Attacchi Ransomware: Pagare il Riscatto o No? – SentinelOne

Il 2019 è stato un anno che ha visto un incremento di attacchi ransomware verso le organizzazioni di ogni settore, private e pubbliche. Spesso a corto di personale e con risorse limitate, i responsabili della fornitura di servizi pubblici critici si trovano di fronte ad un dilemma: pagare o non pagare il riscatto?

È un dilemma che si estende a problematiche tecniche, etiche, legali, di sicurezza e, ovviamente, finanziarie.

In questo articolo, tratteremo le argomentazioni sia a favore che contro. L’obiettivo è quello di descrivere le implicazioni e la logica da entrambi i punti di vista attraverso una serie di considerazioni.

Pagare un Riscatto per Fermare un Attacco Ransomware è Illegale?

Per alcuni può sembrare strano, ma non è illegale pagare un riscatto, anche se la crittografia forzata dei dati di qualcun altro e la richiesta di pagamento è essa stessa un crimine ai sensi di legge.

Si potrebbe sostenere che il modo migliore per risolvere l'epidemia di ransomware sarebbe quello di rendere illegale il pagamento da parte delle organizzazioni.

L’obiettivo principale di un attacco ransomware è quello di chiedere un riscatto oneroso, quindi finché il pagamento rimarrà legale la minaccia ransomware sarà sempre presente.

L'idea di rendere illegale il pagamento delle richieste di ransomware potrebbe sembrare inizialmente allettante, fino a quando non si comprende per bene cosa potrebbe comportare realmente.

Le società quotate in borsa hanno un obbligo legale nei confronti degli azionisti; le società di servizio pubblico hanno impegni giuridicamente vincolanti a servizio delle loro comunità.

Immaginiamo un procuratore che tenta di convincere il tribunale che un dipendente di un’azienda - le cui azioni, ad esempio, hanno contribuito a ripristinare un servizio pubblico critico dopo aver autorizzato un pagamento a cinque cifre per un attacco ransomware - dovrebbe essere incarcerato.

In che modo, in linea di principio, sarebbe diverso dall'azione di un genitore che, per garantire la sicurezza del figlio, paga il riscatto ai rapitori?

Non sembra un caso facile da vincere, anche perché il dipendente (o l'organizzazione) potrebbe citare circostanze attenuanti legittime come preservare la vita di altri dipendenti o altri obblighi legali.

È Eticamente Corretto Pagare un Riscatto Ransomware?

Se non è illegale pagare per un attacco ransomware, dobbiamo capire se è eticamente corretto o meno. Secondo alcune interpretazioni un comportamento è eticamente corretto e “giusto” se porta ad un beneficio complessivo per la comunità.

D'altra parte, si potrebbe sostenere che ciò che è giusto, o etico, è distinto da ciò che è una soluzione pragmatica o semplicemente conveniente.

Facciamo un esempio pratico anche se irreale: potremmo considerare un comportamento etico quello di un criminale informatico che chiede come riscatto la vita di una persona per rilasciare dati che salverebbero la vita di migliaia di altre persone?

Sicuramente in molti riterrebbero immorale uccidere un innocente per proteggere i dati di altre persone. E ciò suggerisce che il “giusto” o “sbagliato” ruotano attorno ad un semplice calcolo dei benefici percepiti.

Il vero problema con l'approccio pragmatico, tuttavia, è che non esiste un accordo su come calcolare obiettivamente il risultato di diverse scelte etiche. Molto spesso, il peso che diamo alle diverse scelte riflette semplicemente la nostra propensione per la scelta a cui siamo naturalmente predisposti.

Se il pragmatismo non può aiutarci a capire se è eticamente corretto o meno pagare il riscatto, potremmo analizzare le azioni “giuste” o “sbagliate” nella misura in cui riflettono i valori del tipo di società in cui vogliamo vivere.

Questa visione è talvolta espressa più semplicemente con la seguente massima: "fai agli altri quello che vorresti fosse fatto a te". Potremmo chiederci: “vogliamo vivere in una società in cui è giusto (etico) pagare coloro che commettono comportamenti scorretti?”.

È un’Azione Prudente Pagare un Riscatto?

Anche se avessimo una chiara idea della situazione giuridica e una particolare presa sulla nostra posizione etica, la questione se pagare o meno paga solleva altre questioni.

Potremmo sentirci inclini a fare una scelta non etica alla luce di altre preoccupazioni apparentemente più pressanti.

Esiste una pressione reale e tangibile nel fare una scelta che potrebbe salvare la tua organizzazione o la tua città o che potrebbe far risparmiare settimane di inattività di un servizio critico.

Tuttavia, la possibilità che i criminali non mantengano la propria parte dell'accordo deve essere presa in considerazione in qualsiasi decisione relativa al pagamento di un riscatto.

In alcuni casi, le chiavi di decrittazione non sono disponibili e in altri, gli autori del ransomware non hanno semplicemente risposto una volta pagati. Abbiamo visto una modalità simile con WannaCry.

Un ulteriore punto da considerare quando valutiamo se acconsentire alla richiesta di pagamento è come ciò influenzerà l’organizzazione oltre l’attacco stesso.

Pagare danneggerà la reputazione dell’azienda? Gli altri – o anche gli stessi – criminali informatici vedranno l’azienda come un bersaglio debole e cercheranno di colpirla di nuovo?

Il tuo supporto finanziario ai criminali informatici porterà ad ulteriori attacchi contro altre società?

In altre parole, arrendersi al pagamento di un riscatto produrrà effetti a lungo termine peggiori di quelli immediati – sempre che i criminal informatici mantengano la promessa?

Cosa Succede Se Non Paghiamo il Riscatto?

C'è forse più incertezza nel pagare di quanto non ci sia nel non pagare. Almeno quando scegli di non pagare un riscatto, quello che accade dipende da te. Nel consegnare la somma richiesta al criminale informatico, rimani nelle sue grinfie fino a quando non ti viene fornita una chiave di decrittazione funzionante.

Le tattiche su come chiedere una prova per decrittografare una parte in anticipo prima del pagamento o per negoziare termini di pagamento come il 50% in anticipo e il 50% solo dopo che l'ambiente è stato decifrato, possono funzionare con alcuni criminali, ma non con tutti.

La stragrande maggioranza dei riscatti viene ancora pagata in bitcoin, che non è una valuta anonima o non rintracciabile. Quindi, nel caso in cui un’azienda si senta costretta a pagare, può comunque richiedere la collaborazione delle forze dell’ordine in modo che possano rintracciare il movimento di denaro.

Ogni organizzazione dovrebbe investire nell'implementazione di una soluzione di sicurezza completa in grado di bloccare gli attacchi ransomware. Le conseguenze di un attacco del genere incidono molto sull'azienda:

  • backdoor sconosciute che i criminali lasciano sui sistemi;
  • ripristino parziale dei dati (in alcuni casi non vengono ripristinati affatto);
  • zero recupero dopo il pagamento (è raro, ma in alcuni casi la chiave di decrittazione fornita è inutile o, peggio ancora, non viene mai inviata).

Infine, è importante sottolineare che alcune organizzazioni colpite in successione dagli stessi attori potrebbero in realtà essere state colpite solo una volta, ma i payload di crittografia potrebbero essere stati attivati in ondate successive.

In Conclusione

Pagare o meno il riscatto, è necessario assicurarsi di avvisare le autorità competenti. SentinelOne ritiene che pagare i criminali non è un modo per porre fine a questo comportamento. È chiaro a tutti che attacchi del genere hanno impatti tecnici, etici e finanziari sull'azienda molto rilevanti.

Ed è per questo che SentinelOne propone una soluzione di sicurezza affidabile in grado di bloccare l’attività del ransomware oltre a proteggere rete e dispositivi contro qualsiasi tipo di minaccia, conosciuta ed ignota, compresi gli attacchi zero-day.

Se vuoi avere maggiori informazioni su SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.

Puoi visitare la pagina del nostro sito dedicata a SentinelOne dove puoi richiedere ulteriore materiale informativo o una demo gratuita.

In alternativa, puoi compilare il form sottostante con la tua domanda.