Indice
Cos’è un ransomware? Con il termine ransomware (significato derivante dall’inglese “ransom”, riscatto) si intende una tipologia di software malevolo che blocca l'accesso a un computer cifrando i dati in esso contenuti, con l'obiettivo di ottenere un riscatto dalla vittima, per poter accedere nuovamente ai propri dati. Se la vittima non paga il riscatto richiesto dai criminali entro il tempo concesso, i dati non saranno più accessibili, e andranno persi definitivamente.
Gli attacchi ransomware sono sempre più comuni oggigiorno. Le più grandi aziende europee e americane sono cadute vittime di questo tipo di attacchi. I cybercriminali non si fanno scrupoli ad attaccare dal semplice utente, alle aziende di qualsiasi dimensione e settore.
E le autorità raccomandano di non pagare alcun riscatto, per non alimentare ancor di più la diffusione di questo tipo di attacchi, come evidenziato nel Progetto Stop ai Ransomware. Inoltre, la metà di coloro che pagano il riscatto, diventano poi bersaglio di continue richieste di denaro da parte dei cybercriminali.
La formazione sulla sicurezza informatica inizia qui
Ecco come funziona la nostra prova gratuita:
- Incontra i nostri esperti di sicurezza informatica per far valutare il tuo ambiente e identificare la tua esposizione al rischio di minacce.
- Nel giro di 24 ore e con una configurazione minima, distribuiremo le nostre soluzioni per 30 giorni.
- Prova la nostra tecnologia sul campo!
- Ricevi report che evidenziano le vulnerabilità della tua sicurezza per poter prendere provvedimenti immediati contro gli attacchi informatici.
Compila questo modulo per richiedere un incontro con i nostri esperti di sicurezza informatica.
Grazie per esserti registrato per la nostra prova gratuita. Un rappresentante di Proofpoint interverrà a breve e seguirà i passaggi successivi.
Storia dei ransomware virus
Il primo attacco ransomware della storia risale al 1989, quando il trojan AIDS, noto anche come Aids Info Disk o PC Cyborg Trojan, venne utilizzato per estorcere denaro alle vittime dell'attacco, che erano costrette a inviare il pagamento via posta a Panama, per ottenere, sempre via posta, la chiave di decifratura per rientrare in possesso dei propri dati.
Nel 1996, i ricercatori della Columbia University, Moti Yung e Adam Young, definirono gli attacchi ransomware come un'estorsione crittovirale. Questa idea, nata in ambito accademico, mise in luce l'evoluzione, la potenza, e lo sviluppo di strumenti crittografici innovativi. Young e Yung presentarono il primo attacco crittovirale nel 1996, alla conferenza dell'IEEE sulla Privacy e Sicurezza. Il loro virus conteneva la chiave pubblica dell'attaccante ed era in grado di cifrare i file della vittima. Il malware richiedeva quindi all'utente di inviare il ciphertext (letteralmente testo cifrato) all'attaccante per la decifratura e per ottenere così la chiave di decrittazione — in cambio di un riscatto.
L’evoluzione degli attacchi ransomware
I cybercriminali sono diventati sempre più creativi negli anni, con l'adozione di metodi di pagamento dei riscatti molto difficili da tracciare, e in grado quindi di garantire loro un certo anonimato. Ad esempio Fusob, un noto ransomware per dispositivi mobili, richiedeva agli utenti di pagare il riscatto attraverso l'utilizzo di gift card iTunes della Apple, anziché in dollari, euro o altre valute.
La diffusione dei ransomware, ha iniziato a crescere di pari passo con la crescita delle criptovalute, come il Bitcoin. La criptovaluta non è altro che una valuta digitale che utilizza tecniche di cifratura, per verificare e rendere sicure le transazioni, oltre che per controllare la creazione di nuova valuta. Anche se resta ancora la più popolare, esistono molte altre criptovalute oltre ai Bitcoin, con cui i cybercriminali possono richiedere di essere pagati dalle vittime degli attacchi, tra cui Ethereum, Litecoin e Ripple.
Gli attacchi ransomware, hanno colpito negli anni enti e organizzazioni nei più disparati settori a livello mondiale. Famoso il caso del Presbyterian Memorial Hospital, che mise in evidenza le capacità distruttive dei ransomware. Laboratori, farmacie e pronto soccorso finirono nel mirino dei cybercriminali.
Anche le tecniche di social engineering iniziarono ad evolversi per rendere più efficaci gli attacchi ransomware. In un articolo del quotidiano britannico The Guardian, venne riportato il caso di un attacco, in cui i cybercriminali avevano anche imposto a ognuna delle vittime, come condizione per tornare in possesso dei propri dati, di spingere altri due utenti ad installare il ransomware e pagare essi stessi un riscatto.
Esempi di attacco ransomware
Analizzando ogni tipologia di ransomware attack, vale a dire di attacco ransomware, qui di seguito, sarete in grado di comprendere in maniera approfondita le caratteristiche, le modalità di esecuzione e le strategie utilizzate dai cybercriminali per mettere a segno questo tipo di attacchi. Con gli anni, i ransomware sono cambiati - a livello di codice, e in parte anche a livello di obiettivi e azioni da compiere nei sistemi infetti - ma l'evoluzione di questo tipo di attacchi è sempre stata molto graduale.
WannaCry
Una pericolosa vulnerabilità di Microsoft, venne sfruttata per diffondere un ransomware a livello globale, e infettare più di 250 mila sistemi, prima che la scoperta di un kill switch all'interno del ransomware, fu in grado di bloccarne la diffusione. La stessa Proofpoint è stata coinvolta nell'analisi del ransomware, e nella ricerca del kill switch all'interno del codice. Scopri di più su Wannacry.
CryptoLocker
Fu uno dei primi ransomware a richiedere il pagamento del riscatto in bitcoin, dopo aver crittografato l'hard disk della vittima e ogni altro dispositivo di memorizzazione presente in rete. La sua diffusione avvenne per mezzo di email malevole, contenenti come allegato, una ricevuta con il tracking dei corrieri di spedizione FedEx o UPS. Nel 2014 venne rilasciato uno strumento per riuscire a decrittare i file cifrati da Cryptolocker, ma nel frattempo i cybercriminali erano riusciti ad estorcere già più di 27 milioni di dollari grazie a questo ransomware.
NotPetya
Considerato uno dei più distruttivi attacchi ransomware, NotPetya ereditava dal suo omonimo, Petya, la capacità di infettare e crittografare il master boot record dei sistemi Windows. Sfruttava inoltre le stesse vulnerabilità su cui faceva leva Wannacry per diffondersi rapidamente, richiedendo il pagamento dei riscatti in bitcoin per decifrare i file. Tuttavia, NotPetya non poteva ripristinare le modifiche al master boot record, rendendo di fatto il sistema colpito irrecuperabile. Per questo, a volte, ci si riferiva a tale ransomware con il termine wiper (eliminatore).
Bad Rabbit
Considerato come il cugino di NotPetya, con cui condivideva le stesse strategie di diffusione e un codice sorgente piuttosto simile, Bad Rabbit sembrò diffondersi principalmente in Russia e Ucraina, prendendo di mira le aziende del settore media e informazione. A differenza di NotPeya, Bad Rabbit permetteva però di tornare in possesso dei propri file, se veniva pagato il riscatto. La maggior parte dei casi evidenziò che la sua diffusione avvenne attraverso un aggiornamento fasullo di Flash player, che gli utenti, ignari della minaccia, accettavano di installare.
Come funzionano i ransomware
Il ransomware, la definizione è chiara, è un tipo di malware sviluppato con lo scopo di estorcere denaro alle vittime, alle quali viene impedito di accedere ai propri dati, finché non viene pagato un riscatto. Le due tipologie di ransomware principali sono i crypto-ransomware e gli screen locker ransomware. I crypto-ransomware, come suggerito dal nome, crittografano i file memorizzati nel computer della vittima, rendendo i dati inutilizzabili, senza la chiave di decrittazione. I locker ransomware invece, non crittografano i file, ma si limitano a rendere inaccessibile il dispositivo con una schermata di blocco che avvisa la vittima che il proprio sistema è stato reso inaccessibile.
Immagine 1: Esempio di come un ransomware prova a trarre in inganno la vittima per spingerla ad installarlo
Le vittime di ransomware si ritrovano solitamente di fronte ad una schermata di blocco, che li invita ad acquistare criptovalute come i Bitcoin per pagare il riscatto. Una volta pagato il riscatto, la vittima riceve la chiave di decifratura, con cui provare a decrittare i propri file. Tuttavia il recupero dei file è tutt'altro che garantito, come dimostrato dai tanti rapporti sulla sicurezza informatica, che evidenziano l'imprevedibilità di ogni singolo caso di attacco ransomware. A volte le vittime, nonostante paghino il riscatto richiesto nei tempi concessi, non ricevono alcuna chiave di decifratura. In altri casi, la chiave viene regolarmente fornita e i dati recuperati, ma il ransomware nel frattempo installa componenti e software malevolo, lasciando il sistema compromesso per futuri attacchi e richieste di denaro.
Inizialmente concentrati in prevalenza sui personal computer dei normali utenti domestici, gli attacchi ransomware hanno iniziato, negli anni, a colpire sempre più aziende e organizzazioni, data la maggior propensione e pagare riscatti molto più elevati, per riuscire a ripristinare i propri sistemi e ristabilire la produttività aziendale nel più breve tempo possibile.
Le fasi di un attacco ransomware
Gli attacchi ransomware rivolti alle aziende, prendono il via solitamente da un’email malevola, con la complicità dell'ignaro utente che apre l'allegato o clicca sul link infetto indicato nell'email.
A quel punto, il ransomware viene installato e inizia a crittografare i file salvati nel PC della vittima e in ogni altro dispositivo di memorizzazione collegato in rete. Una volta completato il processo di cifratura, il ransomware mostra un messaggio sullo schermo dell’utente, che lo informa di ciò che è appena avvenuto, e lo invita a pagare il riscatto per rientrare in possesso dei propri file. Se la vittima paga il riscatto, il ransomware promette di farle avere la chiave per decifrare i dati.
Tecniche anti-ransomware
Abbiamo visto cos’è un ransomware e quanto sia importante difendersi contro di esso. La migliore strategia di difesa contro i danni causati dai ransomware, prevede solitamente di configurare il sistema in modo da effettuare periodici backup dei dati e test su tali backup, così come attivare ogni strumento anti-ransomware messo a disposizione dalle suite di sicurezza installate nel sistema. Strumenti come i gateway di sicurezza per la posta elettronica rappresentano la prima linea di difesa, ancor prima degli strumenti di difesa dei dispositivi stessi. I sistemi di rilevamento delle intrusioni, noti come Intrusion Detection Systems o più semplicemente IDSs, vengono talvolta utilizzati per segnalare ogni tentativo anomalo rilevato nel sistema, di mettersi in contatto con server Command and Control (C&C) esterni. Resta fondamentale, nella lotta ai ransomware, il livello di formazione dell'utente, che entra in gioco nel momento in cui si trova di fronte ad un’email malevola contenente il ransomware.
Una misura di emergenza, nel caso in cui ogni difesa preventiva fallisca, è quella di tenere da parte dei Bitcoin. Questo vale per tutte quelle organizzazioni che non possono permettersi di rimanere paralizzate da un attacco ransomware. A particolare rischio di attacco ransomware, sono ad esempio le strutture mediche e ospedaliere, dove le vite dei pazienti potrebbero essere messe a rischio da un improvviso blocco dei sistemi, così come il personale medico potrebbe non riuscire ad accedere alle strutture o a determinate strumentazioni.
Come comportarsi prima e dopo un attacco ransomware
Come Evitare di Rimanere Vittima di Attacchi Ransomware
- Proteggete le vostre caselle di posta dai Ransomware: l'email phishing e lo spam sono i metodi principali con cui vengono diffusi solitamente i ransomware. I gateway di sicurezza per la posta elettronica con protezione dagli attacchi informatici, sono fondamentali per rilevare e bloccare subito email malevole contenenti ransomware. Garantiscono la protezione dell'utente da link e allegati infetti presenti nelle email.
- Difendete i vostri dispositivi mobili dai Ransomware: gli strumenti di protezione dagli attacchi per dispositivi mobili, quando utilizzati in abbinamento con quelli per la gestione di tali dispositivi, (mobile device management o MDM), analizzano ogni applicazione installata e segnalano immediatamente all'utente o al team dedicato alla sicurezza di un'azienda, qualsiasi applicazione pericolosa, in grado di mettere a rischio la sicurezza dell'ambiente.
- Proteggete la vostra navigazione online dai Ransomware: i gateway di sicurezza web, sono in grado di tenere sotto controllo tutto il traffico generato dall'utente durante la navigazione, identificando ad esempio annunci pubblicitari malevoli che possono nascondere ransomware.
- Monitorate il vostro server, la vostra rete e i vostri sistemi di backup: gli strumenti di monitoraggio possono rilevare accessi sospetti ai file, virus, traffico verso server Command and Control (C&C), e carichi di lavoro insoliti sulla CPU, bloccando il ransomware in tempo, prima che inizi a causare danni al sistema. Mantenere un backup completo dei sistemi più critici all'interno di un'organizzazione, serve proprio a ridurre il rischio di interruzione della produttività, causato da sistemi inutilizzabili perché compromessi.
Come rimuovere i ransomware
- Contattare le autorità preposte, come la polizia postale: l'autorità preposta a raccogliere le denunce relative agli attacchi informatici è generalmente la Polizia Postale. Le capacità tecniche e la strumentazione tecnologica di cui dispongono i tecnici della polizia postale, permettono loro di valutare il livello di compromissione del vostro sistema e di raccogliere allo stesso tempo tutte le informazioni legate all'attacco subìto, nel tentativo di identificare i responsabili.
Ripristinare il Sistema Dopo un Attacco Ransomware
- Tenetevi aggiornati online sugli attacchi ransomware: siti come No More Ransom e Bleeping Computer, forniscono consigli, suggerimenti e mettono anche a disposizione alcuni strumenti per decrittare i sistemi colpiti da alcuni tipi di ransomware.
- Ripristinate i dati: se la vostra organizzazione segue le linee guida sulla sicurezza, che raccomandano di tenere sempre backup aggiornati e funzionanti dei dati, sarete in grado di ripristinare senza problemi i vostri sistemi, ed evitare interruzioni alla vostra produttività.
Statistiche sugli attacchi ransomware
Le seguenti statistiche evidenziano la crescita esponenziale degli attacchi ransomware e il costo per le vittime di tali attacchi. Per rimanere aggiornati sulle più recenti statistiche riguardo ai ransomware, potete dare un'occhiata al blog di Proofpoint.
4,000
Una media di 4000 attacchi ransomware si registrano ogni giorno. Fonte: FBI americana.
39%
La maggior parte dei software malevoli, è costituita da ransomware, riscontrato nel 39% dei casi in cui è stato rilevato un malware. Fonte: indagine sui Data Breach, condotta da Verizon nel 2018.
46%
Nel nostro ultimo Rapporto sullo Stato del Phishing, soltanto il 46% degli intervistati sono stati in grado di definire il significato di ransomware.
42%
degli intervistati nel nostro Rapporto sul Rischio per l'Utente, non sono stati in grado di dire che cosa fosse un ransomware.
Guida di sopravvivenza ai ransomware
I cybercriminali sono riusciti a raccogliere più di 209 milioni di dollari dalle vittime di attacchi ransomware, soltanto nei primi tre mesi del 2016, con un volume di attacchi dieci volte superiore di tutti quelli del 2015. Oltre al costo del riscatto poi, questo tipo di attacchi possono costare molto di più: interruzione della propria attività, costi per il ripristino dei sistemi, e danni in termini di reputazione e immagine dell'azienda.