Il ransomware, un tipo di malware che cripta i dati e chiede un pagamento per fornire le chiavi di decrittazione, non è una novità. Esiste da circa tre decenni.
Quindi, perché sembra che la situazione stia diventando peggiore? È perché effettivamente sta peggiorando.
Inizialmente considerato una minaccia poco nota per pochi, il ransomware si è trasformato in una diffusa calamità che colpisce ospedali, banche, sistemi di trasporto pubblico e persino videogiochi. Nonostante la sua diffusione inarrestabile, le vittime si interrogano sul perché proprio loro e perché in questo momento.
Entrambe le domande riguardano la criptovaluta e l’Agenzia Nazionale di Sicurezza.
Iniziamo con una breve panoramica storica.
Il settore sanitario è stato colpito dal primo attacco ransomware documentato nel 1989, quando un biologo di nome Joseph Popp ha inviato circa 20.000 dischi floppy a ricercatori. Si dice che i dischi contenessero un sondaggio volto a valutare il rischio di contrarre l’HIV.
Quello che non è stato incluso nella pubblicità era il fatto che i file sui computer infetti venivano crittografati, rendendoli praticamente inutilizzabili. Al posto dei soliti schermi di avvio, le vittime venivano presentate con un messaggio che richiedeva un pagamento di $189 per ripristinare il sistema.
Popp, un biologo evolutivo con un dottorato di ricerca da Harvard, non corrispondeva all’immagine stereotipata di un hacker. Dopo essere stato arrestato per ricatto, dichiarò che voleva devolvere i proventi del suo piano alla ricerca sull’HIV, secondo quanto riportato da The Atlantic.
Indipendentemente dalle sue reali intenzioni, l’attacco di Popp è stato ostacolato da due elementi fondamentali: i dischi floppy sono stati spediti per posta e la crittografia usata da PC Cyborg poteva essere decifrata senza il suo coinvolgimento.
Dopo ventotto anni, la situazione nel settore del ransomware è peggiorata.
Valuta digitale e National Security Agency
Quando ci riferiamo alla scala degli attacchi ransomware attuali, è cruciale considerare due elementi principali: la frequenza e l’entità degli attacchi.
Un rapporto del Dipartimento di Giustizia degli Stati Uniti del 2016 ha identificato 7.694 reclami di ransomware a partire dal 2005, che si ritiene rappresentino solo una parte degli attacchi effettivi. Il ransomware WannaCry, ad esempio, ha colpito più di 150 paesi. Due fattori principali hanno contribuito a queste statistiche in aumento: l’aumento delle criptovalute e la presenza di exploit hacker precedentemente sviluppati dalla NSA.
La criptovaluta come il Bitcoin consente ai criminali di ricevere pagamenti di riscatto in modo più diretto rispetto ai metodi tradizionali. Gli hacker non devono più creare una casella postale e sperare che il denaro venga inviato tramite controlli del cassiere fisico, ma possono invece istruire le vittime a inviare i pagamenti a specifici indirizzi Bitcoin.
Secondo quanto riportato dalla società di sicurezza informatica Palo Alto Networks, il Cryptowall del 2013 è stato il primo ransomware a richiedere il pagamento in Bitcoin. Questo però non è stato l’unico caso. L’uso sempre più diffuso dei pagamenti in criptovaluta, in particolare del Bitcoin, ha contribuito all’aumento del 300% degli attacchi ransomware riscontrato nel 2016 rispetto all’anno precedente, come evidenziato da un rapporto IBM.
Riguardo all’aumento della frequenza di questi attacchi? Anche se ci sono molteplici fattori da considerare, un punto di svolta chiaro può essere individuato nell’episodio di April Shadow Brokers, quando il gruppo di hacker ha diffuso una serie di vulnerabilità provenienti dalla National Security Agency. Tra queste, c’era una falla chiamata EternalBlue, che, combinata con ransomware, ha permesso la diffusione del virus WannaCry.
Il medesimo exploit ha avuto un ruolo fondamentale (sebbene non esclusivo) nella diffusione di NotPetya, un ransomware che ha colpito almeno 65 paesi e che sembra mirare principalmente a causare danni distruttivi.
Mentre Microsoft aveva già reso disponibile un aggiornamento per EternalBlue prima che il virus si diffondesse a livello globale, l’espansione rapida di WannaCry e NotPetya ci ricorda in modo chiaro che non tutti mantengono costantemente aggiornate le patch di sicurezza.
Quindi, dove ci stiamo lasciando?
Il grande numero di questi due attacchi, che sono stati supportati da vulnerabilità rubate dall’NSA e agevolati dalla criptovaluta, indica che stiamo entrando in una nuova era di ransomware molto diffuso. Inoltre, il rischio di attacchi come WannaCry sembra destinato a crescere, non diminuire, come dimostra un rapporto del 2017 della società di sicurezza informatica Symantec che ha registrato un aumento del 36% degli attacchi ransomware a livello globale.
Il ransomware potrebbe rischiare di diventare vittima del proprio successo, poiché il grande numero di computer infetti e i sistemi di pagamento inefficaci di NotPetya e WannaCry potrebbero impedire alle persone di ottenere le chiavi di decrittografia anche se decidessero di pagare il riscatto.
Per quale motivo dovresti effettuare un pagamento se sei consapevole che non otterrai di nuovo i tuoi file?
Al momento attuale, il portafoglio Bitcoin collegato a NotPetya ha ricevuto solamente 46 transazioni, con un ammontare complessivo di circa $10,317.
Ciò indica che nonostante la forma di estorsione digitale inventata da Joseph Popp continui a diffondersi, potrebbe non essere più una questione di denaro. Potrebbe essere l’ultima speranza per porre fine alla crescente minaccia del ransomware.
– Valute digitali
