Cos'è un ransomware?

Cos’è un ransomware? Con il termine ransomware (significato derivante dall’inglese “ransom”, riscatto) si intende una tipologia di malware che blocca l'accesso a un computer cifrando i dati in esso contenuti, con l'obiettivo di ottenere un riscatto dalla vittima, per poter accedere nuovamente ai propri dati. Se la vittima non paga il riscatto richiesto dai criminali entro il tempo concesso, i dati non saranno più accessibili, e andranno persi definitivamente.

Gli attacchi ransomware sono sempre più comuni oggigiorno. Le più grandi aziende europee e americane sono cadute vittime di questo tipo di attacchi. I cybercriminali non si fanno scrupoli ad attaccare dal semplice utente, alle aziende di qualsiasi dimensione e settore.

Le autorità raccomandano di non pagare alcun riscatto, per non alimentare ancor di più la diffusione di questo tipo di attacchi, come evidenziato nel Progetto Stop ai Ransomware. Inoltre, la metà di coloro che pagano il riscatto, diventano poi bersaglio di continue richieste di denaro da parte dei cybercriminali.

Il primo attacco ransomware della storia risale al 1989, quando il trojan AIDS, noto anche come Aids Info Disk o PC Cyborg Trojan, venne utilizzato per estorcere denaro alle vittime dell'attacco, che erano costrette a inviare il pagamento via posta a Panama, per ottenere, sempre via posta, la chiave di decifratura per rientrare in possesso dei propri dati.

Nel 1996, i ricercatori della Columbia University, Moti Yung e Adam Young, definirono gli attacchi ransomware come un'estorsione crittovirale. Questa idea, nata in ambito accademico, mise in luce l'evoluzione, la potenza, e lo sviluppo di strumenti crittografici innovativi. Young e Yung presentarono il primo attacco crittovirale nel 1996, alla conferenza dell'IEEE sulla Privacy e Sicurezza. Il loro virus conteneva la chiave pubblica dell'attaccante ed era in grado di cifrare i file della vittima. Il malware richiedeva quindi all'utente di inviare il ciphertext (letteralmente testo cifrato) all'attaccante per la decifratura e per ottenere così la chiave di decrittazione — in cambio di un riscatto.

L’evoluzione degli attacchi ransomware

I cybercriminali sono diventati sempre più creativi negli anni, con l'adozione di metodi di pagamento dei riscatti molto difficili da tracciare, e in grado quindi di garantire loro un certo anonimato. Ad esempio Fusob, un noto ransomware per dispositivi mobili, richiedeva agli utenti di pagare il riscatto attraverso l'utilizzo di gift card iTunes della Apple, anziché in dollari, euro o altre valute.

La diffusione dei ransomware, ha iniziato a crescere di pari passo con la crescita delle criptovalute, come il Bitcoin. La criptovaluta non è altro che una valuta digitale che utilizza tecniche di cifratura, per verificare e rendere sicure le transazioni, oltre che per controllare la creazione di nuova valuta. Anche se resta ancora la più popolare, esistono molte altre criptovalute oltre ai Bitcoin, con cui i cybercriminali possono richiedere di essere pagati dalle vittime degli attacchi, tra cui Ethereum, Litecoin e Ripple.

Gli attacchi ransomware, hanno colpito negli anni enti e organizzazioni nei più disparati settori a livello mondiale. Famoso il caso del Presbyterian Memorial Hospital, che mise in evidenza le capacità distruttive dei ransomware. Laboratori, farmacie e pronto soccorso finirono nel mirino dei cybercriminali.

Anche le tecniche di social engineering iniziarono ad evolversi per rendere più efficaci gli attacchi ransomware. In un articolo del quotidiano britannico The Guardian, venne riportato il caso di un attacco, in cui i cybercriminali avevano anche imposto a ognuna delle vittime, come condizione per tornare in possesso dei propri dati, di spingere altri due utenti ad installare il ransomware e pagare essi stessi un riscatto.

La crescente diffusione dei ransomware ha portato ad una crescente complessità degli attacchi ransomware.

• Scareware: questa tipologia comune di ransomware inganna gli utenti visualizzando un falso messaggio di avviso in cui si afferma che è stato rilevato un malware sul computer della vittima. Questi attacchi sono spesso mascherati da una soluzione antivirus che richiede un pagamento per rimuovere il malware inesistente.
• Screen lockers: questi programmi sono progettati per impedire alla vittima di accedere al computer, impedendole di accedere a qualsiasi file o dato. In genere viene visualizzato un messaggio che richiede un pagamento per sbloccare il dispositivo.
• Encrypting ransomware: chiamato anche “crypto-ransomware”, questo comune ransomware cripta i file della vittima e richiede un pagamento in cambio di una chiave di decriptazione.
• Estorsione DDoS: un'estorsione di tipo Distributed Denial of Service minaccia di lanciare un attacco DDoS contro il sito web o la rete della vittima a meno che non venga pagato un riscatto.
• Mobile ransomware: come suggerisce il nome, il ransomware mobile prende di mira dispositivi come smartphone e tablet e richiede un pagamento per sbloccare il dispositivo o decriptare i dati.
• Doxware: anche se meno comune, questo sofisticato tipo di ransomware minaccia di pubblicare informazioni sensibili, esplicite o riservate dal computer della vittima a meno che non venga pagato un riscatto.
• Ransomware-as-a-Service (RaaS): i cybercriminali offrono programmi ransomware ad altri hacker o cyber-attaccanti che utilizzano tali programmi per colpire le vittime.

Questi sono solo alcuni dei tipi più comuni di ransomware. Man mano che i criminali informatici si adattano alle strategie di sicurezza informatica, si orientano verso modi nuovi e innovativi per sfruttare le vulnerabilità e violare i sistemi informatici.

Analizzando ogni tipologia di ransomware attack, vale a dire di attacco ransomware, qui di seguito, sarete in grado di comprendere in maniera approfondita le caratteristiche, le modalità di esecuzione e le strategie utilizzate dai cybercriminali per mettere a segno questo tipo di attacchi. Con gli anni, i ransomware sono cambiati - a livello di codice, e in parte anche a livello di obiettivi e azioni da compiere nei sistemi infetti - ma l'evoluzione di questo tipo di attacchi è sempre stata molto graduale.

WannaCry

Una pericolosa vulnerabilità di Microsoft, venne sfruttata per diffondere un ransomware a livello globale, e infettare più di 250 mila sistemi, prima che la scoperta di un kill switch all'interno del ransomware, fu in grado di bloccarne la diffusione. La stessa Proofpoint è stata coinvolta nell'analisi del ransomware, e nella ricerca del kill switch all'interno del codice. Scopri di più su Wannacry.

CryptoLocker

Fu uno dei primi ransomware a richiedere il pagamento del riscatto in bitcoin, dopo aver crittografato l'hard disk della vittima e ogni altro dispositivo di memorizzazione presente in rete. La sua diffusione avvenne per mezzo di email, contenenti come allegato malevole, una ricevuta con il tracking dei corrieri di spedizione FedEx o UPS. Nel 2014 venne rilasciato uno strumento per riuscire a decrittare i file cifrati da Cryptolocker, ma nel frattempo i cybercriminali erano riusciti ad estorcere già più di 27 milioni di dollari grazie a questo ransomware.

NotPetya

Considerato uno dei più distruttivi attacchi ransomware, NotPetya ereditava dal suo omonimo, Petya, la capacità di infettare e crittografare il master boot record dei sistemi Windows. Sfruttava inoltre le stesse vulnerabilità su cui faceva leva Wannacry per diffondersi rapidamente, richiedendo il pagamento dei riscatti in bitcoin per decifrare i file. Tuttavia, NotPetya non poteva ripristinare le modifiche al master boot record, rendendo di fatto il sistema colpito irrecuperabile. Per questo, a volte, ci si riferiva a tale ransomware con il termine wiper (eliminatore).

Bad Rabbit

Considerato come il cugino di NotPetya, con cui condivideva le stesse strategie di diffusione e un codice sorgente piuttosto simile, Bad Rabbit sembrò diffondersi principalmente in Russia e Ucraina, prendendo di mira le aziende del settore media e informazione. A differenza di NotPeya, Bad Rabbit permetteva però di tornare in possesso dei propri file, se veniva pagato il riscatto. La maggior parte dei casi evidenziò che la sua diffusione avvenne attraverso un aggiornamento fasullo di Flash player, che gli utenti, ignari della minaccia, accettavano di installare.

REvil

REvil è stato creato da un gruppo di aggressori motivati finanziariamente. Questa tipologia di ransomware esfiltra i dati prima della crittografia per ricattare le vittime che decidono di non inviare il riscatto. L'attacco è scaturito dalla compromissione del software di gestione IT utilizzato per applicare le patch alle infrastrutture Windows e Mac. Gli aggressori hanno compromesso il software Kaseya utilizzato per iniettare il ransomware REvil nei sistemi aziendali.

Ryuk

Ryuk è un'applicazione ransomware distribuita manualmente e utilizzata principalmente nello spear-phishing. I bersagli vengono scelti con cura grazie alla ricognizione. I messaggi e-mail vengono inviati alle vittime prescelte e tutti i file ospitati sul sistema infetto vengono crittografati.

Sebbene il volume degli attacchi ransomware fluttui nel corso degli anni, questa tipologia di attacchi informatici rimane uno degli attacchi più comuni e costosi per le organizzazioni. Le statistiche sugli attacchi ransomware sono un'allarmante invito all'azione per le organizzazioni a rafforzare le misure di sicurezza informatica e la formazione sulla sicurezza.

• Secondo il rapporto “The State of Ransomware 2022” di Sophos, gli attacchi ransomware colpiranno il 66% delle organizzazioni nel 2021, con un drammatico aumento del 78% rispetto al 2020.
• Il rapporto “State of the Phish 2023” di Proofpoint ha rilevato che il 64% delle organizzazioni intervistate ha dichiarato di essere stato colpito da ransomware nel 2022, e più di due terzi di questo gruppo ha riferito di aver subito più incidenti. A loro volta, gli esperti ipotizzano che l'anno scorso il numero effettivo di incidenti e di perdite associate sia stato molto più alto di quanto riportato.
• Il settore sanitario continua a essere il più bersagliato dal ransomware, con un tasso di pagamento del riscatto dell'85%. Tuttavia, le istituzioni scolastiche hanno registrato il maggiore aumento (28% nel 2021) degli attacchi ransomware, secondo il Rapporto Ransomware 2022 di BlackFog.
• I sistemi Windows hanno rappresentato la stragrande maggioranza dei sistemi colpiti, rappresentando il 95% degli attacchi malware ransomware, secondo il servizio VirusTotal di Google.
• Secondo Cybersecurity Ventures, si prevede che gli attacchi ransomware costeranno alle vittime oltre 265 miliardi di dollari di danni annuali entro il 2031.

In linea con le ultime statistiche, le tendenze dei ransomware continuano ad evolvere. Tra le tendenze più interessanti da notare ci sono:

• Minacce sempre più diffuse a livello globale
• Attacchi più mirati e sofisticati
• Crescita delle tecniche di estorsione a più livelli
• Aumento della frequenza delle violazioni del ransomware
• I prezzi dei riscatti si stabilizzano con il rafforzamento delle misure di sicurezza

L'intervento dei governi è un'altra tendenza importante che potrebbe modificare le modalità di gestione degli attacchi ransomware. Gartner prevede che il 30% dei governi globali probabilmente adotterà una legislazione sul pagamento dei ransomware entro il 2025.

Anche lo sconto medio sui pagamenti dei ransomware sembra essere in aumento. In base alle ultime tendenze del ransomware, le vittime possono aspettarsi uno sconto tra il 20% e il 25% sul pagamento del riscatto, con alcuni sconti fino al 60%.

Il ransomware, la definizione è chiara, è un tipo di malware sviluppato con lo scopo di estorcere denaro alle vittime, alle quali viene impedito di accedere ai propri dati, finché non viene pagato un riscatto. Le due tipologie di ransomware principali sono i crypto-ransomware e gli screen locker ransomware. I crypto-ransomware, come suggerito dal nome, crittografano i file memorizzati nel computer della vittima, rendendo i dati inutilizzabili, senza la chiave di decrittazione. I locker ransomware invece, non crittografano i file, ma si limitano a rendere inaccessibile il dispositivo con una schermata di blocco che avvisa la vittima che il proprio sistema è stato reso inaccessibile.

Immagine 1: Esempio di come un ransomware prova a trarre in inganno la vittima per spingerla ad installarlo

Le vittime di ransomware si ritrovano solitamente di fronte ad una schermata di blocco, che li invita ad acquistare criptovalute come i Bitcoin per pagare il riscatto. Una volta pagato il riscatto, la vittima riceve la chiave di decifratura, con cui provare a decrittare i propri file. Tuttavia il recupero dei file è tutt'altro che garantito, come dimostrato dai tanti rapporti sulla sicurezza informatica, che evidenziano l'imprevedibilità di ogni singolo caso di attacco ransomware. A volte le vittime, nonostante paghino il riscatto richiesto nei tempi concessi, non ricevono alcuna chiave di decifratura. In altri casi, la chiave viene regolarmente fornita e i dati recuperati, ma il ransomware nel frattempo installa componenti e software malevolo, lasciando il sistema compromesso per futuri attacchi e richieste di denaro.

Inizialmente concentrati in prevalenza sui personal computer dei normali utenti domestici, gli attacchi ransomware hanno iniziato, negli anni, a colpire sempre più aziende e organizzazioni, data la maggior propensione e pagare riscatti molto più elevati, per riuscire a ripristinare i propri sistemi e ristabilire la produttività aziendale nel più breve tempo possibile.

Le fasi di un attacco ransomware

Gli attacchi ransomware rivolti alle aziende, prendono il via solitamente da un’email malevola, con la complicità dell'ignaro utente che apre l'allegato o clicca sul link infetto indicato nell'email.

A quel punto, il ransomware viene installato e inizia a crittografare i file salvati nel PC della vittima e in ogni altro dispositivo di memorizzazione collegato in rete. Una volta completato il processo di cifratura, il ransomware mostra un messaggio sullo schermo dell’utente, che lo informa di ciò che è appena avvenuto, e lo invita a pagare il riscatto per rientrare in possesso dei propri file. Se la vittima paga il riscatto, il ransomware promette di farle avere la chiave per decifrare i dati.

Qualsiasi dispositivo connesso a Internet rischia di diventare la prossima vittima di un attacco ransomware. Il ransomware esegue la scansione di un dispositivo locale e di qualsiasi dispositivo di archiviazione connesso alla rete, il che significa che un dispositivo vulnerabile rende la rete locale una potenziale vittima. Se la rete locale è un'azienda, il ransomware potrebbe criptare documenti importanti e file di sistema, interrompendo i servizi e la produttività.

Se un dispositivo si connette a Internet, deve essere aggiornato con le ultime patch di sicurezza del software e deve avere installato un anti-malware che rilevi e blocchi il ransomware. I sistemi operativi obsoleti, come Windows XP, che non vengono più mantenuti, sono molto più a rischio.

Un'azienda vittima di ransomware può perdere migliaia di dollari in termini di produttività e perdita di dati. Gli aggressori, una volta ottenuto l'accesso ai dati, ricattano le vittime affinché paghino il riscatto, minacciando di rilasciare i dati e di rendere pubblica la violazione dei dati (data breach). Le organizzazioni che non pagano abbastanza velocemente potrebbero subire ulteriori effetti collaterali, come danni al marchio e controversie legali.

Poiché il ransomware blocca la produttività, il primo passo è il contenimento. Dopo il contenimento, l'organizzazione può ripristinare dai backup o pagare il riscatto. Le forze dell'ordine vengono coinvolte nelle indagini, ma rintracciare gli autori del ransomware richiede tempi di ricerca che ritardano il ripristino. L'analisi delle cause individua la vulnerabilità, ma eventuali ritardi nel ripristino hanno un impatto sulla produttività e sui ricavi aziendali.

Con l'aumento del numero di persone che lavorano da casa, gli attori delle minacce hanno aumentato il ricorso al phishing. Il phishing è il principale punto di partenza per l'infezione da ransomware. L'e-mail di phishing prende di mira i dipendenti, sia gli utenti a basso che ad alto livello di privilegio. L'e-mail è poco costosa e facile da usare, il che rende conveniente per gli aggressori diffondere il ransomware.

I documenti vengono generalmente trasmessi via e-mail, per cui gli utenti generalmente non ci pensano due volte ad aprire un file allegato a un'e-mail. In questo modo, la macro malevola viene eseguita, scarica il ransomware sul dispositivo locale e poi consegna il suo payload. La facilità di diffusione del ransomware tramite e-mail è il motivo per cui questo attacco malware è molto diffuso.

Anche la disponibilità di kit di malware ha contribuito alla diffusione degli attacchi ransomware. Questi kit di exploit scansionano i dispositivi alla ricerca di vulnerabilità software e distribuiscono malware aggiuntivo per infettare ulteriormente un dispositivo, producendo campioni di malware su richiesta. Le tendenze del malware-as-a-service hanno alimentato la popolarità di questi kit.

Gli attacchi più sofisticati potrebbero utilizzare ransomware con autori che creano le proprie versioni. Le varianti utilizzano la base di codice di una versione di ransomware esistente e modificano solo una parte delle funzioni per cambiare il payload e il metodo di attacco. Gli autori di ransomware possono personalizzare il loro malware in modo che esegua qualsiasi azione e utilizzi il codice di crittografia preferito.

Gli aggressori non sono sempre gli autori. Alcuni autori di ransomware vendono il loro software ad altri o lo affittano per l'uso. Il ransomware può essere noleggiato come malware-as-a-service (MaaS), dove i clienti si autenticano in un dashboard e lanciano la propria campagna. Pertanto, gli aggressori non sono sempre codificatori ed esperti di malware. Sono anche persone che pagano gli autori per affittare il loro ransomware.

Dopo aver crittografato i file, il ransomware mostra all'utente una schermata che annuncia i file crittografati e l'importo del riscatto. Di solito, alla vittima viene concesso un periodo di tempo specifico per pagare o il riscatto aumenta. Gli aggressori minacciano anche di esporre le aziende e di annunciare pubblicamente che sono state vittime di un ransomware.

Il rischio maggiore di pagare il riscatto è quello di non ricevere mai le chiavi di cifratura per decifrare i dati. La maggior parte degli esperti sconsiglia di pagare il riscatto per non perpetuare i vantaggi monetari per gli aggressori, ma molte organizzazioni non hanno scelta. Gli autori di ransomware richiedono pagamenti in criptovaluta, quindi il trasferimento di denaro non può essere annullato.

Gli autori modificano costantemente il codice in nuove varianti per evitare il rilevamento. Gli amministratori e gli sviluppatori di anti malware devono tenere il passo con questi nuovi metodi per rilevare rapidamente le minacce prima che si propaghino nella rete. Ecco alcune nuove minacce:

• Caricamento laterale di DLL. Il malware tenta di evitare il rilevamento utilizzando DLL e servizi che appaiono come funzioni legittime.
• Server Web come bersaglio. Il malware in un ambiente di hosting condiviso può colpire tutti i siti ospitati sul server. I ransomware, come Ryuk, prendono di mira i siti ospitati, principalmente utilizzando e-mail di phishing.
• Spear-phishing è preferito al phishing standard. Invece di inviare malware a migliaia di obiettivi, gli aggressori effettuano una ricognizione sui potenziali obiettivi per ottenere l'accesso alla rete con privilegi elevati.
• Il Ransomware-as-a-Service (RaaS) consente ad un utente comune la possibilità di sferrare attacchi senza alcuna conoscenza di cybersecurity. L'introduzione di RaaS ha portato a un aumento degli attacchi ransomware.

Una delle cause principali dell'aumento delle minacce che utilizzano il ransomware è il lavoro a distanza. La pandemia ha introdotto un nuovo modo di lavorare a livello globale. La forza lavoro da casa è molto più vulnerabile alle minacce. Gli utenti domestici non dispongono della cybersecurity di livello aziendale necessaria per proteggersi da attacchi sofisticati e molti di questi utenti uniscono i loro dispositivi personali a quelli di lavoro. Poiché il ransomware scansiona la rete alla ricerca di dispositivi vulnerabili, i computer personali infettati da malware possono infettare anche le macchine aziendali collegate alla rete.

La prevenzione degli attacchi ransomware prevede in genere l'impostazione e la verifica dei backup e l'applicazione della protezione anti ransomware negli strumenti di sicurezza. Gli strumenti di sicurezza, come i gateway di protezione della posta elettronica, sono la prima linea di difesa, mentre gli endpoint sono una difesa secondaria. I sistemi di rilevamento delle intrusioni (IDS) sono in grado di rilevare il comando e il controllo del ransomware e di segnalare la presenza di un sistema di ransomware che chiama un server di controllo. La formazione degli utenti è fondamentale, ma è solo uno dei vari livelli di difesa contro il ransomware. In genere entra in gioco dopo l'invio del ransomware tramite e-mail di phishing.

Nel caso in cui le altre difese preventive anti ransomware falliscano, una misura di ripiego è quella di accumulare Bitcoin. Questa pratica è più diffusa nei casi in cui un danno immediato potrebbe avere un impatto sui clienti o sugli utenti dell'organizzazione colpita. Gli ospedali e l'industria dell'ospitalità sono particolarmente a rischio di ransomware, poiché la vita dei pazienti potrebbe essere compromessa o le persone potrebbero essere bloccate all'interno o all'esterno delle strutture.

Come evitare di rimanere vittima di attacchi ransomware

• Proteggete le vostre caselle di posta dai Ransomware: l'email phishing e lo spam sono i metodi principali con cui vengono diffusi solitamente i ransomware. I gateway di sicurezza per la posta elettronica con protezione dagli attacchi informatici, sono fondamentali per rilevare e bloccare subito email malevole contenenti ransomware. Garantiscono la protezione dell'utente da link e allegati infetti presenti nelle email.
• Difendete i vostri dispositivi mobili dai Ransomware: gli strumenti di protezione dagli attacchi per dispositivi mobili, quando utilizzati in abbinamento con quelli per la gestione di tali dispositivi, (mobile device management o MDM), analizzano ogni applicazione installata e segnalano immediatamente all'utente o al team dedicato alla sicurezza di un'azienda, qualsiasi applicazione pericolosa, in grado di mettere a rischio la sicurezza dell'ambiente.
• Proteggete la vostra navigazione online dai Ransomware: i gateway di sicurezza web, sono in grado di tenere sotto controllo tutto il traffico generato dall'utente durante la navigazione, identificando ad esempio annunci pubblicitari malevoli che possono nascondere ransomware.
• Monitorate il vostro server, la vostra rete e i vostri sistemi di backup: gli strumenti di monitoraggio possono rilevare accessi sospetti ai file, virus informatici, traffico verso server Command and Control (C&C), e carichi di lavoro insoliti sulla CPU, bloccando il ransomware in tempo, prima che inizi a causare danni al sistema. Mantenere un backup completo dei sistemi più critici all'interno di un'organizzazione, serve proprio a ridurre il rischio di interruzione della produttività, causato da sistemi inutilizzabili perché compromessi.

Come rimuovere i ransomware

• Contattare le autorità preposte, come la polizia postale: l'autorità preposta a raccogliere le denunce relative agli attacchi informatici è generalmente la Polizia Postale. Le capacità tecniche e la strumentazione tecnologica di cui dispongono i tecnici della polizia postale, permettono loro di valutare il livello di compromissione del vostro sistema e di raccogliere allo stesso tempo tutte le informazioni legate all'attacco subìto, nel tentativo di identificare i responsabili.

Ripristinare il Sistema Dopo un Attacco Ransomware

• Tenetevi aggiornati online sugli attacchi ransomware: siti come No More Ransom e Bleeping Computer, forniscono consigli, suggerimenti e mettono anche a disposizione alcuni strumenti per decrittare i sistemi colpiti da alcuni tipi di ransomware.
• Ripristinate i dati: se la vostra organizzazione segue le linee guida sulla sicurezza, che raccomandano di tenere sempre backup aggiornati e funzionanti dei dati, sarete in grado di ripristinare senza problemi i vostri sistemi, ed evitare interruzioni alla vostra produttività.