Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware

DFA Open Day 2016 – Milano, 28 giugno 2016
Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware
Paolo Dal Checco
Studio Associato
Digital Forensics Bureau
www.dalchecco.it www.difob.it

Ransomware: cosa sono?
2

Ransomware: cosa sono?
– “ransom” = riscatto, “-ware” = software
– software (malware, trojan) che bloccano i sistemi infettati e chiedono un riscatto per lo sblocco (eventualmente mediante cifratura dei dati)
– Noti al mondo scientifico da oltre 10 anni, dal 2012 hanno cominciato a diffondersi e crescere in complessità e impatto
– Oggi sono una delle minacce più pericolose per gli utenti privati e aziendali
– News e aggiornamenti su www.ransomware.it
3

La (prei)storia
– Innocuo, non criptava i dati
– Modificava registro o avvio, facile da rimuovere
4

Le cose si fanno più serie
– Da settembre 2013 compaiono diverse versioni che infettano PC con Windows: CryptoLocker, SimpleLocker, CryptorBit, CryptoDefense, CryptoWall, TorrentLocker, CTB-Locker, TeslaCrypt, etc…
– Il trojan arriva via email
– I documenti vengono criptati davvero, anche quelli in rete raggiungibili dal PC infettato, viene chiesto un riscatto in bitcoin (da 300 a 1.000 euro) che aumenta se non si paga subito
– Prime versioni con cifratura debole, con alcuni bachi e niente sovrascrittura reale dei file, col tempo queste “leggerezze” vengono colmate e il sistema irrobustito
– Alcune organizzazioni eseguono infezioni mirate e chiedono 10 volte tanto (episodi molto più rari)
5

Le cose si fanno più serie
6
Fonte: Google Trends

Cryptolocker (allegato mail)
– Stesso indirizzo bitcoin per tutte le vittime
– Trovate diverse soluzioni per decriptare senza pagare
7

Torrentlocker
8

Corriere della Sera, 11 novembre 2014

TorrentLocker (allegato mail)
9

Cryptolocker (sito di phishing)
10

Cryptolocker (12/2014)
11
– Check su User Agent (da un Mac si vede la pagina qui sopra) – Check su indirizzo IP della vittima (es. il sito di phishing si vede
solo da Italia, Spagna, etc…)

Cryptolocker (12/2014)
– Molte vittime soprattutto aziendali, abituate a ricevere spedizioni dei corrieri
– SDA ovviamente non è in alcun modo coinvolta
– Altri brand usati per il phishing: ENEL, VODAFONE, TIM
12
Pagina acceduta da un PC Windows

Crypt0L0cker (phishing con link su cloud)
– I trojan si diffondono… via PEC!
– Usano URL shortener (es. Bit.ly) per arrivare al sito
– E usano il cloud per memorizzare il trojan (Dropbox, Copy)
hxxp://meWkdS.l1[.]gs/bvs0Ba6b hxxp://sda-express[.]com/track.php?id=
https://copy.com/iEqABYCif17Gl9Hc/pacchetto_829302018.zip
13

Teslacrypt e Locky (web – Exploit Kit)
– Si diffonde via mail (allegato ZIP con dentro JS) ma anche via web tramite siti compromessi (Angler, CVE-2015-7645, Adobe Flash)
14

Petya (cifra “tutto” il disco)
– Non cripta i documenti, ma la parte del disco che permette di avviare il sistema e accedere ai documenti
– Richiede privilegi di amministratore
15

Anche sul Mobile…
– Come nel 2012, ma su smartphone
– Non cripta i documenti, blocca l’avvio – No bitcoin ma PaysafeCard
– Safe boot, uninstall e si rimuove
16

… e sui siti web….
17

… fino alle Smart TV.
18

Cambia il business model: arriva il franchising
19

Cambia il business model: arriva il franchising
20

Il futuro
– Minaccia di divulgazione materiale privato
– Il ransomware propone “affiliazione” alle vittime
DFA Open Day 2016 – Milano, 28 giugno 2016
21

Fonte del contagio: email
– Avvio di un programma contenuto in ZIP, PF, EXE SCR, DOC, XLS
– Programma contenuto in:
– Allegato ad email che parla di fatture, rimborsi, note di credito,
spedizioni SDA, etc… anche proveniente da contatti noti
– Link alla mail
– Download da sito web di finto corriere il cui link è contenuto nell’email ricevuta (spesso su domini realistici oppure di CMS bucati)
– Se non si apre l’allegato non si corrono rischi
22

Fonte del contagio: web (Exploit Kit)
– Navigazione su siti compromessi (Angler, CVE-2015-7645, Adobe Flash) – Pericolosi perché non richiedono intervento utente (come aprire mail)
23

Fonte del contagio: rete
– Alcune versioni dei ransomware si diffondono tramite servizi RDP (porta 3389) di desktop remoto non aggiornati
– Ancora non sono noti ransomware che si diffondono tramite condivisioni di rete tra PC
24

Implicazione giuridiche nel trattamento dei soggetti vittime dei ramsonware
Giuseppe Vaciago
DFA – Milano – 28 giugno 2016

01- È lecito per la vittima pagare il riscatto?
In presenza di una condotta estorsiva il soggetto passivo si configura quale vittima.
Inoltre l’estorsione non pregiudica la vita o l’incolumità di una persona fisica, bensì di un proprio bene.
Unico caso in cui è perseguibile: sequestro di persona per scopo d’estorsione, ex art. 1, legge 15 marzo 1991 n. 82 in forza del quale può essere disposto il sequestro dei beni appartenenti al soggetto sequestrato e ai familiari.

02 – È lecito per qualcuno aiutare la vittima a pagare il riscatto?
È sicuramente lecito per qualcuno aiutare la vittima a pagare il riscatto se si tratta di persona fisica. Discorso leggermente diverso quando si parla di persona giuridica.

03- Se quel qualcuno è un exchange, come si configura la cosa?
Un exchange è un intermediario che mette in contatto chi vuole vendere con chi vuole comprare bitcoin.
Il Procuratore generale di Roma, Luigi Ciampoli: “In caso di trasferimento di bitcoin non vi è garanzia di poter individuare l’identità reale delle persone coinvolte nelle operazioni e, in particolare, del nuovo proprietario, identificato da un codice numerico”.
La domanda quindi è: “Agli exchanger si deve applicare la normativa antiriciclaggio?”

03 – Se quel qualcuno è un exchange, come si configura la cosa? (segue)
Germania – si applica la normativa antiriciclaggio
Francia – si applica la Payment Service Directive
Inghilterra – La Bank of England applica la call for information Nel resto d’Europa – Nulla.
La Banca d’Italia con Comunicazione del 30 gennaio 2015 esclude l’applicabilità della normativa antiriciclaggio agli Exchange tuttavia ai sensi dell’art. 36 del D.lgs. 231/07 si potrebbe identificare un exchange con un “ufficio di cambio”. Gli uffici di cambio sono soggetti alla normativa antiriciclaggio ai sensi del D.lgs.196/2012.

04- Cambia se l’exchange sa che si tratta di riscatto?
Ovviamente cambia.
Si potrebbe ipotizzare il reato di riciclaggio o quello del concorso in truffa in relazione al caso concreto e al tipo di qualificazione giuridica che viene fatta dal Pubblico Ministero e alla presenza o meno di un accordo con il cybercriminale
Tuttavia, la prova della conoscenza del riscatto deve essere certa e non presunta altrimenti si rischierebbe di creare una pericolosa inversione dell’onere della prova.

05- Se il fornitore di servizio di assistenza tecnica configura una rete che il giorno dopo viene “distrutta”
da un ransomware, ha qualche responsabilità?
Un fornitore di un servizio di assistenza tecnica non ha un obbligazione di risultato ma di mezzi e pertanto non può essere considerato automaticamente responsabile qualora a seguito di un suo intervento, il sistema informatico venisse infettato da un ransomware.
Tuttavia, nel caso in cui il fornitore avesse effettuato un lavoro senza considerare alcuni profili di sicurezza ritenuti essenziali ai sensi della normativa in vigore (tra tutte, il disciplinare tecnico presente all’allegato b del Codice della Privacy) potrebbe subire un’azione civile da parte del cliente che ha subito l’attacco.
In ogni caso, è di determinante importanza verificare il contratto stipulato tra le parti e quindi va valutato caso per caso.

06 – Posso chiedere i danni a un dipendente che ha aperto una finta mail e ha danneggiato i dati aziendali
suoi e dei PC in rete?
In primo luogo è opportuno verificare se all’interno dell’azienda è presente un regolamento sull’uso delle risorse informatiche aziendali che vieti espressamente la creazione di account personali (finti o meno) da utilizzare all’interno del network aziendale.
Se vi fosse questo tipo di regolamento, allora il dipendente avrebbe commesso una violazione dello stesso e sarebbe soggetto ad una sanzione disciplinare che potrebbe andare dal richiamo scritto fino al licenziamento.
In caso di licenziamento, sarebbe ipotizzabile anche un’azione di risarcimento danni nei suoi confronti, anche se, personalmente, non credo che sia un’azione molto semplice da intraprendere nel contesto italiano.

07 – Se il ransomware venisse distribuito tramite Exploit Kit e il dipendente navigava su un sito personale, posso chiedere i danni?
In caso di presenza di un regolamento aziendale rispettoso del Provvedimento del Garante del 10 marzo 2007 (“Linee guida del Garante per posta elettronica e internet”) e il dipendente l’avesse violato valgono gli stessi ragionamenti della domanda precedente anche se, personalmente, ritengo sia comunque difficile ottenere un licenziamento in caso di una navigazione non consentita perché il dipendente si potrebbe difendere “incolpando” il fatto di “esserci finito per caso”.

08 – Posso chiedere all’Assicurazione che tutela la sicurezza dei miei dati un risarcimento in caso di
ransomware?
In Italia, a differenza degli Stati Uniti e del Regno Unito, le cyber insurance sono appena state introdotte e vi è molta incertezza sia da parte dei clienti che degli assicuratori.
Il trend è sicuramente quello di fornire gratuitamente un team di forensics che cerchi di ripristinare il servizio (impresa improba!), ma non vi sono molte assicurazioni che siano disponibili a pagare il riscatto.
Negli Stati Uniti invece il pagamento del riscatto è liquidato dalle assicurazioni anche se la franchigia è molto alta e talvolta non rende conveniente la copertura di un rischio simile.

09 – È ipotizzabile una violazione della normativa prevista dal D.lgs. 231/01 in caso di pagamento del
riscatto?
Il pagamento del riscatto configura un comportamento indotto che, oltre ad alimentare la criminalità, viola i principi valoriali, ideali e comportamentali dichiarati dal Codice etico che rappresenta una promessa al pubblico ex art. 1989 c.c.
Partendo dal presupposto che il pagamento del riscatto viene fatto nell’interesse e vantaggio dell’ente quali reati presupposto potrebbe costituire?
– Reati Societari (False comunicazioni sociali, Impedito controllo, Ostacolo all’esercizio delle funzioni delle autorità di vigilanza) nel caso di una costituzione di una provvista per il pagamento.
– Autoriciclaggio se il pagamento provenisse da un ulteriore illecito (reato di evasione fiscale).
– Finanziamento della criminalità organizzata? Forse questa è un’ipotesi da valutare con più attenzione.

10 – La decima fatela voi…se c’è tempo e non avete troppa fame
Grazie per l’attenzione
[email protected] http://it.linkedin.com/in/vaciago https://twitter.com/giuseppevaciago