“Cryptolocker” è un programma di blocco. Il suo scopo? Cifrare i dati contenuti nell'hard disk della vittima e visualizzare il messaggio con il quale viene chiesto un pagamento in cambio delle chiavi di decrittazione, sotto la minaccia di perdere i dati.
Con il termine “Malware” si indica un “MALicious softWARE”, ovvero un programma distruttivo o disturbante che si inserisce nel sistema e lo priva di alcune componenti essenziali o ne altera il normale funzionamento.
“Ransomware”, invece, individua una specifica categoria di programmi finalizzata a chiedere un riscatto (ransom) al malcapitato utente della rete che entra in contatto con un server compromesso o commette l'errore di scaricare un file già infetto, solitamente attraverso una email apparentemente proveniente da un indirizzo affidabile.
Cryptolocker - programma di blocco tramite cifratura - è il nome con il quale è stata identificata una particolare categoria di Ransomware che si caratterizza per l'esecuzione della cifratura dei dati presenti sugli hard disk delle vittime, alle quali viene richiesto un riscatto - da versare solitamente entro tre giorni - per ottenere la chiave di accesso agli archivi (affinché tornino leggibili), che altrimenti vengono distrutti.
I Bromium Labs (labs.bromium.com), il 12 marzo 2015, hanno identificato una nuova variante di Cryptolocker, che hanno chiamato TeslaCrypt per distinguerla dalle versioni precedenti.
Come opera il programma di blocco
In alcune versioni di Cryptolocker, il costo della chiave di decrittazione cresce con il passare delle ore e ogni tentativo di rimozione del virus determina l'immediata distruzione delle chiavi, con conseguente perdita dei dati.
L'infezione viene diffusa attraverso siti Web compromessi, basati sul noto Content Management System chiamato WordPress.
Attraverso una clip Flash, l'utente viene reindirizzato all'Angler Exploit Kit, che verifica innanzitutto la presenza di macchine virtuali e di prodotti antivirus nel sistema, per selezionare lo schema di aggressione più adatto tra i vari disponibili.
Il programma procede, quindi, alla scansione dei file presenti nel sistema, alla ricerca delle principali estensioni di documenti, foto, filmati e, particolare di non secondaria importanza, degli archivi dei giochi più diffusi.
Sembra, infatti, che questa specifica variante del redivivo Cryptolocker sia stata studiata per superare le difese dei sistemi informatici degli utenti sfruttando le porte aperte dai canali di comunicazione utilizzati dai giocatori e dimostra un’evoluzione dei cibercriminali, sempre più orientata a nicchie di mercato ben precise.
Dopo aver eseguito la scansione, il programma inizia a cifrare gli archivi presenti in ogni disco rigido collegato al sistema, utilizzando la cifratura RSA basata su chiavi asimmetriche della lunghezza di 2048 bit, prelevate collegandosi a un server della rete TOR, sul quale torneranno disponibili dopo il pagamento del riscatto.
Nel caso di archivi sincronizzati con servizi come Drive o Dropbox, anche i file presenti sul Cloud subiscono la stessa sorte.
Terminata la cifratura, appare il messaggio che informa l'utente dei tempi e delle modalità di pagamento del riscatto (tramite Bitcoin) e di sblocco della cifratura, al fine di recuperare i dati.
Sia il sito che contiene le chiavi di decrittazione, che il conto che riceve il pagamento, sono ovviamente parte del deep Web e sfruttano l'anonimato garantito dalla rete cifrata TOR e dallo strumento di pagamento noto come Bitcoin.
Colpiti quattro ospedali di Los Angeles
Secondo Wikipedia, il primo Cryptolocker - apparso nel 2013 - ha fruttato ai suoi programmatori oltre 3 milioni di dollari di proventi prima che venisse trovato un rimedio.
La maggior parte dei Ransomware aggredisce i computer dotati di sistemi operativi Microsoft, nei quali il kernel non è separato e protetto, rispetto alle aree in cui vengono elaborati di dati delle applicazioni, e risulta quindi più vulnerabile.
Tuttavia, a luglio del 2013, è stato individuato anche un Ransomware specifico per OS X - sistema operativo di Apple - che, pur non riuscendo a compromettere i dati, impediva l'uso corretto del browser Internet.
Tra le vittime illustri dei Ransomware, si annovera il canale di notizie in diretta dell’ABC australiana - ABC news 24 - interrotto per circa mezz'ora, nell'ottobre del 2014 e spostato negli studi di Melbourne a causa dell'infezione nota come Cryptowall
È del mese di febbraio 2016 la notizia di quattro ospedali di Los Angeles paralizzati da una nuova versione di Cryptolocker, che ha impedito l'accesso alle cartelle cliniche dei pazienti per diverse ore, fino al pagamento della stratosferica somma di 40 bitcoin, circa 17.000 dollari.
Uno dei quattro ospedali non è riuscito a reperire i fondi in tempo e ha perso tutti i dati, con conseguente necessità di evacuazione e di ripetizione di tutte le analisi e anamnesi sui pazienti.
Non sono state registrate vittime, ma di certo l'operatività della struttura sanitaria è stata seriamente compromessa per alcuni giorni.
L'evento ha destato notevole allarme nella comunità statunitense, perché per la prima volta si è avuta contezza del rischio informatico a danno di strutture critiche come gli ospedali.
Le vittime preferiscono procedere al pagamento e non correre rischi
Sebbene esistano dei metodi per cercare di rimuovere la cifratura e recuperare la visibilità dei dati, le vittime preferiscono solitamente procedere al pagamento e non correre rischi.
Paradossalmente, proprio l'affidabilità dei criminali costituisce la principale motivazione che spinge le realtà colpite dal virus a eseguire il versamento delle somme richieste a titolo di riscatto.
Una sorta di “sindrome di Stoccolma” di estrazione informatica, che è perfettamente comprensibile ed è tanto più giustificata quanto più sono importanti i dati che hanno subito la cifratura.
Occorre rilevare, in ogni caso, che uno dei principali motivi di soccombenza, da parte dei soggetti colpiti dal virus, è la mancanza di una corretta politica di backup e di un piano di disaster recovery.
Secondo gli esperti, le procedure di salvataggio dei dati dovrebbero prevedere una frequenza parametrata all'importanza e alla quantità delle informazioni trattate e una rotazione dei supporti adeguata per numero e affidabilità.
In uno studio professionale o in un'azienda di piccole dimensioni, in cui non vi sia un aggiornamento quotidiano dei dati, sono ritenuti indispensabili un salvataggio a settimana e la rotazione di almeno tre supporti, al fine di garantire che anche la perdita di uno di essi non comprometta più di quindici giorni di lavoro.
Alla crescita di importanza della realtà interessata, dei dati trattati o della frequenza di aggiornamento, deve ovviamente corrispondere un incremento dei salvataggi e un maggior numero di supporti.
Di vitale importanza, inoltre, la programmazione di una procedura per la riattivazione della piena operatività aziendale, anche presso altra struttura e con altri sistemi informatici, entro un termine prestabilito, avendo a disposizione almeno un supporto di backup.
Che cosa dice il Codice per la riservatezza dei dati personali
In Italia, le procedure di backup e disaster recovery sono espressamente previste dal Codice per la riservatezza dei dati personali, D.Lgs. 196/2003, e incluse tra le misure di sicurezza che ogni titolare del trattamento deve rispettare per non incorrere nelle pesanti sanzioni civili e penali previste dalla norma.
A ciò si aggiunga che, dal punto di vista civilistico e risarcitorio, il trattamento dei dati personali è considerato attività pericolosa ex art. 2050 cc (art. 15, D.Lgs. 196/2003), con conseguente inversione dell'onere della prova a carico del titolare, che dovrà dimostrare di aver adottato tutte le misure idonee a evitare che il danno si verificasse.
Dal punto di vista della tutela del bene giuridico, consistente nell'affidabilità dei sistemi di trattamento dei dati e, indirettamente, dell'economia e dell'ordine pubblico, i reati ipotizzabili a carico dei soggetti che hanno realizzato e divulgano programmi come Cryptolocker sono quelli di diffusione di programmi destinati a danneggiare dati e informazioni (art. 615 quinquies cp), di danneggiamento di dati e informazioni (art. 635) e di estorsione (art. 629 cp), oltre a ogni altro reato ravvisabile nelle specifiche condotte, variabili in base alle modalità concrete di aggressione (nel caso di un ospedale, ad esempio, si potrebbe ravvisare anche l'ipotesi di danneggiamento di dati e informazioni di pubblica utilità, di cui all'art. 635 bis cp).
Una pena da cinque a dieci anni di reclusione
Il reato di cui all'art. 615 quinquies cp si concretizza con la sola diffusione o messa a disposizione del virus, senza dover attendere la manifestazione del danno ai sistemi informatici o ai dati e programmi in essi contenuti.
È, quindi, sufficiente che il Ransomware sia stato inviato a una persona, o che anche un solo utente abbia raggiunto il server dal quale viene distribuito, per ritenere perpetrato il reato, che prevede fino a due anni di reclusione.
L'estorsione si considera consumata (ma anche il tentativo è punibile) nel momento in cui il programma ha raggiunto il suo scopo primario, che è quello di cifrare i dati contenuti nell'hard disk e visualizzare il messaggio con il quale viene chiesto il pagamento in cambio delle chiavi di decrittazione, sotto la minaccia di perdere i dati.
Il reato è considerato particolarmente esecrabile dall'ordinamento e comporta l'applicazione di una pena da cinque a dieci anni di reclusione.
Altrettanto prevedibile l'applicazione della sanzione di cui all'art. 635 del codice penale (da sei mesi a tre anni di reclusione), nell'ipotesi di tentativo o di consumazione del reato di danneggiamento di dati e informazioni presenti su un sistema informatico, consistente, nello specifico, nel rendere inservibili temporaneamente o definitivamente i dati sottoposti a cifratura dal Ransomware.
Anche l'amministratore di sistema e il titolare del trattamento dei dati sottoposti a cifratura, tuttavia, non possono dormire sonni tranquilli nell'ipotesi in cui non abbiano curato adeguatamente le misure di sicurezza dei sistemi informatici e dell'organizzazione che ha subito l'attacco informatico.
Ove dovesse rilevarsi, a seguito del danno subito dall'azienda e dai clienti della stessa, una mancata o inadeguata formazione del personale dipendente (il Ransomware, di solito, viene scaricato e attivato accidentalmente, in seguito all'utilizzo di un link contenuto in una email), ovvero una mancata o inadeguata adozione di misure di sicurezza, si applicherebbero, le sanzioni civili e penali previste dal D.Lgs. 196/2003, che prevedono fino a due anni di arresto e fino a 120.000 euro di sanzione amministrativa, a seconda delle responsabilità accertate.
Gianluca Pomante
Avvocato
Esperto di informatica
