A seguito di un attacco ransomware, la University of California at San Francisco (UCSF) ha pagato un riscatto di 1,14 milioni di dollari. L'attacco ha colpito la Scuola di Medicina dell'ateneo il 1 giugno scorso. Secondo fonti ufficiali non si sono state conseguenze sul lavoro di ricerca per il vaccino del COVID-19.

Tuttavia i cyber criminali hanno crittografato "un limitato numero di server" in cui erano ospitati dati importanti per il lavoro accademico. Per questo i responsabili dell'ateneo hanno preso "la difficile decisione di pagare una parte del riscatto, circa 1,14 milioni di dollari, in cambio di uno strumento per sbloccare i dati crittografati".

Fonti della BBC riferiscono che la richiesta iniziale era di 3 milioni di dollari, la somma poi pagata è frutto di una mediazione. Non è chiaro se il mediatore sia stato un addetto interno della sicurezza IT o un esperto esterno. 

Il pagamento del riscatto ha fatto notizia, anche se la cifra non è da record. E anche se a pagare sono ancora tante vittime, nonostante l'indicazione degli esperti sia di non pagare perché non garantisce il recupero dei dati crittografati. 

I casi si sono moltiplicati nella prima metà del 2020 anche perché sono cresciuti in maniera esponenziale gli attacchi. Secondo una recente ricerca, solo a marzo sono aumentati del 148% rispetto a febbraio. 

Proprio le università sono fra gli obiettivi più bersagliati dai ransomware, insieme agli enti governativi, ai comuni e alle grandi aziende. Si calcola che da inizio 2020 a oggi siano stati spesi più di 144 milioni di dollari a seguito di attacchi ransomware. Il conto comprende gli eventuali riscatti e i costi per ripristinare l'operatività.

Un'indagine precedente condotta da Sophos aveva calcolato che il riscatto medio è di 1,4 milioni di dollari, non molto distante da quanto sborsato dalla UCSF. Il 27% delle aziende interpellate per lo studio aveva pagato il riscatto.
Molte vittime pagano anche se in possesso di copie di backup funzionanti e aggiornate per scongiurare la pubblicazione di dati sensibili o riservati. Il gruppo Maze e altri, infatti, sottopone le vittime a un doppio ricatto: oltre a chiedere denaro in cambio della restituzione dei dati bloccati, minaccia di svelare pubblicamente le informazioni riservate sottratte nell'attacco.

Non è questo il caso della UCFS, vittima del ransomware Netwalker, che chiede un solo riscatto in cambio della chiave di decifrazione. Questa minaccia ha caratterizzato un buon numero di attacchi sferrati contro istituzioni impegnate nelle cure del COVID-19. Fra le sue vittime recenti figura il sito dell’Illinois Health District, utilizzato per fornire informazioni sul coronavirus. In quel caso non fu pagato alcun riscatto.

Riscatti d'annata 

Sugli attacchi recenti come quelli di Honda e LG non ci sono ancora informazioni circa il pagamento di eventuali riscatti. In genere sono informazioni che emergono come indiscrezioni a distanza di tempo dall'attacco. Ci sono però casi noti. Uno che ha fatto storia è quello di Travelex, che a seguito dell'attacco ransomware di inizio 2020 pare avere sborsato un riscatto di 2,3 milioni di dollari.
Meno esosa è stata la cifra di 500.000 dollari pagata dalla californiana Communications & Power Industries (CPI). Lo stesso importo è andato anche al gruppo che ha attaccato la contea di La Salle, in Illinois. Migliore sorte per Lake City, Florida, che lo scorso anno ha pagato ai cyber criminali circa 480.000 dollari. Sono state più fortunate le città di Florence, in Alabama, e di Cartersville, in Georgia, che se la sono cavata rispettivamente con 300.000 e 380.000 dollari.

I numeri da capogiro che si leggono nelle cronache dove sono? Sono quansi sempre dovuti alla somma del riscatto e dei costi di ripristino delle infrastrutture. Per esempio, la danese ISS World, vittima di un attacco ransomware a febbraio, reputa che i costi di remediation saranno compresi fra 75 e 112 milioni di dollari. Non si parla di riscatto, solo di costi per rimettere in piedi tutta l'infrastruttura. Cognizant, altra vittima celebre, stima costi di recovery e mitigation compresi fra 50 e 70 milioni di dollari.

Questi dati indicano chiaramente come un attacco ransomware abbia molteplici risvolti. E che il pagamento del riscatto è solo una delle voci da mettere in conto, spesso anche la meno salata. È il motivo per il quale molti esperti di sicurezza ammoniscono: pagare o meno il riscatto spesso non fa una grande differenza.