Attacchi Ransomware: cosa sono e come difendersi dal virus del riscatto

17 December 2021 / Di Ivan Antozzi / 0 Comments

Se di recente il tuo dispositivo è stato vittima di un virus informatico, molto probabilmente si è trattato di un ransomware. I ransomware (letteralmente “virus del riscatto”) sono tra gli attacchi informatici a oggi più diffusi e temuti dagli utenti e dalle aziende di tutto il mondo.

Questa particolare tipologia di malware limita l’accesso ai file e/o a particolari funzioni del computer, richiedendo il pagamento di un riscatto (generalmente in criptovalute) per il ripristino.

Con l’aiuto degli esperti dell’Osservatorio Cyber Security & Data Protection, in quest’articolo vediamo tutto ciò che bisogna sapere sul tema: come proteggersi da un attacco ransomware e come prevenire le diverse minacce alla sicurezza informatica provenienti da questi particolari virus.



 

Che cos’è esattamente un attacco ransomware

Il termine ransomware indica una particolare categoria di malware in grado di bloccare le funzionalità di un dispositivo e cifrare i dati contenuti al suo interno, rendendoli inaccessibili sino al pagamento di un riscatto in denaro.

Come le altre tipologie di malware, si tratta tecnicamente di un software o un programma prodotto da un team di cybercriminali che si introduce all’interno di computer, smartphone e reti, mascherandosi da file benevolo (es. exe, PDF, ZIP).

Solitamente si distingue tra ransomware cryptor o crypo-malware, che vanno a cifrare i file contenuti nel dispositivo attraverso una password, rendendone impossibile l’accesso fino al pagamento del riscatto, e ransomware blocker che bloccano l’accesso al dispositivo infettato.

 

Come avviene un attacco ransomware

Le forme di condivisione in rete e di successiva infezione del ransomware sono diverse: tra le più diffuse figurano gli attacchi di phishing, la frequentazione di siti internet poco affidabili o il download di file di dubbia provenienza.

I team di cybercriminali, infatti, sfruttano spesso la distrazione o mancanza di attenzione di persone comuni per colpire le grandi organizzazioni con danni estesi e richiedere riscatti molto salati.

Sono questi, per riassumere, i principali vettori di infezione di un attacco ransomware di “nuova generazione”:

  • campagna malspam per attacchi massivi (apertura di allegati compromessi o click su link che portano all’esecuzione del file dal quale si attiva il processo di cifratura malevolo);
  • navigazione su siti compromessi;
  • attacchi mirati con accesso via RDP (Remote Desktop Protocol);
  • vulnerabilità della rete aziendale.

Il bersaglio preferito di un attacco ransomware sono le aziende private, in genere più propense al pagamento del riscatto per la continuità del proprio business. Nel corso degli ultimi anni, inoltre, si sono verificati diversi eventi malevoli messi in atto contro enti pubblici.

 

"Ransomware: Computer in ostaggio!" Le nuove tecniche d’attacco e come difendersi

Guarda il Webinar

 

Ransomware, virus in evoluzione: gli esempi più famosi

Se è vero che i panni sporchi si lavano in famiglia, possiamo dire che quella dei ransomware è una famiglia tanto sporca quanto numerosa. Il DocEncrypter, creato nel dicembre 2012, fa un po’ da capostipite di questa famiglia. Si trattava di una tipologia ibrida di ransomware che andava sia a bloccare l’accesso del computer visualizzando una falsa schermata della polizia, sia a cifrare i file word, rendendo impossibile il loro utilizzo.

Viaggiando indietro nel tempo, in realtà, il primo ransomware diffuso in rete risale al 1989. Fu rilasciato tramite floppy disk a un congresso sull’AIDS e fu ribattezzato PC Cyborg, ma non ebbe né le caratteristiche, né tantomeno la portata (all’epoca l’utilizzo di pc e internet era assai limitata) dei virus più recenti.

Nel corso degli anni le fattispecie in cui si sono imbattuti gli esperti di sicurezza informatica sono cambiate profondamente, per modalità d’azione, tipologia di vittime e metodi di riscatto.,

Il CryptoLocker, creato nel 2013, è tra gli esempi più recenti e famosi di ransomware. Il virus si è evoluto anche negli anni successivi continuando a infettare i sistemi informativi attraverso la cifratura dei contenuti.

Ransomware: computer in ostaggio

Il 2016 è stato l’anno del ransomware a livello numerico (oltre 60 tipologie diverse diffuse in rete). Il 2017 è stato invece l’anno in cui gli attacchi informatici di tipo ransomware hanno per la prima volta assunto una portata internazionale. Due i nomi che hanno messo sotto scacco i sistemi informativi di tutto il mondo:

  • WannaCry, che ha colpito i sistemi di organizzazioni, aziende e istituzioni pubbliche in oltre 150 Paesi, dalle strutture sanitarie pubbliche inglesi ai computer di FedEx, fino ai server della telco spagnola Telefonica, infettandoli tramite un ransomware, che ha reso inaccessibili i dati, richiedendo il pagamento di un riscatto da effettuare in Bitcoin.
  • NotPetya, partito dall’Ucraina sfruttando l’exploit d’attacco EternalBlue, sfuggito al controllo della stessa agenzia sviluppatrice, la National Security Agency (NSA) statunitense. Anche in questo caso l’attacco richiedeva alle vittime un riscatto di circa 300 dollari, criptando l’intero disco fisso fino al pagamento della somma richiesta.

I ransomware a doppia estorsione

Di recente sono diminuiti gli attacchi a “strascico” a favore di attacchi più mirati e complessi, finalizzati all’ottenimento di riscatti elevati. A inizio 2021 il ransomware Sodinokibi (anche noto come REvil) ha visto richiedere un riscatto di 2 milioni di dollari, raddoppiabile a 4 dopo una certa data, ad un’azienda francese con sedi operative anche in Italia. Oltre a cifrare i file di dati, il virus in questione prevedeva un riscatto anche per l’esfiltrazione degli stessi.

Quello di Sodinokibi è un tipico caso di double extortion, vale a dire attacco a doppia estorsione. Questa innovativa tipologia di ransomware ha fatto capolino per la prima volta nel 2019, in seguito all’attacco denominato Maze, ad una nota società di sicurezza americana.

Se fino a qualche tempo fa i ransomware si “limitavano” a cifrare i file di dati e a tentare di cancellare i file di ripristino dei più comuni sistemi di backup, oggi hanno iniziato anche ad esfiltrare i file di dati delle vittime minacciandone la diffusione pubblica.

Tutto questo per indurre la vittima a pagare il riscatto non solo per la decifratura, ma anche (e soprattutto) per evitare di vedere i propri dati diventare di pubblico dominio. Il trend della doppia estorsione si è affermato negli anni più recenti come “arma" preferita dai cybercriminali per ricavare importi più che corposi.

 

Come funzionano e si diffondono i virus del riscatto

Il ransomware sfrutta la crittografia per cifrare il contenuto dei diversi sistemi. Gli effetti del ransomware possono verificarsi in un qualsiasi momento: alcuni si rendono evidenti istantaneamente in seguito all’infezione, altri rimangono silenti fino all’innescarsi di un determinato evento informatico.

I ransomware più comuni e meno letali si limitano a far apparire banner con richieste di riscatto, mentre i più nocivi iniziano l’opera di crittografia partendo dai dati meno utilizzati, in modo da cifrare completamente il patrimonio informativo prima che sia possibile intervenire.

Pagamento del riscatto

Caratteristica del ransomware è l’utilizzo di mezzi digitali per il pagamento del riscatto: non è una novità l’impiego di bitcoin e/o di altre criptovalute nelle operazioni illegali, proprio perché rendono molto complesso tracciarne i titolari e di conseguenza risalire al gruppo criminale.

Pagare il riscatto non è però sempre la soluzione migliore per le vittime: una volta versata la somma richiesta, non esistono infatti garanzie del rilascio dei codici di decrittazione e, nella peggiore delle ipotesi, i criminali potrebbero rivendicare riscatti ulteriori. Inoltre, il pagamento può generare la creazione di un precedente e innescare un circolo vizioso, che porta l’utente o l’organizzazione colpita ad essere maggiormente soggetta ad attacchi successivi.

Come e dove riscattare il ransomware? In genere nel dark web, attraverso la rete TOR, seguendo le istruzioni che vengono fornite dagli stessi hacker durante l’attacco. Qui vengono indicate le informazioni necessarie al pagamento del riscatto, in particolare il tempo a disposizione per eseguire la transazione prima della distruzione definitiva dei file, l’importo richiesto e l’eventuale indirizzo nella rete TOR in cui eseguire l’operazione.

È possibile recuperare i file cifrati?

L’utilizzo di algoritmi di crittografia come AED (Advanced Encryption Standard) e RSA (crittografia asimmetrica) rende il recupero dei file cifrati impresa difficile, se non proibitiva, almeno che non si conosca la chiave di cifratura utilizzata.

Le shadow copies di Windows (da Vista in su) assolverebbero a tale scopo. Tuttavia i ransomware più recenti sono ormai attrezzati per cancellare tali copie fin dal loro rilascio infettato.

In passato è stato possibile recuperare le chiavi di cifratura utilizzate dai CryptoLocker da alcuni server di Comando e Controllo sequestrati dalla polizia. In altri casi sono stati gli stessi autori dei ransomware ad aver lasciato punti deboli e spiragli per il recupero password dei file cifrati.

Esistono infine alcuni software per il recupero dati, anche se la probabilità di ripristinare i file compromessi attraverso tali strumenti rimane molto bassa.

 

Come difendersi e proteggersi dai ransomware

Prevenire è meglio che curare, anche nel mondo dei virus informatici. Prima di intraprendere qualsiasi iniziativa la soluzione migliore rimane quella di affidarsi alle autorità competenti e ai tecnici specializzati. Esistono poi attività virtuose che possono aiutare a prevenire gli attacchi ransomware:

  • processi di backup sistemici e automatici;
  • installazione di antivirus con estensioni anti-malware;
  • continuo aggiornamento delle applicazioni e dei sistemi informativi basate su fornitori certificati;
  • opportuna e continua formazione dei dipendenti aziendali per aumentare la consapevolezza sui rischi informatici.

Il backup, in particolare, è una contromisura utile, seppur non risolutiva, per fronteggiare l’attacco e mitigarne gli effetti dannosi. Per non incorrere nella cifratura da parte del virus, le copie di backup devono essere scollegate dalla rete, separate e conservate in diversi storage sia onsite che offsite (facendo attenzione alla sincronizzazione).

 

Gli attacchi ransomware nell’emergenza sanitaria da Covid-19

Lo scoppio della pandemia globale è stato un ulteriore trampolino di lancio per le attività di cybercrime.
L’aumento esponenziale delle modalità di lavoro da remoto ha infatti moltiplicato vertiginosamente le opportunità di attacco: una ricerca internazionale stima che a fronte di un +70% di lavoratori a distanza, il numero di attacchi ransomware sia aumentato del 148%.

Stando al Rapporto Clusit, nel periodo di emergenza sanitare il ransomware ha aumentato la propria quota nel mix degli attacchi malware totali fino al 67% (contro il 23% iniziale), diventando di fatto la principale minaccia informatica.

Pc e altri dispositivi dei lavoratori agili sono diventati, in molte occasioni, la porta d’ingresso di attacchi ingenti sia per il lavoratore stesso che per l’organizzazione. Un dipendente aziendale vittima di ransomware, infatti, può vedersi bloccate le diverse modalità di comunicazione digitale, non avere possibilità di accedere ai dati e, di fatto, essere impossibilitato a proseguire nel lavoro a distanza. Senza considerare, naturalmente, le ricadute a cascata sul resto dell’organizzazione, che – in molti casi – può trovarsi costretta a interrompere la propria operatività.

Un esempio di ransomware “ispirato” al Covid-19 è quello del ransomware tutto italiano FuckUnicorn. Scoperto nel secondo trimestre 2020, questo esemplare ha sfruttato proprio l’emergenza epidemiologica Covid-19, e in particolare l’app IMMUNI, per sferrare i suoi attacchi. Il virus, nello specifico, consisteva in una campagna malspam nel quale si invitava ad installare nel proprio PC l’app IMMUNI da un link presente all’interno del messaggio. Il link, ovviamente malevolo, dava il via all’infezione. Il riscatto richiesto per liberare il dispositivo dalle grinfie dell’unicorno si aggirava attorno ai 300 euro (da versare in Bitcoin).

 

Conclusioni

Il ransomware sembra destinato a permanere la prima minaccia informatica e a evolvere negli anni a venire in maniera sempre più sofisticata e complessa per le difese di sicurezza delle organizzazioni.

Le aziende, partendo dalla presa di coscienza dell’importanza del fattore umano, devono quindi insistere in azioni di formazione sui singoli dipendenti, con l’obiettivo di aumentarne la consapevolezza alle minacce e far recepire best practices da implementare nella quotidianità delle attività online nella sfera lavorativa e privata. Chi la spunterà?

 

Possiedi gli strumenti giusti per difendere la tu azienda dai Ransomware e gli altri Attacchi Hacker?

Inizia il Percorso

Ricercatore dell'Osservatorio Cyber Security & Data Protection