Ransomware: è lecito valutare il pagamento del riscatto?

Riviera Beach ha deciso di pagare il riscatto agli hacker

Il lungomare di Riviera Beach (Florida).

Il mese scorso ha destato molto interesse la vicenda di Riviera Beach, una cittadina della Florida che, a seguito di un attacco ransomware (il classico clic su un allegato email), ha deciso di assecondare le richieste degli hacker pagando un riscatto da 600.000 $: sebbene tale scelta sia stata presa dopo aver consultato un team d’esperti, l’amministrazione ha dichiarato di aver voluto sbloccare il prima possibile la situazione per riottenere il controllo dei propri sistemi informatici e garantire la continuità operativa di servizi ed infrastrutture essenziali per la comunità, come le stazioni di pompaggio della rete idrica.

In questi casi il mantra ripetuto dagli esperti di sicurezza è noto a tutti ed è quello di non effettuare alcun pagamento, per due semplici motivi: il primo è che il ricattatore non offre alcuna garanzia sullo sblocco dei PC/device colpiti dal ransomware una volta ricevuto l’accredito; il secondo è che ciò potrebbe esporre la vittima ad ulteriori attacchi – l’hacker potrebbe rinegoziare la quota o lanciare un altro attacco sapendo di poter contare su un bersaglio propenso all’esborso finanziario.

In realtà, come rivelano alcuni report pubblicati nel 2019, la linea di confine tra giusto e sbagliato è più sottile di quanto si possa credere. La Forrester Research (FR) ha ad esempio curato una “guida al pagamento dei ransomware” nella quale si valuta l’impensabile opzione di cedere alle richieste dei ricattatori: 

il nostro consiglio è essenzialmente quello di lavorare con qualcuno specializzato nelle violazioni dati [dei ransomware] […]. Le compagnie devono seguire un percorso a tappe per assicurarsi di costruire un rapporto con [l’interlocutore] e verificare che questo sia in grado, e abbia l’intenzione, di decriptare i dati – fornendo essenzialmente prova [delle proprie buone intenzioni]

ha affermato l’analista Josh Zelonis di FR.

Ransomware: valutare è lecito ma “prevenire è meglio che curare”

Tra i tanti comuni colpiti, senza dimenticare grandi compagnie ed altri bersagli sensibili come aziende ospedaliere, c’è stato anche chi ha rifiutato ed optato per una bonifica dei propri sistemi informatici – Atlanta, temendo di subire ulteriori ricatti, ha preferito ad esempio spendere 21 mln di dollari piuttosto che i 50.000 del riscatto. Tutto dipende dalla gravità della situazione e dalle necessità della vittima, sembrano suggerire gli esperti:

non credo che [si possa affermare in modo perentorio di “pagare” o “non pagare” un riscatto]. Se non sei stato in grado di segmentare il tuo network o di ricorrere ai backup o altre soluzioni in grado di far ripartire al più presto la tua compagnia, dovrai affrontarne le conseguenze

ha sottolineato Adam Kujawa di Malwarebytes.

I malware operator hanno infatti affinato le proprie tattiche passando da campagne “casuali” su larga scala ad azioni pianificate e mirate: gli hacker cercano non solo di ostacolare qualsiasi piano B e C dei  bersagli – individuando, ad esempio, il luogo in cui sono archiviati i preziosi backup e procedendo al loro danneggiamento – ma anche di capire quale sia la giusta cifra da “proporgli” – il che prevede un’attenta analisi dei bilanci annuali. Le vittime, una volta messe con le spalle al muro e prive di soluzioni alternative, non potranno fare altro che assecondare i ricattatori.

Per gli irriducibili della linea “zero negoziazioni”, spiegano gli esperti, non è però tutto perduto: il segreto è agire in anticipo focalizzandosi sulla sicurezza, i piani d’emergenza ed ogni misura in grado di ripristinare il prima possibile l’operatività generale (es: salvaguardia dei backup), grazie alle quali sarà possibile ignorare le richieste degli hacker.

Fonti: 1, 2.