I miei dati presi in ostaggio
La minaccia cryptolocker (ransomware)
Ivo era contabile alla Teriaschina, una piccola azienda che produceva e distribuiva prodotti tradizionali della val Teriasca. Le fatture erano il suo pane quotidiano! Ne riceveva ogni giorno, di tutti i tipi. Qualche anno prima aveva dovuto persino rimettersi a studiare l’inglese. La qualità dei prodotti Teriaschina aveva stupito un imprenditore americano, tanto che aveva deciso di importarli negli Stati Uniti. La partnership si era via via consolidata e Ivo si era abituato alle e-mail inviate dall’altra parte dell’Atlantico. Ecco perché l’email ricevuta quella mattina non aveva suscitato in lui alcun sospetto. Il mittente pareva essere un’importante banca americana. Era solo un’altra fattura.
Il testo del messaggio era quanto di più banale si potesse immaginare. Ivo lo lesse in diagonale e cliccò automaticamente il pulsante che gli permetteva di aprire l’allegato. Sullo schermo apparve una strana finestra. Non si trattava di un documento finanziario. Aveva uno sfondo rosso, piuttosto inquietante. Si leggeva, in inglese maccheronico:
I file sul vostro computer (foto, video, documenti, ecc.) sono stati appena criptati. Facendo clic sul pulsante «Visualizza file criptati» sarà possibile visualizzare l’elenco. Potete anche verificare voi stessi che non è più possibile aprire i vostri file.
I vostri dati sono stati criptati utilizzando una chiave pubblica unica RSA-2048. È stata creata appositamente per il vostro computer. Ne avete assolutamente bisogno per poter riaprire i vostri file.
Esiste solo una copia di questa chiave privata. Si trova su un server segreto. Ma attenzione! Dopo un certo periodo di tempo, il server la cancella automaticamente e nessuno sarà in grado di recuperare i vostri dati. Il conto alla rovescia a sinistra di questa finestra vi mostra quanto tempo vi resta.
Per recuperare i tuoi file, clicca sul pulsante qui sotto e segui attentamente le istruzioni.
Ivo non riusciva a credere ai suoi occhi. In un primo momento pensò a uno scherzo. Cercò di aprire un documento sulla sua scrivania, ma non ci riuscì. Provò con altri file e risultò impossibile accedervi. Consultò l’elenco proposto dal programma: tutti i documenti relativi ai conti della Teriaschina erano stati messi sotto chiave, bloccati. Preso dal panico, Ivo chiamò immediatamente Gianni, il suo capo. Neanche lui poteva crederci.
I documenti criptati erano estremamente importanti per l’azienda. Per gran parte di essi non esisteva alcuna copia, o meglio, esisteva, ma era stata anch’essa bloccata, perché i backup nella piccola azienda venivano effettuati su un disco collegato al server centrale, montato come una normale cartella in condivisione.
Gianni a quel punto prese il suo computer portatile. La situazione dei file bloccati non cambiava accedendo da un altro dispositivo. Chiamò allora l’azienda che si occupava della manutenzione del sistema informatico utilizzato dalla Teriaschina. Occupato. Nel frattempo, l’orologio del conto alla rovescia continuava a ticchettare, minaccioso.
Gianni cominciava a dare in escandescenze. Dopo diversi tentativi riuscì
finalmente a parlare con una segretaria. Le espose il suo problema, in
maniera un po’ seccata. Lei pareva non capirne molto, ma gli diede il
numero di cellulare del tecnico. «E come mai non l’abbiamo avuto prima
di quel numero?», sbottò Gianni a mo’ di saluto irritato.
Alla fine della chiamata con il tecnico la situazione non era affatto rassicurante. Quello disse di capire perfettamente ma spiegò a Gianni che non c’era assolutamente nulla che potesse fare. «Cosa vuol dire che non può far nulla? Alla fin fine questo è il tuo lavoro, maledizione!», sbottò Gianni.
Il tecnico cercò di spiegare con calma a Gianni che la sua azienda era caduta vittima di un cryptolocker, in particolare del tipo ransomware un software malevolo che cripta i dati e permette (a volte) di recuperarli in cambio di un riscatto. Il tecnico aveva installato un antivirus sulle macchine della Teriaschina, ma i cracker erano furbi e spesso modificavano i loro codici in modo che i loro programmi non venissero rilevati.
Il tempo stava per scadere! Data l’importanza dei file, Gianni decise di pagare. Per sua fortuna e di tutta l’azienda, in quel caso i ricattatori furono di parola. Dopo aver acquistato dei bitcoin seguendo le istruzioni che apparivano via via sullo schermo, li inviarono all’indirizzo del conto in criptomoneta dei ricattatori e, una volta verificata la transazione, i file vennero recuperati. Non era però certo che fosse tutto pulito, chi poteva garantirlo? In azienda giurarono tutti che non ci sarebbero ricascati, ma la domanda rimaneva: come?
Capire
I criptolocker (criptobloccanti) facevano parte della famiglia dei ransomware (ricatto-software). Questo tipo di programma veniva utilizzato per bloccare un computer o uno smartphone per chiedere alla vittima un bel riscatto per ripristinare la funzionalità della macchina.
La formidabile efficacia dei criptobloccanti è che cifravano, o
criptavano (come si diceva fra i non tecnici), i dati. Una volta
completata l’operazione, cioè quasi sempre quando appariva la finestra
con la richiesta di pagamento, era ormai troppo tardi. Non importava
quanto si cercasse di rimuovere il malware, i file sarebbero comunque
rimasti inutilizzabili. Senza la giusta chiave di decrittazione era
semplicemente impossibile recuperarli.
I primi criptobloccanti fecero la loro comparsa alla fine degli anni Ottanta del XX secolo. All’epoca potevano già causare gravi danni, ma erano diffusi solo su dischetti e utilizzavano tecniche di cifratura molto meno avanzate di quelle utilizzate con la diffusione degli algoritmi di crittografia pesante mista (asimmetrica + simmetrica), a partire dalla metà degli anni Novanta.
Vent’anni dopo, nell’era dell’Internet globale e della cifratura asimmetrica di massa, questi programmi si trasmettevano via Rete a grande velocità e i loro effetti devastanti erano di fatto impossibili da combattere, una volta innescata l’operazione di cifratura.
In molti casi, a meno che non aveste un supercomputer degno della NASA, anche l’informatico più esperto non sarebbe stato in grado di fare nulla per voi. Alcune aziende offrivano software che millantavano di risolvere il problema. In alcuni, rari casi, poteva funzionare con alcuni lucchetti software che utilizzavano tecniche di cifratura basiche, ma non c’era da illudersi. Se i vostri dati erano estremamente preziosi, l’unica strada era rassegnarsi a pagare il riscatto.
Ma non finiva qui! Molte persone riferivano che la chiave per decifrare i dati che era stata inviata loro dopo aver pagato il denaro non aveva consentito la decrittazione. Oggi come allora, le truffe non avevano limiti!
E che dire poi delle truffe reiterate, quando i ricattatori si offrivano di effettuare al posto delle loro vittime le operazioni di decifratura? In questo caso le vittime fornivano un accesso remoto di loro spontanea volontà, utile per piazzare delle vere e proprie bombe software a orologeria, pronte a far scattare un nuovo allarme anche a molto tempo di distanza.
Un allegato in una e-mail, un programma scaricato da un sito che vi
prometteva mari e monti (sesso, guadagni facili, ricchi premi e
cotillons), una vulnerabilità del vostro browser non aggiornato e così
via. I distributori di malware avevano una vasta gamma di opzioni a
disposizione per attaccare i vostri dati.
Bisognava pensare prima di cliccare!
Buone pratiche
Sarebbe stata cosa buona e giusta mantenere aggiornati i software e gli antivirus.
Sarebbe stato intelligente effettuare regolarmente copie di backup dei vostri dati su supporti rimovibili o in ogni caso non collegati automaticamente ai dischi originali, visto che i criptobloccanti potevano attaccare tutti i dischi collegati alla macchina infettata e anche i dati sulle risorse cloud remote.
Usare GNU/Linux non era una protezione assoluta, perché in linea teorica era possibile creare criptobloccanti appositamente per questi sistemi; certo però rendeva assai improbabile essere vittime di attacco.
La parola al tecnico
Meglio non installare nulla se non da fonti sicure e mantenere pulito il computer, per evitare virus* e malware*.
La ricezione delle mail è meglio in testo semplice: link sospetti sono più facili da individuare. Disattiva la ricezione di mail in formato HTML.
Se rilevate un criptobloccante in funzione, mentre sta ancora cifrando i vostri dati, spegnete immediatamente la macchina e cercate di recuperare i file non ancora cifrati con una distribuzione di software libero GNU/Linux live cd o live USB.