Non solo in Italia il cryptolocker e, più in generale, il ransomware, rappresenta la principale fonte di preoccupazione per imprese e professionisti della sicurezza. Anche in Finlandia, dove la redazione di Digital4Trade è stata nei giorni scorsi in occasione dei 25 anni del vendor F-Secure, il pericolo è avvertito come quello numero uno del momento, come ci ha raccontato Paolo Palumbo, senior researcher italiano di F-Secure, che lavora nei laboratori di ricerca di Helsinki: «Perché il ransomware è così efficace? Se andiamo indietro di qualche anno vediamo che, tipicamente, i criminali informatici erano soliti infettare un numero massiccio di macchine per effettuare delle frodi bancarie. Ma questa operazione è senza dubbio complicata: occorre gestire l’infezione, fare arrivare a tutti l’oggetto malevole e agire in modo che l’intero processo funzioni correttamente. In particolare il malware deve interfacciarsi specificatamente con il browser che l’utente sta utilizzando in quel preciso istante, mentre la banca della vittima deve essere tra quelle “supportate”. Il ritorno sull’investimento, insomma, rischiava di essere non troppo elevato per questi cybercriminali, anche perché talvolta si riuscivano a colpire conti bancari consistenti ma, molto più spesso, poco pingui. Invece il ransomware è più facile da monetizzare: basta “sparare” dappertutto il ransomware, che crittografa tutto quello che incontra. Non solo: è il criminale a fare il prezzo sui dati che sono stati presi. È, insomma, il migliore dei business, dal loro punto di vista».
Il vero problema è che il ransomware non colpisce soltanto gli utenti privati che, tutto sommato, possano sopravvivere alla perdita di foto e dati personali, ma anche quelli aziendali. Addirittura in certi casi i cryptolocker sono utilizzati in modo targeted: i cybercriminali spesso sono a conoscenza della dipendenza di determinate aziende da un certo sistema informatico, riuscendo così a ottenere dei riscatti decisamente consistenti.
Non a caso, secondo l’esperto di F-Secure, «Vedremo un calo dei ransomware in due situazioni: o quando la tecnologia riuscirà a impedirlo, oppure quando ci sarà un business model per i cybercriminali che sarà ancora più profittevole. D’altronde le persone che ci sono dietro non sono certo dei ragazzini sprovveduti, c’è dell’intelligenza. Tanto che, secondo quanto rilevato da F-Secure, è tutto sommato lecito attendersi la restituzione dei propri file, una volta ceduto al ricatto: «Partendo dal presupposto che “Non c’è onore tra i ladri”, il discorso che si può fare è questo: se come criminale informatico non restituisco i file infettati, il mio business è finito, per una questione di cattiva reputazione. Sono infatti costretto a ribrandizzare tutto il mio ransomware, magari fare finta di essere un’altra gang: in buona sostanza si rischia di perdere un business lucrativo. Tra l’altro, il costo di restituire la chiave crittografica alle vittime è assolutamente irrisorio. Quindi c’è tutto l’interesse a far sì che “i clienti” siano soddisfatti. Ovviamente non può esserci la sicurezza al 100%, poiché stiamo parlando di criminali informatici».
Come è possibile allora difendersi? La strategia di F-Secure è chiara: «Con il ransomware fare remediation diventa molto difficile: se i criminali informatici fanno bene i compiti a casa, con la crittografia non esiste un trucco per sbloccare i dati. Per fortuna non è sempre così, a volte gli algoritmi utilizzati non sono efficaci e allora diventa possibile forzare la situazione. Soprattutto, però, noi facciamo un lavoro di prevenzione: ossia antivirus tradizionali (che conoscono una marea di questi file nocivi e riescono a bloccarli quando arrivano). Impieghiamo anche tecnologie che riescono a effettuare un’analisi comportamentale, scoprendo se il comportamento dell’applicazione è simile a quello di un ransomware, anche non noto. Ovviamente non è possibile arrivare a un livello di sicurezza del 100%, ma riusciamo a prevenire moltissimi attacchi e siamo molto soddisfatti delle prestazioni dei nostri prodotti».
Un ruolo chiave, nel contenimento dei pericoli, è giocato dalla disponibilità delle informazioni: «Combiniamo informazioni interne con altre esterne. Anche provenienti da parte dei colleghi che colleghi che lavorano per nostri competitor, con cui c’è uno scambio continuo di informazioni. Insomma, la collaborazione nel mondo della sicurezza è maggiore di quello che si potrebbe pensare». Vista dalla Finlandia, la situazione della security aziendale in Italia non è così tragica come qualcuno potrebbe pensare: «Ci sono aziende che hanno capito che la sicurezza non è un problema, ma che, quando è implementata nel modo corretto è un enabler, poiché permette di fare quello che desidera in tranquillità», conclude Palumbo.