Il ransomware è un tipo di malware che nega l’accesso al sistema e alle informazioni personali e richiede un pagamento (riscatto) per riottenere l’accesso.
Il pagamento può essere richiesto tramite criptovaluta, carta di credito o carte pre-pagate non rintracciabili e il pagamento non garantisce il riottenimento dell’accesso. Anzi, le vittime che pagano sono spesso prese di mira di nuovo. Una sola infezione può diffondere ransomware in un’intera organizzazione, paralizzando le operazioni.
Come si diffonde il ransomware
Esistono diversi modi in cui il ransomware può entrare nel sistema. Uno dei più comuni è tramite e-mail di phishing e spam, messaggi che includono un allegato dannoso o un collegamento a un sito Web dannoso o compromesso. Una volta che un utente ignaro apre l’allegato o fa clic sul collegamento, il ransomware può infettare il computer della vittima e diffondersi in tutta la rete.
Un altro metodo è l’utilizzo di un kit di exploit per sfruttare una falla di sicurezza in un sistema o programma, come il famigerato worm WannnaCry che ha infettato centinaia di migliaia di sistemi in tutto il mondo utilizzando un exploit Microsoft. Può anche assumere la forma di un falso aggiornamento software, che richiede agli utenti di abilitare le funzionalità di amministrazione e installare codice dannoso.
Come funziona il ransomware
Una volta che il sistema è infetto, il ransomware consente agli hacker di bloccare l’accesso al disco rigido o crittografare alcuni o tutti i file sul computer. Anche nel caso si sia in grado di rimuovere il malware e ripristinare il sistema a uno stato precedente, i file rimarranno crittografati perché sono già stati resi illeggibili e la decrittografia è matematicamente impossibile senza la chiave in possesso dell’attaccante.
Il riscatto richiesto è di solito abbastanza basso da essere pagabile, ma abbastanza alto da renderlo appetibile per l’attaccante, spingendo le aziende a fare un’analisi costi-benefici di quanto sono disposti a pagare per sbloccare i loro sistemi e riprendere le operazioni quotidiane. I criminali informatici possono anche prendere di mira determinate organizzazioni o industrie per sfruttare le loro vulnerabilità specifiche e massimizzare le possibilità di un riscatto da pagare.
I diversi tipi di ransomware
Il ransomware assume molte forme, ma tutte hanno una cosa in comune: richiedono un riscatto in cambio dell’accesso ripristinato al sistema o ai file. È anche importante ricordare che si ha a che fare con criminali, i quali non sempre mantengono le promesse dell’accordo. Gli attacchi ransomware sono progettati per innescare la disperazione e la paura delle persone al fine di convincere le vittime a pagare.
Le tipologie più comuni sono:
1. Crypto malware, è una delle varianti più conosciute e dannose. Questo tipo di ransomware crittografa i file e i dati all’interno di un sistema, rendendo il contenuto inaccessibile senza una chiave di decrittografia.
2. Lockers. Bloccano l’accesso al sistema, rendendo di fatto inaccessibili file e applicazioni. Una schermata di blocco mostra la richiesta di riscatto, spesso con un conto alla rovescia per aumentare l’urgenza e spingere le vittime ad agire.
3. Scareware, è un falso software che afferma di aver rilevato un virus o un altro problema sul tuo computer e ti indirizza a pagare per risolvere il problema. Alcuni tipi di scareware bloccano il computer, mentre altri semplicemente inondano lo schermo con avvisi pop-up senza effettivamente danneggiare i file.
4. Doxware o leakware, minaccia di distribuire informazioni personali o aziendali sensibili online e molte persone si fanno prendere dal panico e pagano il riscatto per evitare che i dati privati cadano nelle mani sbagliate o entrino nel pubblico dominio. Una variante è il ransomware a tema poliziesco, che afferma di essere l’applicazione della legge e avverte che sono state rilevate attività online illegali, ma il carcere può essere evitato pagando una multa.
5. RaaS (Ransomware as a Service) si riferisce a malware ospitato in modo anonimo da un hacker “professionista” che gestisce tutti gli aspetti dell’attacco, dalla distribuzione del ransomware alla raccolta del pagamento e al ripristino dell’accesso, in cambio di una quota del riscatto.
Esempi di alcune varianti di ransomware
Di seguito sono riportati solo alcuni esempi di alcuni famigerati ransomware rilevati negli ultimi anni:
- BitPaymer
- Dharma
- DoppelPaymer
- GandCrab
- Maze
- MeduzaLocker
- NetWalker
- NotPetya
- REvil
- Ryuk
- Samsam
- WannaCry
Contro chi si rivolge il ransomware?
Le organizzazioni di tutte le dimensioni possono essere il bersaglio del ransomware. Sebbene la caccia grossa sia in aumento, il ransomware è spesso rivolto a organizzazioni di piccole e medie dimensioni, compresi i governi statali e locali, che sono spesso più vulnerabili agli attacchi.
Le piccole imprese sono prese di mira per una serie di motivi, sete di denaro, proprietà intellettuale (IP), dati dei clienti o accesso. In effetti, l’accesso può essere un driver primario perché una PMI può essere utilizzata come vettore per attaccare un’organizzazione madre più grande.
Il successo degli attacchi ransomware alle piccole imprese può essere attribuito alle difficoltà uniche associate alle dimensioni più piccole e anche all’elemento onnipresente nelle organizzazioni di qualsiasi dimensione: l’elemento umano. Inoltre, mentre le organizzazioni più grandi mettono a disposizione dei lavoratori computer di lavoro più strutturati dal punto di vista della sicurezza, le organizzazioni più piccole fanno spesso affidamento sui dipendenti che utilizzano i propri dispositivi personali.
Questi dispositivi vengono utilizzati sia per scopi legati al lavoro, tra cui l’accesso e l’archiviazione di documenti e informazioni privilegiate, sia per attività personali come la navigazione e la ricerca. Queste macchine a doppio scopo contengono elevati volumi di informazioni aziendali e personali, tra cui informazioni sulla carta di credito, account e-mail, piattaforme di social media e foto e contenuti personali.
Le università, ad esempio, hanno spesso team di sicurezza più ridotti e una vasta base di utenti che condivide molti file, quindi le difese sono più facilmente penetrabili. Anche le organizzazioni di tipo medico possono essere prese di mira perché spesso hanno bisogno di un accesso immediato ai loro dati dai quali possono dipendere vite umane, portandole a pagare subito. Le istituzioni finanziarie e gli studi legali potrebbero essere più propensi a pagare il riscatto a causa della sensibilità dei loro dati e a pagarlo tranquillamente per evitare pubblicità negativa.
Settori presi di mira durante COVID-19
La pandemia globale ha indotto gli attori ransomware a colpire determinati settori. Uno dei loro obiettivi principali sono state le organizzazioni sanitarie. I dati del CrowdStrike Global Threat Report 2021 mostrano che oltre 100 organizzazioni sanitarie sono già state prese di mira dai criminali durante COVID-19.
Un’altra tendenza interessante è il crescente numero di attacchi che utilizzano tattiche di estorsione dei dati. Industrials & engineering è stato il settore più attaccato dalle tattiche di estorsione dei dati nel 2020 (229 incidenti). Questo è stato seguito da vicino dalla manifattura (228 incidenti), dalla tecnologia (145 incidenti), dalla vendita al dettaglio (142 incidenti) e dall’assistenza sanitaria (97 incidenti).
Pagare il riscatto?
L’FBI non raccomanda il pagamento di un riscatto in risposta a un attacco ransomware. Essa sostiene che pagare un riscatto non solo incoraggia il modello di business, ma può anche andare nelle tasche di organizzazioni terroristiche, riciclatori di denaro e stati canaglia. Inoltre, mentre poche organizzazioni ammettono pubblicamente di pagare riscatti, gli avversari pubblicizzeranno tali informazioni sul dark web, rendendole di conoscenza comune per altri avversari alla ricerca di un nuovo obiettivo.
Il pagamento del riscatto non si traduce in un recupero più veloce o in un recupero garantito. Potrebbero esserci più chiavi di decrittazione, potrebbe esserci una utility di decrittazione che non funziona, il decryptor potrebbe essere incompatibile con il sistema operativo della vittima, potrebbe esserci una doppia decrittografia e la chiave di decrittazione funziona solo su un livello oppure alcuni dati potrebbero comunque essere danneggiati. Meno della metà delle vittime di ransomware è in grado di ripristinare con successo i propri sistemi.
Come prevenire il ransomware
Una volta che la crittografia ransomware ha avuto luogo, è spesso troppo tardi per recuperare i dati. Ecco perché la migliore difesa si basa sulla prevenzione proattiva. Un backup robusto è, ovviamente, una best practice fondamentale da preparare in caso di attacco, ma le varianti di malware più recenti possono anche eliminare o danneggiare i backup.
Il ransomware è in continua evoluzione, rendendo la protezione una sfida per molte organizzazioni. Alcune best practice per proteggere i sistemi sono:
1. Formare i dipendenti sulle best practice di sicurezza informatica. I dipendenti sono la prima linea nella sicurezza. Assicurarsi che seguano buone pratiche, come l’utilizzo di una protezione con password complessa, la connessione solo a un Wi-Fi sicuro e la costante attenzione al phishing, su tutti i loro dispositivi.
2. Mantenere aggiornato il sistema operativo e gli altri software con le patch di sicurezza. Gli hacker sono costantemente alla ricerca di buchi e backdoor da sfruttare. Aggiornando attentamente i tuoi sistemi, ridurrai al minimo l’esposizione a vulnerabilità note.
3. Utilizzare software in grado di prevenire minacce sconosciute. Mentre le soluzioni antivirus tradizionali possono prevenire ransomware noti, essi non riescono a rilevare minacce malware ancora sconosciute. Alcune piattaforme forniscono antivirus di nuova generazione (NGAV) contro malware noti e sconosciuti utilizzando l’apprendimento automatico basato sull’intelligenza artificiale. Invece di tentare di rilevare le varianti di malware noti, questi cercano gli indicatori di attacco (IOA) per fermare il ransomware prima che vada in esecuzione e infligga danni.
4. Monitorare continuamente l’ambiente per attività dannose e IOA. Software specializzati e noti come “endpoint detection and response” (EDR) agiscono come una telecamera di sorveglianza su tutti i dispositivi, catturando eventi grezzi per il rilevamento automatico di attività dannose non identificate dai metodi di prevenzione e fornendo visibilità per la caccia proattiva alle minacce.
5. Assicurarsi di avere in essere un backup robusto, tenendo presente che qualsiasi dispositivo collegato in rete può essere a sua volta infettato e che nemmeno i sistemi di backup cloud sono necessariamente esenti da minaccia.
Foto di Michael Dziedzic