La prima versione commerciale di ransomware compie 35 anni. Nel dicembre 1989, il biologo Joseph Popp distribuì circa 26.000 floppy disk contenenti il trojan AIDS, che richiedeva un riscatto per sbloccare i file del computer infettato.
L'attacco segnò l'inizio di una nuova era della criminalità informatica. Il trojan AIDS rappresentò un'innovazione rivoluzionaria nel panorama della sicurezza informatica dell'epoca. Negli anni '80, i concetti di "cybersecurity" e "igiene digitale" erano praticamente sconosciuti, e la consapevolezza sui rischi legati all'uso dei computer era molto limitata. Ciò creò un terreno fertile per criminali visionari come Popp, in grado di sfruttare l'analfabetismo tecnologico per scopi illeciti.
Il funzionamento del trojan AIDS era relativamente semplice ma efficace:
- Veniva distribuito tramite floppy disk inviati per posta
- Si attivava dopo 90 riavvii del computer infettato
- Mostrava un messaggio che richiedeva il pagamento di $189 o $378
- Minacciava di rendere inaccessibili i file del computer
- I pagamenti dovevano essere inviati a un indirizzo in Panama
Sebbene nessuno avesse effettivamente pagato il riscatto, il trojan AIDS gettò le basi per il modello di business del ransomware moderno. Popp fu arrestato ma evitò il carcere perché giudicato mentalmente incapace di affrontare il processo.
Nei decenni successivi, il ransomware si è evoluto diventando una delle principali minacce informatiche:
- Nel 2004 comparve Gpcode, il primo vero ransomware commerciale
- Utilizzava tecniche di cifratura avanzate per bloccare i file
- Chiedeva riscatti tra $100 e $200 in valute digitali come e-gold
- Si diffondeva tramite internet anziché supporti fisici
- Sfruttava la crescente diffusione delle reti aziendali
L'avvento delle criptovalute nel 2008 fornì ai criminali un metodo sicuro e anonimo per ricevere i pagamenti, rendendo il ransomware ancora più redditizio. Negli ultimi anni gli attacchi sono diventati sempre più sofisticati e mirati, colpendo organizzazioni di ogni tipo.
Fino ai giorni nostri il ransomware ha continuato a rappresentare una grave minaccia per aziende e istituzioni in tutto il mondo:
- Numerosi ospedali britannici sono stati colpiti, tra cui l'Alder Hey Children's Hospital
- L'attacco a UnitedHealth è costato oltre 2 miliardi di dollari
- Due importanti ospedali pediatrici di Chicago sono stati presi di mira
- Gang come ALPHV/BlackCat e LockBit sono state smantellate dalle forze dell'ordine
- Nuovi gruppi criminali hanno preso il posto di quelli neutralizzati
Le autorità hanno ottenuto alcuni successi, come l'arresto di membri chiave di LockBit, ma il modello di business del ransomware rimane solido. Le agenzie di sicurezza promuovono l'adozione di principi "secure-by-design" nello sviluppo software, ma gli esperti sono divisi sull'efficacia di questo approccio.
Secondo Martin Lee di Cisco Talos: "Nessuno vuole scrivere vulnerabilità. Nessuno si sveglia la mattina pensando 'oggi scriverò una grossa falla di sicurezza'. Ma queste cose si insinuano semplicemente perché l'ingegneria del software è difficile."
Nonostante gli sforzi delle autorità, non ci sono segnali di un imminente declino degli attacchi ransomware. Gli esperti rimangono divisi sulle strategie più efficaci per contrastare il fenomeno:
- Vietare il pagamento dei riscatti
- Migliorare la sicurezza dei prodotti software
- Rafforzare la cooperazione internazionale contro i gruppi criminali
- Educare aziende e utenti sulle best practice di sicurezza
A 35 anni dalla nascita del primo ransomware commerciale, questa minaccia continua a evolversi e rappresentare una sfida complessa per la sicurezza informatica globale. Solo attraverso un approccio coordinato che coinvolga aziende, istituzioni e singoli utenti sarà possibile limitarne l'impatto in futuro, ma nel mentre... buon compleanno Ransomware!