Che cos'è il ransomware e come proteggersi dai suoi pericoli

Il ransomware è una minaccia importante che colpisce sia gli utenti domestici che quelli aziendali.

Con una perdita temporanea o permanente di dati e informazioni, il ransomware influisce sul tuo capitale e sulla reputazione dell'azienda. È essenziale proteggere i tuoi beni da un attacco ransomware prima che sia troppo tardi per rendersi conto delle conseguenze che potrebbe avere.

Prima di tutto, devi esaminare il tuo framework di sicurezza per individuare eventuali difetti che potrebbero invitare un programma ransomware dannoso, monitorare ogni log per riconoscere qualsiasi minaccia ransomware emergente e adottare le migliori pratiche di cybersecurity per mettere in atto una forte difesa.

Software come software SIEM, soluzioni antivirus, strumenti di valutazione delle vulnerabilità, software anti-spam per email aiutano a combattere il ransomware.

Cos'è un attacco ransomware? 

Derivando dalle sue radici nella cripto virologia (lo studio della crittografia utilizzata nella progettazione di software dannosi), il ransomware crittografa i file delle vittime su un disco rigido e richiede un pagamento per decrittografarli. Alcuni programmi malware sono semplici, come scareware, che una persona esperta può facilmente superare per accedere ai propri dati. Tuttavia, molti programmi ransomware sfruttano tecniche come l'estorsione crittovirale, dove la decrittazione dei file diventa complicata senza la chiave di decrittazione.

Gli hacker generalmente utilizzano trojan, malware mascherati da file genuini, per eseguire un'infezione ransomware. Dovrai essere cauto mentre scarichi un file che è arrivato come allegato legittimo nella tua email o cliccando su un link che ti porta a un sito web falso, poiché potrebbe facilmente essere un attacco di ingegneria sociale come il phishing. I trojan possono anche essere distribuiti attraverso una vulnerabilità nel servizio di rete. 

Nell'attuale panorama della cybersecurity, gli hacker stanno sviluppando ceppi di malware potenziati dall'IA che nascondono le condizioni necessarie per sbloccare i file mentre distribuiscono software dannosi non rintracciabili nel tuo dispositivo.

Considerando il tempo di inattività, la perdita di dati e informazioni, l'ostacolo alla funzionalità, il costo del dispositivo, il costo della rete, la richiesta di riscatto e altro, un attacco ransomware può causare una pesante perdita finanziaria a un'organizzazione. È essenziale adottare misure preventive appropriate per proteggere la tua rete e il tuo sistema da tali attacchi malware.

Come funziona il ransomware?

Il ransomware che crittografa i file segue una tecnica di estorsione crittovirale. Il concetto è stato originariamente inventato da Young e Yung alla Columbia University. Poi, è stato presentato alla conferenza IEEE Security and Privacy del 1996.

In questo processo, la chiave privata dell'attaccante non viene mai esposta alla vittima. Poiché la chiave simmetrica è generata casualmente, non può essere utilizzata da altre vittime di ransomware.

Quando il ransomware entra nei sistemi, esegue un payload – un programma che esegue azioni dannose. Il payload blocca il sistema o afferma di bloccarlo (come un programma scareware). Visualizza un messaggio di avviso, affermando che hai svolto attività illegali sul tuo sistema in alcuni casi.

Ci sono casi in cui il ransomware ti blocca fuori dal sistema operativo modificando l'interfaccia grafica utente (GUI) in Microsoft Windows o il record di avvio principale per impedire il riavvio.

Tipi di ransomware

Esistono diversi tipi di ransomware progettati per soddisfare molteplici motivi dell'attaccante. Dai un'occhiata ai tipi per identificare un attacco ransomware se mai ne incontri uno.

Ransomware che crittografa i file

I ransomware che crittografano i file sono programmi che distribuiscono un payload nei tuoi sistemi, che crittografa i tuoi file utilizzando tecniche come l'estorsione crittovirale, tra le altre. Quando distribuito, il programma malware esegue un payload che ti blocca fuori dal tuo sistema in modo tipico. Questi payload possono a volte visualizzare falsi messaggi di avviso da parte delle forze dell'ordine, notificandoti di attività illegali condotte sul tuo sistema.

Ci può essere un payload a due stadi in alcuni casi, dove la vittima viene ingannata a eseguire uno script che scarica il virus principale nel sistema. Nelle prime versioni del programma ransomware a doppio payload, un documento Microsoft 365 conteneva uno script con un Macro VBScript allegato, o era presente nel file Windows Scripting Facility (WSF).

Inoltre, alcune varianti di ransomware che crittografano i file utilizzano proxy legati al servizio nascosto Tor, rendendo difficile rintracciare l'esatta posizione del criminale informatico.

Ransomware non crittografante

I programmi ransomware non crittografanti non fanno parte degli strumenti di crittografia, ma limitano l'accesso ai tuoi file e informazioni. Ci sono casi in cui gli utenti vengono bloccati fuori dai loro sistemi e vengono mostrate immagini pornografiche, così l'utente viene spinto a inviare SMS a tariffa premium per ricevere un codice di sblocco. 

Il ransomware Winlock ha seguito una procedura simile nell'agosto 2010, riuscendo a estorcere oltre 16 milioni di dollari da diversi utenti finali.

A volte l'obiettivo principale del malware non crittografante è frustrare l'utente nel tentativo di chiudere la pagina. In tali casi, gli utenti possono vedere un messaggio di avviso che li ritiene responsabili e responsabili di atti illegali condotti sulla tua macchina. 

Leakware

È anche chiamato extrotionware, doxware e exfiltrationware. In poche parole, il leakware è il contrario del ransomware. Nei casi in cui quest'ultimo limita l'accesso di un utente alle proprie informazioni, il leakware minaccia l'utente di esporre le proprie informazioni al pubblico. Gli attaccanti fanno pressione sulla vittima per pagare il riscatto per evitare l'esposizione dei loro dati sensibili. 

I programmi leakware prendono di mira principalmente quegli utenti che hanno informazioni di terze parti memorizzate nei loro sistemi. Include dati dei clienti, dati finanziari e altro. Gli utenti che hanno informazioni come segreti commerciali o informazioni riservate di un prodotto possono anche essere potenziali bersagli di tali attacchi. Le informazioni che sono cruciali per un utente, come i loro dati sanitari sensibili o informazioni imbarazzanti, alimentano anche un attacco leakware in molti casi.

Ransomware mobile

Quando la popolarità del ransomware sui sistemi informatici è cresciuta, la sua introduzione nei telefoni cellulari era inevitabile, poiché era redditizia. Gli attaccanti hanno principalmente preso di mira gli smartphone Android per sfruttare la sua facilità di scaricare e installare app da fonti di terze parti.

Nel ransomware mobile, un individuo ignaro scarica un'app che è un programma ransomware mascherato da file APK. Il payload esegue un programma che visualizza un messaggio di blocco o di avviso su altre applicazioni sul tuo telefono. A volte, il payload può ingannarti nel fornire privilegi di amministratore dove il ransomware può approfondire il tuo dispositivo. 

Il ransomware può anche colpire le fotocamere digitali sfruttando le vulnerabilità nel protocollo di trasferimento delle immagini (PTP). Un tale attacco è stato presentato nell'agosto 2019 a Defcon come un attacco proof of concept.

Ransomware as a Service (RaaS)

RaaS soddisfa le esigenze di un hacker per lanciare un attacco ransomware. È come un'offerta SaaS, dove alcune organizzazioni di cybercriminalità prendono una tassa di licenza mensile, mentre altre prendono una commissione dal riscatto estorto da una vittima.

Un tipico abbonamento RaaS è addebitato a circa $50 e viene fornito con un codice ransomware e una chiave di decrittazione. Consente ai principianti con poche competenze di hacking di entrare nel mondo del crimine informatico e testare i loro metodi e tattiche dannose.

Le organizzazioni RaaS gestiscono le loro operazioni in modo sofisticato sul dark web. Come qualsiasi tipica attività SaaS, RaaS ha tre modelli di abbonamento: oro, argento e bronzo.

Ransomware a doppia e tripla estorsione

I ransomware a doppia e tripla estorsione sono forme avanzate e sempre più dannose di attacchi ransomware che sono emerse negli ultimi anni.

La doppia estorsione segue il normale schema di attacco ransomware estorcendo le vittime per pagare un riscatto due volte.

Il ransomware a tripla estorsione porta le tattiche di estorsione un passo avanti coinvolgendo un terzo livello di minaccia. Oltre a crittografare i dati della vittima e minacciare di divulgarli, gli attaccanti minacciano anche di interrompere le operazioni aziendali della vittima o di lanciare un attacco di negazione del servizio distribuito (DDoS) contro i loro sistemi se il riscatto non viene pagato.

Qual è l'impatto del ransomware? 

Quasi un quarto (24%) degli incidenti che coinvolgono malware sono ransomware. L'impatto di un attacco ransomware può essere disastroso. Anche se paghi il riscatto, non c'è certezza che avrai accesso ai tuoi dati, il che può portare a conseguenze ancora più gravi. 

Non importa se provieni da una grande o piccola organizzazione; un attacco ransomware avrà un impatto sul tuo capitale così come sulla reputazione, che è un bene costoso negli affari. Può anche causare un notevole tempo di inattività con un periodo di recupero prolungato, influenzando devastantemente la tua attività.

Come proteggere la tua rete dal ransomware

Il ransomware è una minaccia persistente per gli utenti domestici e aziendali. Poiché porta a una perdita temporanea o permanente di informazioni per un'entità e causa perdite finanziarie e reputazionali, è essenziale avere strategie di mitigazione in atto. Dovresti adottare le migliori pratiche del settore focalizzate sulla prevenzione e risposta a un attacco ransomware.

Disclaimer: Queste linee guida si basano su raccomandazioni del Governo degli Stati Uniti. G2 non offre consulenza legale. Se hai domande legali, consulta un avvocato autorizzato.

Forma il tuo personale

I dipendenti sono forse il percorso più semplice per gli attori informatici per penetrare nelle tue difese di sicurezza. È fondamentale formare i tuoi dipendenti contro le tecniche degli hacker dannosi per iniettare malware nelle tue reti.

Educa il tuo personale a non cadere preda di tentativi di ingegneria sociale che li ingannano nel cliccare su un link non richiesto o nel divulgare le loro password. È consigliabile testare il tuo team con email di phishing simulate, pretexting e altro.

Adotta misure preventive

Il modo migliore per proteggere le tue reti dal ransomware è stabilire misure preventive appropriate e prendere precauzioni. Per evitare l'iniezione di ransomware, il governo degli Stati Uniti raccomanda le seguenti misure precauzionali.

• Implementa un programma di formazione per diffondere la consapevolezza tra i tuoi dipendenti e assicurati che siano ben informati sul ransomware e su come viene distribuito.
• Autentica le email in entrata per prevenire lo spoofing delle email. Assicurati di avere filtri anti-spam per email per prevenire tentativi di phishing.
• Scansiona le email in entrata e in uscita per impedire che file eseguibili raggiungano gli utenti.
• Blocca gli indirizzi IP dannosi configurando il tuo firewall. 
• Considera l'uso di un sistema di gestione delle patch per aggiornare firmware, software e sistemi operativi sul tuo computer.
• Esegui una scansione regolare per virus e malware con software antivirus e software anti-malware.
• Regola efficacemente i privilegi di accesso degli utenti. Assicurati che nessun utente riceva l'accesso amministrativo fino a quando non diventa inevitabile. Coloro che necessitano di privilegi amministrativi dovrebbero usarli con cura e solo quando richiesto.
• Gestisci i privilegi di accesso a file, directory e condivisioni con la struttura del minimo privilegio in mente.
• Considera l'uso di un visualizzatore di ufficio per aprire file MS-office consegnati tramite email invece di utilizzare la suite completa. Assicurati di disabilitare le macro per i file trasferiti via email.
• Previeni l'esecuzione di un programma da posizioni comuni di ransomware come le cartelle temporanee che supportano i browser internet popolari.
• Se il Remote Desktop Protocol (RDP) non viene utilizzato, considera di disabilitarlo.
• Consenti l'esecuzione di programmi solo da fonti conosciute e affidabili.
• Usa ambienti virtualizzati per utilizzare ambienti di sistema operativo o determinati programmi.
• Abilita la separazione logica e fisica delle reti per diverse unità nella tua organizzazione mentre categorizzi i dati in base al valore organizzativo.

Assicura la continuità aziendale

Poiché gli attacchi ransomware possono causare una perdita temporanea o permanente di dati, è consigliabile avere un backup dei dati pronto. Ti aiuterà a garantire la continuità aziendale se si verifica l'incidente sfortunato. 

Il governo degli Stati Uniti raccomanda di condurre test di penetrazione e valutazione delle vulnerabilità almeno una volta all'anno.

Assicurati che i tuoi backup siano sicuri e non siano collegati permanentemente al computer o alle reti che stanno eseguendo il backup. Ci sono casi in cui i backup basati su cloud potrebbero essere bloccati in un incidente ransomware, in cui i sistemi e le reti eseguono il backup delle informazioni in tempo reale. Questi sono fondamentali per la risposta agli incidenti e il recupero poiché ti aiutano a rimetterti in piedi per evitare tempi di inattività quando si verificano incidenti.

Esempi reali di attacchi ransomware

Gli attacchi ransomware hanno causato scompiglio per individui e aziende per anni. Ecco alcuni attacchi ransomware da cui imparare.

Reveton

Un ransomware noto come Reveton, basato sul trojan Citadel, si è diffuso nel 2012 nei paesi europei. Il suo payload visualizzava un messaggio allarmante da parte delle forze dell'ordine, affermando che ci sono state attività illegali come il download di software non autorizzato o pornografia infantile sulla tua macchina. Il messaggio spingeva gli utenti a pagare una multa utilizzando un voucher di servizio di contanti prepagato anonimo come un Paysafecard.

Per amplificare l'illusione falsa, agli utenti venivano mostrati i loro indirizzi IP e registrazioni dalla loro webcam per dimostrare che erano stati tracciati e che il messaggio proveniva effettivamente da un'agenzia di forze dell'ordine. 

Il trojan ransomware utilizzava i loghi del Metropolitan Police Service, della Police National E-Crime Unit e della società di raccolta dei diritti PRS for Music, specificamente quando accusava l'utente di aver scaricato musica illegale. Nel 2012, ha iniziato a diffondersi inizialmente nei paesi europei, e successivamente, nell'agosto 2012, le varianti di Reveton sono state scoperte negli Stati Uniti.

Cryptolocker 

L'attacco ransomware Cyptolocker è apparso per la prima volta nel settembre 2013 e ha infettato macchine che utilizzavano sistemi operativi Microsoft Windows. Il ransomware è stato trasmesso come allegato email che ha sfruttato il sistema operativo Windows non mostrando l'estensione del file e mascherandolo come un file PDF. Poiché era un ransomware che crittografava i file, mostrava un messaggio per effettuare un pagamento in Bitcoin o voucher prepagati per sbloccare i file prima di una scadenza indicata.

Si ritiene che Cryptolocker abbia estorto circa 3 milioni di dollari dalle vittime prima di essere isolato nel maggio 2014 dall'Operazione Torvar, che ha smantellato la botnet Gameover Zeus utilizzata per la sua distribuzione.

Nel settembre 2014, gli utenti in Australia sono stati presi di mira da un ransomware noto come Cryptolocker. F, identificato da Semantic e non correlato al Cryptolocker originale a causa della differenza nelle operazioni. Il trojan malware è stato diffuso tramite email mascherate da avvisi di consegna pacchi falliti da parte di Australia post per eludere gli scanner email. Il payload è stato distribuito quando un utente visitava una pagina web e inseriva un codice CAPTCHA. 

CryptoWall

CryptoWall è apparso nel 2014, dove ha preso di mira gli utenti con sistemi operativi Windows. Un ceppo di CryptoWall si è diffuso tramite malvertising sulla rete pubblicitaria Zedo, prendendo di mira diversi siti web prominenti. Ha distribuito il payload dopo aver reindirizzato gli utenti a siti web dannosi e ha utilizzato il kit di exploit del plugin del browser. Barracuda Networks ha osservato che il payload era firmato con la firma digitale per dare una falsa pretesa di autenticità. 

CryptoWall 3.0 è stato distribuito tramite email fraudolente che hanno distribuito il payload eseguendo un codice dannoso nel JavaScript, mascherato come un file .jpg nell'allegato email. Ha anche creato nuove istanze di explorer.exe e svchost.exe per comunicare con i server ed eludere il rilevamento.

Il ransomware ha eliminato la copia ombra del volume e ha installato spyware per rubare password e portafogli Bitcoin durante la crittografia. Circa 1000 vittime hanno contattato l'FBI per segnalare l'infezione da CryptoWall con una perdita stimata di almeno 18 milioni di dollari. L'ultimo ceppo di ransomware, CryptoWall 4.0, ha modificato il suo codice per evitare il rilevamento antivirus, e ha crittografato i file e anche i nomi dei file. 

Fusob

Fusob è apparso nel 2015 come tipico ransomware mobile, che spaventa gli utenti per estorcere da loro. Visualizza messaggi di avviso per pagare una multa per aver commesso attività illegali sul tuo dispositivo, altrimenti affrontare conseguenze legali. Il ransomware si maschera da lettore video pornografico e inganna gli utenti a scaricarlo. 

Quando scaricato, Fusob controlla la lingua del dispositivo mobile; se utilizza una lingua diversa dal russo o da alcune lingue dell'Europa orientale, blocca il sistema e richiede un riscatto per sbloccarlo. Il ransomware ha colpito vittime in Germania, Regno Unito e Stati Uniti.

WannaCry

WannaCry ransomware utilizza un vettore di exploit chiamato Eternal Blue, che è stato presumibilmente trapelato dalla National Security Agency (NSA) degli Stati Uniti. È apparso nel maggio 2017 e si è diffuso in oltre 150 paesi dove ha richiesto un riscatto in Bitcoin. 

L'attaccante ha dato alle vittime una scadenza di sette giorni, dopo la quale se un riscatto di $300 non fosse stato pagato, avrebbero eliminato i dati e i file crittografati. Ha colpito il Servizio Sanitario Nazionale britannico (NHS) al punto che 16 ospedali hanno dovuto annullare appuntamenti con i pazienti e operazioni programmate.

Petya

Petya ransomware ha fatto la sua apparizione nel marzo 2016. Ha preso di mira il record di avvio principale crittografando il file system NTFS. Quando il sistema si riavviava, Petya lo bloccava dall'avvio in Windows. Nel giugno 2017, un ceppo di Petya è stato utilizzato per eseguire un attacco informatico globale principalmente mirato all'Ucraina, ma ha colpito anche diversi altri paesi. 

Gli esperti di sicurezza hanno ipotizzato che l'attacco non fosse destinato a estorcere un riscatto dall'utente, ma a causare interruzioni. A causa di alcune modifiche al design, non c'era modo di sbloccarlo dopo che il riscatto era stato pagato.

SamSam

Nel 2016, è emersa una nuova variante di ransomware chiamata SamSam, che era mirata ai server Jboss. Ha sfruttato le vulnerabilità su server deboli utilizzando un attacco di forza bruta del protocollo desktop remoto (RDP) per indovinare password deboli fino a quando una non viene rotta. 

Ha preso di mira agenzie sanitarie e governative, attraverso le quali gli autori hanno estorto circa 6 milioni di dollari e causato una perdita stimata di oltre 30 milioni di dollari in danni.

Proteggi i tuoi beni dal ransomware

Il ransomware ha causato enormi danni a istituzioni e organizzazioni in termini di finanze e reputazione. Non puoi mai prevedere quando e come potrebbe presentarsi alla tua porta digitale. L'unica cosa che puoi fare è essere consapevole e preparato – sempre.

Pronto a saperne di più sul ransomware? Esplora le principali statistiche sul ransomware che hanno causato onde d'urto nell'industria della cybersecurity nel 2025.  

Questo articolo è stato originariamente pubblicato nel 2020. Il contenuto è stato aggiornato con nuove informazioni.