Fatturazione elettronica

Tempo di lettura:

Tempo di lettura:

In aumento i virus ransomware con richiesta di pagamento del riscatto in bitcoin

Sono in forte aumento i virus ransomware in grado di criptare i file dei computer, per poi chiedere il pagamento del riscatto in bitcoin a fronte del rilascio della chiave per decriptare i dati. In questo articolo andremo a capire cosa sono i virus ransomware, come difenderci e cosa fare in caso di infezione. 
I virus “ransomware” esistono da parecchi anni e la loro caratteristica è quella di criptare i file della vittima rendendoli in questo modo inutilizzabili, dopodichè chiedere il pagamento di un riscatto (ransom), riscatto che solitamente viene richiesto in bitcoin, a fronte del rilascio della  chiave che consente lo sblocco dei file oggetto di attacco.
Appena eseguita l’infezione dal virus, la vittima vede sullo screen un semplice messaggio, tipicamente su sfondo rosso che copre l’intero schermo, e che solitamente contiene almeno i seguenti tre principali punti:
• l’indicazione che si tratta di un “cryptolocker”, cioè di un virus che ha criptato i file e  ciò che potrebbe comparire è  “Your personal file are encrypted!
• l’indicazione che i file sono stati criptati tramite una chiave pubblica (e.g. algoritmo RSA) e se si intende sbloccare i file è necessario pagare un riscatto: “To optain the private key for this computer, which will automatically decrypt file, you need to pay … bitcoin”;
• l’indicazione che il pagamento del riscatto deve avvenire entro un prestabilito termine, dopodichè la chiave privata necessaria a decriptare i file verrà eliminata: ”Private key will be destroyed on….Time left…
Va subito rilevato che i virus “ransomware” quasi mai si attivano senza la complicità, pur se inconsapevole, della vittima, la quale tramite una semplice apertura di file compressi (e.g. zip) o cliccando su particolari link, in realtà attiva il virus che poi provvede a crittografare file, cartelle, email, foto, etc.
In questi ultimi periodi sono particolarmente frequenti le email che arrivano e che hanno come falso mittente la “Procura della Repubblica presso Tribunale” ove viene notificato un avviso di un procedimento penale a carico del destinatario per dei reati commessi, oppure che arrivano da corrieri quali “SDA” oppure “Poste Italiane” ed aventi come oggetto un avviso di giacenza di un pacco,  oppure email da fantomatici “studi legali” per comunicazioni riguardati importanti cause.
In tutti questi casi è necessario NON APRIRE I FILE ALLEGATI, NON CLICCARE SUL LINK,  E CESTINARE SUBITO LA EMAIL.
Secondo una recente ricerca condotta della società PhishMe, circa il 93% delle phishing email contengono dei “locked ransomware”, e questo perchè, diversamente da altri tipi di attacchi informatici quali i furti dei numeri delle carte di credito, sono molto più redditizi dato che la vittima è più disposta a pagare perché il danno è immediato in quanto le attività operative dell’organizzazione attaccata sono bloccate dall’inutilizzabilità dei file.
Anche se vi è una ritrosia a dichiarare di essere stati vittima di un attacco da virus “ransomware”, sono tanti i casi di importanti aziende, pubbliche amministrazioni, studi professionali, istituti pubblici, oppure università, che per aver aperto un semplice file .zip si sono trovati migliaia di file criptati, come per esempio la University of Calgary che ha dichiarato di aver pagato $ 20.000  in bitcoin, dopo che aver constato l’impossibilità a ristabilire la normale consultazione dei file oggetto di un attacco “ransomware” su oltre 100 computer.
Un altro dei tanti casi è l’Hollywood  Presbyterian Medical Center, che dopo aver constatato che molte cartelle cliniche ed altri dati sensibili dei pazienti erano criptati, ed aver sospeso per diversi giorni l’operatività di un ospedale di oltre 400 posti letto, ha constatato l’impossibilità a ristabilire i file corrotti e deciso di pagare il riscatto di $ 17.000 per avere la chiave di sblocco.
Un primo aspetto che va subito chiarito, è che l’impiego della criptovaluta bitcoin per pagare il riscatto, non è dovuto alla circostanza che è una forma di pagamento anonima, perché in realtà non lo è (sono molto più anonime le carte di credito), dato che è infatti possibile risalire al beneficiario del pagamento tramite apposite attività investigative che partono dagli exchanger (operatori che convertono moneta corrente in bitcoin, e viceversa). Il motivo invece per cui viene richiesto il pagamento in bitcoin, è per la sua velocità di esecuzione (bastano 10 minuti) e semplicità nel verificare l’avvenuto pagamento (basta accedere alla blockchain che è pubblica), ed in questo modo incentivare ulteriormente la vittima a pagare il riscatto e ridurre al minimo il danno subito.
Con riguardo a bitcoin, va poi detto che è una criptovaluta ormai accettata da molte importanti società, tra cui Microsoft, Dell, Expedia, PayPal, ed i tempi in cui si associava bitcoin al malaffare sono certamente lontani (e.g. Silk Road, il marketplace di vendita online di sostanze stupefacenti chiuso dall’ FBI nell’Ottobre del 2013). L’acquisto di bitcoin si svolge poi tramite gli exchanger, e ad oggi i due principali  exchanger operanti anche in Europa sono Coinbase,  ( www.coinbase.com )  e Bitstamp  (www.bitstamp.net ).
La scelta di molte vittime di pagare il riscatto a seguito di attacchi di virus “ransomware”, è perché ritengono sia la “soluzione più efficiente e veloce per ristabilire le informazioni e quindi l’operatività aziendale”, ma in realtà è una scelta da evitare e da sconsigliare, dato che va a finanziare ulteriormente l’attività delle bande criminali, consentendo loro di affinare sempre più le loro attività criminose, e comunque in non pochi casi pur avendo pagato il riscatto la chiave privata non funzionava!
Quello che è invece consigliabile fare, è prevenire l’esposizione a tali rischi impiegando validi ed aggiornati antivirus, adottando costanti e robuste soluzioni di salvataggio e di backup dei dati, ed informare i dipendenti ed i collaboratori sugli eventuali rischi ed indicando loro il corretto comportamento da seguire.
Purtroppo però ancora in tanti continuano ad essere vittime dei virus “ransomware”, ed in questi casi quello che bisogna fare sin da subito è DENUNCIARE l’accaduto alla Polizia Postale e delle Comunicazioni, tramite apposito servizio online denominato “Denuncia via web di reati telematici” accessibile dal loro sito web www.commissariatodips.it oppure telefonando a uno dei tanti recapiti telefonici regionali nell’area “Contatti” sempre del sito www.commissariatodips.it
 
A cura di Umberto Zanini, Dottore Commercialista e Revisore Legale

Link iscrizione multi rubrica