sconosciuti o con i quali non si hanno rapporti (ad es. un operatore telefonico di cui non si è cliente, un corriere espresso da cui non si aspettano consegne, ecc.) e, in ogni caso, se si hanno dubbi, non si deve cliccare su link o banner sospetti e non si devono aprire allegati di cui si ignora il contenuto.

Anche se i messaggi provengono da soggetti a noi noti, è comunque bene adottare alcune piccole accortezze. Ad esempio:

– non aprire mai allegati con estensioni “strane” (ad esempio, allegati con estensione “.exe” sono a rischio, perché potrebbero installare applicazioni di qualche tipo nel dispositivo);

– non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento);

– scaricare preferibilmente app e programmi da market ufficiali, i cui gestori effettuano controlli sui prodotti e dove è eventualmente possibile leggere i commenti di altri utenti che contengono avvisi sui potenziali rischi;

– se si usa un pc, si può passare la freccia del mouse su eventuali link o banner pubblicitari ricevuti via e-mail o presenti su siti web senza aprirli (così, in basso nella finestra del browser, si può vedere l’anteprima del link da aprire e verificare se corrisponde al link che si vede scritto nel messaggio: in caso non corrispondano, c’è ovviamente un rischio).

E’ inoltre utile:

• installare su tutti i dispositivi un antivirus con estensioni anti-malware;

• mantenere costantemente aggiornati il sistema operativo oltre che i software e le app che vengono utilizzati più spesso;

• utilizzare dei sistemi di backup che salvino (anche in maniera automatica) una copia dei dati (sono disponibili soluzioni anche libere e gratuite per tutti i sistemi operativi). Con un corretto backup, in caso di necessità, si potranno così ripristinare i dati contenuti nel dispositivo, quantomeno fino all’ultimo salvataggio.

4. Come liberarsi dal ransomware?

Pagare il riscatto è solo apparentemente la soluzione più facile. Oltre al danno economico, si corre infatti il rischio di non ricevere i codici di sblocco, o addirittura di finire in “liste di pagatori” potenzialmente soggetti a periodici attacchi ransomware.

La soluzione consigliata è quella di rivolgersi a tecnici specializzati capaci di sbloccare il dispositivo.

Un’alternativa efficace è quella di formattare il dispositivo: ma in questo caso, oltre ad eliminare il malware, si perdono tutti i dati in esso contenuti. Per questo è fondamentale (come suggerito) effettuare backup periodici dei contenuti (che è sempre una buona prassi) in modo da non perderli in caso di incidenti (es: danneggiamento del dispositivo, ecc.) o attacchi informatici che necessitano di interventi di ripristino.

E’ sempre consigliabile segnalare o denunciare l’attacco ransomware alla Polizia postale (https://www.commissariatodips.it), anche per aiutare a prevenire ulteriori illeciti.

È possibile, inoltre, rivolgersi al Garante nel caso si voglia segnalare una eventuale violazione in materia di dati personali (furto di identità, sottrazione di dati personali, furto di contenuti, ecc.), seguendo le indicazioni della pagina https://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali.

Letto l’art. 32 Sicurezza del trattamento (C83) GDPR che recita:

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate

per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Si forniscono indicazioni relative alle misure di mitigazione e agli obblighi in capo al titolare del trattamento al fine di prevenire attacchi Ransomware; l’elenco sotto riportato non ha il carattere della esaustività né, tanto meno, della tassatività, ma ha l’obiettivo di fornire suggerimenti di prevenzione e possibili soluzioni da tenere presenti in fase di predisposizione del Piano strategico aziendale in materia di cybersicurezza.

Premesso che:

la probabilità che un attacco ransomware abbia successo può essere drasticamente ridotta rafforzando la sicurezza dei dati mediante il controllo del contesto. La maggior parte delle violazioni (riservatezza, integrità e disponibilità dei dati) può essere evitata garantendo l’adozione di adeguate misure di sicurezza intervenendo su tre ambiti: organizzative, fisiche e tecnologiche.

Si consigliano le seguenti misure:

  1. Mantenere aggiornato il firmware (è un programma, ovvero una sequenza di istruzioni, integrato direttamente in un componente elettronico programmato), il sistema operativo e il software applicativo sui server, sui client, sui componenti attivi di rete e su ogni altra macchina presente sulla stessa LAN (Local Area Network collega nodi relativamente vicini, nell’ambito tipicamente di uno stesso edificio o comunque a una distanza massima di un chilometro, compresi i dispositivi Wi-Fi. Garantire l’esistenza di adeguate misure di sicurezza informatica, accertarne l’efficacia e mantenerle regolarmente aggiornate quando il trattamento o le circostanze cambiano o evolvono. Ciò comprende la conservazione di log dettagliati dei patch applicati e della rispettiva marcatura temporale. A tale proposito giova rilevare che, se l’attacco è più sofisticato, il malware è in grado di modificare i file di log e rimuovere le tracce. Pertanto, i log vanno trasmessi o replicati a un server centrale. Limitare l’uso di dispositivi esterni a quelli necessari per le attività aziendali rientra tra le misure minime di sicurezza ICT per le P.A., adottate da AGID, quindi si tratta di misure obbligatorie che la Azienda/Ente deve implementare, dovendo, altresì, essere in grado di fornirne evidenza. Cfr:
  2. Progettazione e organizzazione di sistemi e infrastrutture di trattamento in modo da segmentare o isolare sistemi e reti di dati per evitare la propagazione di software malevolo all’interno dell’organizzazione e verso sistemi esterni. La installazione su tutti i sistemi connessi alla LAN di strumenti atti a rilevare la presenza e bloccare l’esecuzione di malware (antivirus locali) rientra tra le misure minime di sicurezza ICT per le P.A., adottate da AGID, quindi si tratta di misure obbligatorie che la Azienda/Entedeve implementare, dovendo, altresì, essere in grado di fornirne evidenza.
  3. Esistenza di una procedura di backup aggiornata, sicura e testata. I mezzi di supporto per il back-up a medio e lungo termine dovrebbero essere tenuti separati dalla conservazione dei dati operativi e fuori dalla portata di soggetti terzi anche in caso di attacco riuscito (per esempio, un backup incrementale giornaliero e un backup settimanale completo). Le procedure di backup dovrebbero essere strutturate, coerenti e ripetibili. Esempi di procedure di backup sono il metodo 3-2-1 (occorre conservare le copie su due supporti diversi e almeno una copia deve essere “lontana”, per mettere i propri dati al sicuro, ad esempio, in caso di incendio/allagamento, ecc. nell’edificio in cui si trovano le altre copie.) e il metodo grandfather-father-son (Consiste in un backup “nonno” (Grandfather) che viene eseguito una volta al mese, il componente “padre” (Father) è un backup completo una volta alla settimana e il backup “figlio” (Son) è un backup incrementale giornaliero). Qualsiasi metodo che il Titolare del trattamento vorrà adottare dovrà sempre essere testato per verificarne l’efficacia in termini di copertura nonché in sede di ripristino dei dati. I test dovrebbero inoltre essere ripetuti a intervalli regolari, in particolare quando intervengono cambiamenti nel trattamento o nelle sue circostanze, al fine di garantire l’integrità del sistema.
  4. Disporre di/procurarsi un software antimalware adeguato, aggiornato, efficace e integrato.
  5. Disporre di un firewall e sistemi per il rilevamento e la prevenzione delle intrusioni adeguati, aggiornati, efficaci e integrati. Instradare il traffico di rete attraverso il firewall/il sistema rilevamento intrusioni, anche in caso di lavoro agile o in mobilità (ad esempio utilizzando connessioni VPN dotate di meccanismi organizzativi di sicurezza per l’accesso a Internet). La installazione su tutti i dispositivi di firewall ed IPS personali (sistema di prevenzione delle intrusioni o intrusion prevention system sono dei componenti software attivi sviluppati per incrementare la sicurezza informatica di un sistema informatico, individuando, registrando le informazioni relative e tentando di segnalare e bloccare le attività dannose) rientra tra le misure minime di sicurezza ICT per le P.A., adottate da AGID, quindi si tratta di misure obbligatorie che la Azienda/Ente deve implementare, dovendo, altresì, essere in grado di fornirne evidenza.
  6. Formazione dei dipendenti sui metodi di riconoscimento e prevenzione degli attacchi informatici. Il titolare del trattamento dovrebbe fornire gli strumenti per stabilire se le e-mail e i messaggi ottenuti con altri mezzi di comunicazione siano autentici e affidabili. I dipendenti dovrebbero essere formati per riconoscere quando si verifica un attacco del genere, sapere come rimuovere dalla rete l’endpoint.
  7. Sottolineare la necessità di individuare il tipo di codice malevolo per comprendere le conseguenze dell’attacco ed essere in grado di individuare le misure giuste per attenuare il rischio. Nel caso in cui un attacco ransomware abbia avuto successo e non sia disponibile alcun back-up, per recuperare i dati possono essere utilizzati strumenti come quelli del progetto “no more ransom” (nomoreransom.org). No More Ransom è il primo partenariato pubblico-privato nel suo genere che aiuta le vittime di richieste ransomware a recuperare i loro dati crittografati senza dover pagare l’importo del riscatto ai criminali informatici.[3] 
  8. Inoltrare o replicare tutti i log a un server centrale, compresa eventualmente la marcatura temporale crittografica o la firma delle registrazioni dei log.
  9. Cifratura robusta e autenticazione a più fattori, in particolare per l’accesso amministrativo ai sistemi informatici, adeguata gestione delle chiavi e delle password.
  10. Test di vulnerabilità e di penetrazione a cadenze regolari.
  11. Istituire un gruppo di risposta agli incidenti di sicurezza (CSIRT) o un gruppo di risposta alle emergenze
    informatiche     (CERT) all’interno dell’organizzazione o aderire a un CSIRT/CERT collettivo. Creare un piano
    di risposta agli incidenti    , un piano di disaster recovery (ripristino in caso di evento catastrofico) e un piano
    di continuità operativa     e assicurarsi che tali piani siano testati in modo approfondito.
  12. Nel valutare le contromisure, si dovrebbe riesaminare, testare e aggiornare l’analisi dei rischi.

[1] Link: https://www.garanteprivacy.it/temi/cybersecurity/ransomware

[2]Dal sito IBM si legge che: questi due tipi generali rientrano nelle seguenti categorie secondarie:

Leakware o doxware

Il leakware o doxware è un ransomware che ruba o esfiltra dati sensibili e minaccia di divulgarli. Mentre le forme precedenti di leakware o doxware spesso rubavano dati senza crittografarli, le varianti odierne di solito fanno entrambe le cose.

Ransomware per dispositivi mobili

I ransomware per dispositivi mobili includono tutti i ransomware che influiscono sui dispositivi mobili. Distribuiti tramite applicazioni dannose o download drive-by, la maggior parte dei ransomware per dispositivi mobili sono di tipo non crittografico. Gli hacker preferiscono gli screen locker per gli attacchi a dispositivi mobili perché i backup automatici dei dati sul cloud, presenti di default su molti dispositivi mobili, facilitano l’inversione degli attacchi di crittografia.

Wiper

I wiper, o ransomware distruttivi, minacciano di distruggere i dati se la vittima non paga il riscatto. In alcuni casi, il ransomware distrugge i dati anche se la vittima paga. Quest’ultimo tipo di wiper è spesso utilizzato da attori o hacker attivisti che operano a livello di nazione o stato piuttosto che da criminali informatici comuni. 

Scareware

Lo scareware, come dice il suo nome, è un ransomware che cerca di spaventare gli utenti inducendoli a pagare un riscatto. Lo scareware potrebbe presentarsi come un messaggio inviato da un’agenzia delle forze dell’ordine che accusa la vittima di un crimine e richiede il pagamento di una multa. In alternativa, potrebbe falsificare un avviso legittimo di infezione da virus, incoraggiando la vittima ad acquistare un ransomware mascherato da software antivirus. 

A volte, lo scareware è il ransomware, che cripta i dati o blocca il dispositivo. In altri casi, è il vettore del ransomware, che non cripta nulla ma costringe la vittima a scaricare il ransomware. 

[3] Per fare ciò, basta visitare il sito Web http://www.nomoreransom.org  e seguire i passaggi di Crypto Sheriff per aiutare a identificare la varietà di ransomware che colpisce un dispositivo. Se è disponibile una soluzione, verrà fornito un collegamento per scaricare gratuitamente il tool di decodifica. Tuttavia, nel caso in cui sia disponibile un backup sicuro, è consigliabile ripristinare i dati attraverso il backup.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Il registro dei rischi
cifratura dei dati

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

oblio oncologico
Il Diritto all’oblio oncologico e le ricadute sui contratti di lavoro.
19 Giugno 2024
ChatGPT
Il Garante infligge una multa da 15 milioni di euro ad OpenAI per violazione della privacy di ChatGPT
1 Febbraio 2025
attacco ransomware
Misure di sicurezza inadeguate: il Garante sanziona una Asl. La struttura sanitaria aveva subito un attacco ransomware.
13 Maggio 2024

Start typing and press Enter to search