A volte, leggendo un articolo su cosa fare in caso di un attacco ransomware, mi imbatto in questo consiglio: “Considerate l’opzione di pagare il riscatto”. Nel momento in cui lo leggo, faccio un respiro profondo, poi sospiro contrariato… e chiudo la scheda del browser. Perché? Non si dovrebbe mai pagare il riscatto richiesto dagli estorsori! E non solo perché significherebbe sostenere un’attività criminale. Chiaramente ci sono altri motivi, lasciatemi spiegare quali.
Primo punto: state promuovendo il malware
Criminali informatici, malintenzionati, estorsori, gruppi di cybercriminali… sono tutte pessime persone e, se pagate il riscatto, offrirete loro dei soldi per continuare a fare ciò che meglio sanno fare, cioè rovinare la vita di persone innocenti. Si crea un vero e proprio circolo vizioso: loro cifrano i vostri dati, voi pagate, loro cifrano altre informazioni e così via.
Fondamentalmente, ci sono due modi per dissuadere gli estorsori da questa loro cattiva abitudine: possono essere catturati (cosa a cui assistiamo periodicamente) o si può fare in modo che la loro attività non sia più redditizia, il che li costringerebbe a trovare un impiego rispettabile. Forse non sanno che i programmatori guadagnano un bello stipendio.
Cosa si può fare per rendere la loro attività poco o affatto redditizia? Se solo le vittime smettessero di pagare… “Va bene”, già vi sento obiettare, “anche noi vogliamo la pace nel mondo, uguaglianza e giustizia per tutti, ma i nostri dati sono appena stati cifrati e l’azienda potrebbe andare in rovina se non li recuperiamo”. Anche in questo caso, non pagate! Ma proseguiamo.
Secondo punto: potreste non riavere indietro i vostri dati
Gli accordi con i criminali informatici non sono scritti sulla pietra, non c’è nulla di firmato o vincolante. Ma anche se così fosse, da quando i criminali rispettano le convenzioni legali? Quindi, il fatto che voi paghiate non significa necessariamente che i vostri file saranno decifrati.
Vi ricordate di ExPetr/NotPetya? Poiché l’ID utente unico era stato generato in modo completamente casuale, era semplicemente impossibile decifrare i file, gli stessi criminali informatici non potevano farlo, quindi tutti i soldi del mondo non sarebbero serviti. Il caso di ExPetr/NotPetya non è certo isolato. Non è raro che i criminali informatici facciano errori di programmazione. E mentre a volte tali errori permettono di creare un decryptor, altre volte, invece, impediscono persino agli stessi ideatori di svilupparne uno.
C’è stato un caso recente in cui un esperto di sicurezza informatica ha chiesto pubblicamente a un gruppo di criminali informatici di correggere un bug nel ransomware per impedire che i file colpiti fossero danneggiati irrimediabilmente. Non so se ridere o piangere! Quindi, per riassumere: se decidete di pagare non c’è nessuna garanzia che riavrete i vostri file, mai.
Terzo punto: potrebbero estorcervi altri soldi
È già successo, e anche molte volte. Un esempio: alcuni cybercriminali hanno attaccato un’azienda che ha pagato ben 6,5 milioni di dollari per riavere indietro i suoi dati. Due settimane dopo gli stessi criminali informatici (con gli stessi metodi) sono tornati alla carica, richiedendo un altro riscatto.
Il vero problema in questo esempio è che in due settimane l’azienda non è stata in grado di risolvere la vulnerabilità che ha permesso ai cybercriminali di infiltrarsi la prima volta. I truffatori che hanno avuto fortuna una volta possono riprovarci, semplicemente perché lo possono fare: probabilmente avranno ancora i vostri dati (potrebbero averli cancellati, o forse no).
L’unica via d’uscita è non pagare affatto, nemmeno una volta. Se lo fate, potreste ricevere una seconda, poi una terza, poi una quarta richiesta, perché vi vedranno come una fonte affidabile di soldi facili.
E quindi cosa bisognerebbe fare?
Supponiamo che avete deciso, e a ragione, di non pagare. E adesso? Ora che i vostri file sono stati cifrati/rubati, i cybercriminali minacciano di pubblicare tutto. Che disastro! Ecco cosa fare:
Mantenete la calma e cercate un decryptor. Ne esistono alcuni qui o qui, altrimenti, potrebbero esser sviluppato in un secondo momento. Noi li rilasciamo e li aggiorniamo regolarmente come parte del processo di studio dei malware e di caccia ai cybercriminali.
Mettetevi in contatto con il vendor da cui avete acquistato il vostro sistema di protezione. In primo luogo, cercate di capire come è stato possibile che dei cybercriminali siano riusciti a cifrare i vostri dati. In secondo luogo, chiedete aiuto al vendor per la decifrazione: probabilmente sa cosa fare e sicuramente avrà voglia di aiutarvi, visto che siete un loro cliente. La vostra sicurezza è una loro priorità e devono pensare anche alla loro reputazione, che ha un valore inestimabile per un’azienda che si occupa di sicurezza.
Detto questo, naturalmente è sempre meglio rafforzare le vostre difese in modo da essere in grado, prima di tutto, di prevenire le infezioni. Ma non pagate mai! Se tutti smettessero di pagare, le attività dei cyber-estorsori finirebbero gradualmente per scemare e il mondo diventerebbe sicuramente un posto migliore.