Ransomware, cosa sono e come difendersi dagli attacchi

Aggiornato il / Creato il / Di Ivan Antozzi

I ransomware (letteralmente “virus del riscatto”) sono tra gli attacchi informatici a oggi più diffusi e temuti dagli utenti e dalle aziende di tutto il mondo. Questa particolare tipologia di malware limita l’accesso ai file e/o a particolari funzioni del computer, richiedendo il pagamento di un riscatto (generalmente in criptovalute) per il ripristino.

Con l’aiuto degli esperti dell’Osservatorio Cyber Security & Data Protection, in quest’articolo vediamo tutto ciò che bisogna sapere sul tema: come proteggersi da un attacco ransomware e come prevenire le diverse minacce alla Cyber Security provenienti da questi particolari virus.

Ransomware, cosa sono e cosa fanno

Qual è il significato di ransomware? Scopriamolo subito, attraverso una puntuale definizione:

Il termine ransomware indica una particolare categoria di malware (ossia un programma o codice scritto con l’obiettivo di attaccare e danneggiare un sistema o una rete internet) in grado di bloccare le funzionalità di un dispositivo e cifrare i dati contenuti al suo interno, rendendoli inaccessibili sino al pagamento di un riscatto in denaro.

Come le altre tipologie di malware, si tratta tecnicamente di un software o un programma prodotto da un team di cybercriminali che si introduce all’interno di computer, smartphone e reti, mascherandosi da file benevolo (es. exe, PDF, ZIP).

Solitamente si distingue tra:

  • ransomware cryptor, o crypto-malware, che vanno a cifrare i file contenuti nel dispositivo attraverso una password, rendendone impossibile l’accesso fino al pagamento del riscatto;
  • ransomware blocker,che bloccano l’accesso al dispositivo infettato.

Come avviene il contagio da ransomware

Le forme di condivisione in rete e di successiva infezione del ransomware sono diverse. Tra le più diffuse figurano gli attacchi di phishing, la frequentazione di siti internet poco affidabili o il download di file di dubbia provenienza.

I team di cybercriminali, infatti, sfruttano spesso la distrazione o mancanza di attenzione di persone comuni per colpire le grandi organizzazioni con danni estesi e richiedere riscatti molto salati.

I principali vettori di infezione di un attacco ransomware di “nuova generazione”, per riassumere, sono questi:

  • campagna malspam per attacchi massivi (apertura di allegati compromessi o click su link che portano all’esecuzione del file dal quale si attiva il processo di cifratura malevolo);
  • navigazione su siti compromessi;
  • attacchi mirati con accesso via RDP (Remote Desktop Protocol);
  • vulnerabilità della rete aziendale.

Il bersaglio preferito di un attacco ransomware sono le aziende private. In genere, infatti, queste sono più propense al pagamento del riscatto per la continuità del proprio business. Nel corso degli ultimi anni, inoltre, si sono verificati diversi eventi malevoli messi in atto contro enti pubblici.

Qual è stato il primo ransomware

Se è vero che i panni sporchi si lavano in famiglia, possiamo dire che quella dei ransomware è una famiglia tanto sporca quanto numerosa. Il DocEncrypter, creato nel dicembre 2012, fa un po’ da capostipite di questa famiglia. Si trattava di una tipologia ibrida di ransomware che andava sia a bloccare l’accesso del computer visualizzando una falsa schermata della polizia, sia a cifrare i file word, rendendo impossibile il loro utilizzo.

Viaggiando indietro nel tempo, in realtà, il primo ransomware diffuso in rete risale al 1989. Fu rilasciato tramite floppy disk a un congresso sull’AIDS e fu ribattezzato PC Cyborg, ma non ebbe né le caratteristiche, né tantomeno la portata (all’epoca l’utilizzo di pc e internet era assai limitata) dei virus più recenti.

L’evoluzione dei ransomware e gli esempi più famosi

Nel corso degli anni le fattispecie in cui si sono imbattuti gli esperti di sicurezza informatica sono cambiate profondamente, per modalità d’azione, tipologia di vittime e metodi di riscatto.

Il CryptoLocker, creato nel 2013, è tra gli esempi più recenti e famosi di ransomware. Il virus si è evoluto anche negli anni successivi continuando a infettare i sistemi informativi attraverso la cifratura dei contenuti.

Negli ultimi anni, gli attacchi informatici di tipo ransomware hanno assunto una portata internazionale. Due esempi principali di attacchi ransomware che hanno messo sotto scacco i sistemi informativi di tutto il mondo, sono:

  • WannaCry, che ha colpito i sistemi di organizzazioni, aziende e istituzioni pubbliche in oltre 150 Paesi, dalle strutture sanitarie pubbliche inglesi ai computer di FedEx, fino ai server della telco spagnola Telefonica, infettandoli tramite un ransomware, che ha reso inaccessibili i dati, richiedendo il pagamento di un riscatto da effettuare in Bitcoin;
  • NotPetya, partito dall’Ucraina sfruttando l’exploit d’attacco EternalBlue, sfuggito al controllo della stessa agenzia sviluppatrice, la National Security Agency (NSA) statunitense; anche in questo caso l’attacco richiedeva alle vittime un riscatto di circa 300 dollari, criptando l’intero disco fisso fino al pagamento della somma richiesta.

I ransomware a doppia estorsione

Di recente sono diminuiti gli attacchi a “strascico” a favore di attacchi più mirati e complessi, finalizzati all’ottenimento di riscatti elevati. Recentemente, il ransomware Sodinokibi (anche noto come REvil) ha visto richiedere un riscatto di 2 milioni di dollari, raddoppiabile a 4 dopo una certa data, a un’azienda francese con sedi operative anche in Italia. Oltre a cifrare i file di dati, il virus in questione prevedeva un riscatto anche per l’esfiltrazione degli stessi.

Quello di Sodinokibi è un tipico caso di double extortion, vale a dire attacco a doppia estorsione. Questa innovativa tipologia di ransomware ha fatto capolino per la prima volta nel 2019, in seguito all’attacco denominato Maze, ad una nota società di sicurezza americana.

Se fino a qualche tempo fa i ransomware si “limitavano” a cifrare i file di dati e a tentare di cancellare i file di ripristino dei più comuni sistemi di backup, oggi hanno iniziato anche ad esfiltrare i file di dati delle vittime minacciandone la diffusione pubblica.

Tutto questo per indurre la vittima a pagare il riscatto non solo per la decifratura, ma anche (e soprattutto) per evitare di vedere i propri dati diventare di pubblico dominio. Il trend della doppia estorsione si è affermato negli anni più recenti come “arma" preferita dai cybercriminali per ricavare importi più che corposi.

Come funziona un attacco ransomware e come si diffonde

Il ransomware sfrutta la crittografia per cifrare il contenuto dei diversi sistemi. Gli effetti del ransomware possono verificarsi in un qualsiasi momento. Alcuni si rendono evidenti istantaneamente in seguito all’infezione, altri rimangono silenti fino all’innescarsi di un determinato evento informatico.

I ransomware più comuni e meno letali si limitano a far apparire banner con richieste di riscatto, mentre i più nocivi iniziano l’opera di crittografia partendo dai dati meno utilizzati, in modo da cifrare completamente il patrimonio informativo prima che sia possibile intervenire.

Come viene richiesto il riscatto di un attacco ransomware

Caratteristica del ransomware è l’utilizzo di mezzi digitali per il pagamento del riscatto. Non è una novità l’impiego di bitcoin e/o di altre criptovalute nelle operazioni illegali, proprio perché rendono molto complesso tracciarne i titolari e di conseguenza risalire al gruppo criminale.

Pagare il riscatto non è però sempre la soluzione migliore per le vittime. Una volta versata la somma richiesta, non esistono infatti garanzie del rilascio dei codici di decrittazione e, nella peggiore delle ipotesi, i criminali potrebbero rivendicare riscatti ulteriori. Inoltre, il pagamento può generare la creazione di un precedente e innescare un circolo vizioso, che porta l’utente o l’organizzazione colpita a essere maggiormente soggetta ad attacchi successivi.

Come e dove riscattare il ransomware? In genere nel Dark Web, attraverso la rete TOR, seguendo le istruzioni che vengono fornite dagli stessi hacker durante l’attacco. Qui vengono indicate le informazioni necessarie al pagamento del riscatto, in particolare il tempo a disposizione per eseguire la transazione prima della distruzione definitiva dei file, l’importo richiesto e l’eventuale indirizzo nella rete TOR in cui eseguire l’operazione.

È possibile recuperare i file cifrati

L’utilizzo di algoritmi di crittografia come AED (Advanced Encryption Standard) e RSA (crittografia asimmetrica) rende il recupero dei file cifrati impresa difficile, se non proibitiva, almeno che non si conosca la chiave di cifratura utilizzata.

Le shadow copies di Windows (da Vista in su) assolverebbero a tale scopo. Tuttavia, i ransomware più recenti sono ormai attrezzati per cancellare tali copie fin dal loro rilascio infettato.

In passato è stato possibile recuperare le chiavi di cifratura utilizzate dai CryptoLocker da alcuni server di Comando e Controllo sequestrati dalla polizia. In altri casi sono stati gli stessi autori dei ransomware ad aver lasciato punti deboli e spiragli per il recupero password dei file cifrati.

Esistono infine alcuni software per il recupero dati, anche se la probabilità di ripristinare i file compromessi attraverso tali strumenti rimane molto bassa.

Come ci si può proteggere dai ransomware

Prevenire è meglio che curare, anche nel mondo dei virus informatici. Prima di intraprendere qualsiasi iniziativa, la soluzione migliore rimane quella di affidarsi alle autorità competenti e ai tecnici specializzati. Esistono poi attività virtuose che possono aiutare a prevenire gli attacchi ransomware:

  • processi di backupsistemici e automatici;
  • installazione di antiviruscon estensioni anti-malware;
  • continuo aggiornamentodelle applicazioni e dei sistemi informativi basate su fornitori certificati;
  • opportuna e continua formazione dei dipendentiaziendali per aumentare la consapevolezza sui rischi informatici.

Il backup, in particolare, è una contromisura utile, seppur non risolutiva, per fronteggiare l’attacco e mitigarne gli effetti dannosi. Per non incorrere nella cifratura da parte del virus, le copie di backup devono essere scollegate dalla rete, separate e conservate in diversi storage sia onsite che offsite (facendo attenzione alla sincronizzazione).

Ransomware, il settore più colpito

Stando al Rapporto Clusit 2024, nel 2023 il settore Healthcare è stato il settore più colpito da attacchi ransomware, con una crescita del 30% rispetto al 2022. Di seguito, vengono riportati alcuni casi di attacco che hanno colpito strutture sanitarie in Italia:

Conclusioni

Il ransomware sembra destinato a permanere la prima minaccia informatica e a evolvere negli anni a venire in maniera sempre più sofisticata e complessa per le difese di sicurezza delle organizzazioni.

Le aziende, partendo dalla presa di coscienza dell’importanza del fattore umano, devono quindi insistere in azioni di formazione sui singoli dipendenti, con l’obiettivo di aumentarne la consapevolezza alle minacce e far recepire best practices da implementare nella quotidianità delle attività online nella sfera lavorativa e privata.

Possiedi gli strumenti giusti per affrontare le nuove minacce informatiche?

Scopri il Programma

  • Autore

Ricercatore dell'Osservatorio Cyber Security & Data Protection