L'ente per la protezione ambientale scozzese vittima del ransomware. Ma non paga il riscatto
di Riccardo Robecchi pubblicata il 20 Gennaio 2021, alle 17:21 nel canale Security
L'ente per la protezione ambientale della Scozia ha annunciato di essere stato attaccato da hacker che hanno usato un ransomware per cifrare i dati. Il direttore dell'ente ha scelto di non pagare il riscatto: una decisione corretta
L'agenzia per la protezione ambientale della Scozia, la Scottish Environment Protection Agency (SEPA, in breve), ha annunciato di essere stata vittima di un attacco ransomware il giorno della vigilia di Natale, come se i criminali avessero voluto fare un brutto scherzo. Ma di scherzo non si tratta: i danni sono stati ingenti e consistono nella indisponibilità dei servizi erogati dall'agenzia per diversi giorni e nella perdita di circa 1,2 GB di dati. A riguardo di questi ultimi l'agenzia ha, però, annunciato che non intende pagare il riscatto chiesto dai criminali, così fornendo un esempio su come comportarsi in questi casi.
Il riscatto non si paga. La lezione della Scottish Environment Protection Agency sui ransomware
L'attacco ransomware che ha colpito la SEPA appare assolutamente comune: i sistemi sono stati colpiti dal ransomware, che li ha resi non operativi cifrando tutti i dati e permettendo ai criminali di sottrarne alcuni. Tra questi sono presenti 1,2 GB di dati che, a quanto sembra, non erano sottoposti a backup e che pertanto sono da considerare perduti, secondo quanto afferma la stessa agenzia. Questi dati conterrebbero circa 4.000 file, tra i quali figurano atti pubblici, notifiche di vario genere e informazioni sugli appalti e sul personale. In larga parte si tratta di dati non critici al funzionamento della SEPA.
L'aspetto interessante della vicenda non è, però, tanto nell'attacco in sé, nonostante abbia trovato impreparato un importante ente pubblico: è la risposta di quest'ultimo ai criminali a fungere da esempio. La SEPA ha infatti annunciato che non pagherà il riscatto, usando l'unica vera arma che hanno le organizzazioni per contrastare i criminali (assieme a un'infrastruttura di backup funzionante).
Il vero motivo per cui i ransomware sono in continua crescita è infatti la facilità con cui le vittime tendono a pagare i riscatti, comportamento che funge da incentivo per nuovi attacchi e perché emergano sempre più gruppi criminali dediti a quest'attività redditizia. Secondo alcune ricerche, il 58% delle vittime ha pagato il riscatto nel 2020, andando così a finanziare le attività criminali e a dare un facile motivo per continuarle.
La risposta della SEPA è dunque l'unica possibile per contrastare questo fenomeno: non pagando il riscatto si toglie l'unico incentivo che i criminali hanno, quello monetario. Nel caso della SEPA, poi, si ha anche l'aspetto dell'uso di fondi pubblici: il direttore dell'ente, Terry A'Hearn, ha dichiarato in un'intervista con BBC Scotland che "non useremo fondi pubblici per pagare il riscatto. Siamo già stati in grado nelle prime tre settimane di ristabilire la nostra capacità di fornire i nostri servizi critici, e nel corso delle prossime settimane e dei prossimi mesi continueremo in questo processo così da poter proteggere l'ambiente."
Si può infatti sollevare una questione etica quando sono coinvolti gli enti pubblici: è corretto che i fondi che arrivano dai contribuenti vengano spesi per finanziare attività criminali? Anche quando il costo del ripristino sia maggiore, la questione è spinosa ed è riconducibile, in fondo, a una variante del problema del tram per la quale non esiste soluzione assoluta.
L'aspetto ulteriore da considerare nella scelta sul pagamento del riscatto è la probabilità di riavere effettivamente indietro i propri dati, che spesso è bassa. Fidarsi della buona volontà e del rispetto della parola data dei criminali è, per definizione, un comportamento poco saggio: non si vede perché non debba essere così anche nel caso dei cybercriminali, che infatti non sempre restituiscono i dati presi in ostaggio o sottratti.
Il ransomware è un problema molto complesso e con molteplici sfaccettature, che non è possibile inquadrare in maniera semplice e sbrigativa. La maggior parte degli esperti concorda, però, con quanto abbiamo esposto in questa notizia: pagare è una cattiva idea e questa posizione è tanto forte che negli Stati Uniti si parla addirittura di rendere illegale il pagamento dei riscatti. Seguendo le migliori pratiche del settore sulla sicurezza si può arginare il problema, anche se (ancora una volta) la formazione è un ostacolo in questo ambito, visto che porta all'incapacità di affrontare i ransomware. Di nuovo: il problema è complesso, ma continuare a pagare non lo renderà affatto più semplice, anzi.
16 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoche sia beninteso, il loro è il comportamento corretto, ma quando si dirige una socità privata e tutti i dati sono persi e la concorrenza è lì con il fiato sul collo i ragionamenti che si fanno sono un po diversi.
che sia beninteso, il loro è il comportamento corretto, ma quando si dirige una socità privata e tutti i dati sono persi e la concorrenza è lì con il fiato sul collo i ragionamenti che si fanno sono un po diversi.
Copie Shadow? Backup?
Una azienda che ha bisogno di tenere protetti i propri dati, ha molti mezzi per farlo.
Il problema sono solo i costi... dato che le competenze alla fine si trovano o si prendono all'esterno.
E infatti quelli pagano una bella cifra e i criminali spariscono lasciandoli nelle canne come prima, ma più poveri.
Nella maggior parte dei casi i dati non vengono affatto crittografati ( cosa che richiederebbe una certa abilità nella programmazione ), ma semplicemente sovrascritti con dati casuali e quindi non c' è nessuna possibilità di recupero e nessuna chiave per sistemarli
Una azienda che ha bisogno di tenere protetti i propri dati, ha molti mezzi per farlo.
Il problema sono solo i costi... dato che le competenze alla fine si trovano o si prendono all'esterno.
Nella maggior parte dei casi i dati non vengono affatto crittografati ( cosa che richiederebbe una certa abilità nella programmazione ), ma semplicemente sovrascritti con dati casuali e quindi non c' è nessuna possibilità di recupero e nessuna chiave per sistemarli
forse dovevo metterlo in grassetto:
"che sia beninteso, il loro è il comportamento corretto"
Dopo di che gli ha mandato il video come pagamento
Dopo di che gli ha mandato il video come pagamento
Che è quello che dovrebbero fare tutti
Del resto, se hanno perso 1,2 GB significa che l'ultimo backup era disponibile e non risaliva a troppo tempo prima
Chiaro che se come qualcuno i backup li fai su una unità online mappata sul pc che viene crittato...
Una azienda che ha bisogno di tenere protetti i propri dati, ha molti mezzi per farlo.
Il problema sono solo i costi... dato che le competenze alla fine si trovano o si prendono all'esterno.
Le copie Shadow sono inutili nel 99,9% dei casi.
Quei 1,2gb di roba probabilmente sono scannerizzazioni fatte dalle stampanti multifunzione in una condivisione del server X, che è temporanea ma non hanno mai spostato i file, oppure ancora meglio sul desktop di un PC sfigato.
Se fossi il sistemista e mi avessero criptato SOLO 1,2gb di dati, festeggio, vuol dire che c'è un'infrastruttura discreta, non ottima, ma meglio di tante altre realtà, anche grandi.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".