Chi ripristinerà i dati aziendali cifrati? Nessuno

22 Mar 2019

L’incidente che ha coinvolto l’importante azienda norvegese Norsk Hydro dimostra che i ransomware non sono affatto sulla via del tramonto; anzi, nessuno è esente. C’è una credenza diffusa che, in caso di incidente, sia sempre possibile ripristinare i dati in qualche modo, grazie all’aiuto di specialisti IT in house, o di esperti esterni richiesti per l’occasione o, in ultima istanza, cedendo alle richieste dei cybercriminali e pagando il riscatto. Ebbene sì, esistono tante aziende che promettono di poter decifrare questi dati, ma a volte affidarsi ad aziende di questo tipo è una decisione peggiore rispetto a quella di pagare i cybercriminali.

Perché ricorrere a aziende che garantiscono al 100% di poter decifrare i dati è una cattiva idea?

Se cercate informazioni su come decifrare i dati, vi imbatterete in diversi annunci di aziende che vi promettono di ripristinare quanto perduto, indipendentemente da cosa sia accaduto. Di regola, su questi siti troverete lunghe spiegazioni del perché non dovreste pagare i cybercriminali e farraginose descrizioni dei metodi che utilizzano per decifrare i vostri dati e per riconsegnarveli. Si tratta di siti piuttosto convincenti ma, come sempre, c’è un ma.

Gli algoritmi di cifratura moderni sono progettati per far sì che chiunque possa trasformare informazioni importanti in una serie di caratteri senza senso; tuttavia, solo una persona dispone della chiave per ripristinarle. In altre parole, se i cybercriminali non fanno alcun errore, nessun altro sarà in grado di decifrare questi file, né il vostro amministratore di sistema, né un gigante della sicurezza IT di fama mondiale.

Per questo motivo, chiunque vi dia la garanzia assoluta di restituirvi i vostri file, molto probabilmente sta mentendo. Lo scorso anno, i nostri colleghi hanno identificato un’azienda che faceva questo tipo di promesse: da un lato chiedevano alle vittime ingenti somme di denaro per i propri servizi, dall’altro si mettevano in contatto con i cybercriminali per ottenere le chiavi di cifratura con uno sconto. Insomma, le vittime non solo erano cadute nella trappola dei cybercriminali ma anche nelle mani di altri truffatori.

Perché è meglio non pagare il riscatto?

Pagare gli estorsori potrebbe sembrare la via più facile per risolvere il problema il prima possibile. In molti cedono ed effettivamente la probabilità di riavere indietro i propri dati esiste. Nel 2016, ad esempio, l’attacco ransomware Locky ha paralizzato l’ospedale Hollywood Presbyterian Medical Center (HPMC): in casi come questi, la salute e la vita dei pazienti dipende dalla rapidità con cui si riottengono i dati sequestrati dai cybercriminali. I vertici dell’ospedale hanno dovuto prendere la difficile decisione di pagare un riscatto di 17 mila dollari.

In ogni caso, la via più facile non è sempre la migliore, soprattutto quando non si ha a che fare con questioni di vita o di morte. Innanzitutto, i vostri soldi probabilmente verranno utilizzati per sviluppare programmi dannosi più sofisticati (che potrebbero colpire bersagli facili come voi, che avete già dimostrato predisposizione a cedere al ricatto). In secondo luogo, pagare non assicura nulla; l’ospedale che abbiamo menzionato ha avuto fortuna ma conosciamo centinaia di casi in cui i cybercriminali hanno semplicemente intascato il denaro senza decifrare i dati, perché a volte semplicemente non possono farlo.

Perché le aziende di sicurezza non possono decifrare i vostri dati?

Ovviamente, ci sono aziende che si impegnano strenuamente per trovare nuovi modi di decifrare i dati, e noi facciamo parte di questo gruppo. In ogni caso, è possibile decifrare le informazioni solo se i cybercriminali non hanno le capacità necessarie per implementare un normale algoritmo (o perché hanno commesso un qualche errore). Quando riusciamo a creare un tool per questo scopo, lo condividiamo gratuitamente su https://noransom.kaspersky.com/it/ Ma si tratta di casi eccezionali, non sempre è possibile.

Alla luce di quanto detto, la cosa migliore da fare è prevenire l’infezione e, per fare ciò, abbiamo a disposizione numerosi strumenti, compresi il nostro gratuito e recentemente aggiornato Kaspersky Anti-Ransomware Tool for Business: lavora in parallelo con i prodotti di sicurezza di terze parti, apportando un ulteriore livello di protezione alle workstation e ai server che operano con Windows Server.

Kaspersky Anti-Ransomware Tool for Business, aggiornato da poco, non solo protegge i dispositivi aziendali dai cryptomalware (nuovi e conosciuti) ma individua anche altre minacce, in particolare i miner dannosi, i pornware a altri programmi potenzialmente dannosi. Cliccate qui per il download gratuito.