Ransomware: vedi cos’è e come proteggerti!

0
42

Ransomware è una forma di malware che cripta i file della vittima. In questo modo, la persona che esegue l’attacco richiede un riscatto alla vittima per ripristinare l’accesso ai dati dietro pagamento. 

Vedi anche cosa sono gli attacchi DDoS!

Agli utenti vengono date istruzioni su come pagare una tassa per ottenere la chiave di decrittazione. I costi possono variare da poche centinaia di dollari a migliaia, che vengono pagati ai criminali informatici tramite Bitcoin.

Come funziona il ransomware?

Ci sono diversi vettori che il ransomware può prendere per accedere ad un computer. Uno dei sistemi di consegna più comuni è lo spam di phishing, che sono allegati che arrivano alla vittima in una e-mail, mascherati da un file di cui dovrebbero fidarsi. Pertanto, una volta scaricati e aperti, possono prendere il controllo del computer della vittima, specialmente se hanno strumenti di ingegneria sociale incorporati che ingannano gli utenti a permettere l’accesso amministrativo. Alcune altre forme più aggressive di ransomware, come NotPetya, sfruttano le falle di sicurezza per infettare i computer senza bisogno di ingannare gli utenti.

Ci sono diverse cose che il malware può fare dopo essere entrato nel computer della vittima, ma l’azione più comune è quella di criptare alcuni o tutti i file dell’utente. Ma la cosa più importante da sapere è che alla fine del processo, i file non possono essere decifrati senza una chiave matematica conosciuta solo dall’attaccante. Così, l’utente riceve un messaggio che spiega che i suoi file sono ora inaccessibili e saranno decrittati solo se la vittima invia un pagamento Bitcoin non tracciabile all’attaccante.

In alcune forme di malware, l’attaccante può affermare di essere un’agenzia delle forze dell’ordine che chiude il computer della vittima a causa della presenza di pornografia o software pirata su di esso e richiede il pagamento di una «multa», forse per rendere le vittime meno propense a denunciare l’attacco alle autorità. Ma la maggior parte degli attacchi non si preoccupa di questo pretesto. Inoltre, c’è anche una variante, chiamata leakware o doxware, in cui l’aggressore minaccia di rilasciare i dati riservati sul disco rigido della vittima a meno che non venga pagato un riscatto. Ma come trovare ed estrarre queste informazioni è una proposta molto difficile per gli attaccanti, dato che il ransomware di crittografia è il tipo più comune.

Chi è l’obiettivo?

Ci sono diversi modi in cui gli aggressori scelgono le organizzazioni che prendono di mira con il ransomware. A volte è una questione di opportunità: per esempio, gli aggressori possono prendere di mira le università perché tendono ad avere team di sicurezza più piccoli e una base di utenti che condivide molti file, rendendo più facile penetrare le loro difese.

D’altra parte, alcune organizzazioni sono obiettivi allettanti perché sembrano più propense a pagare un riscatto rapidamente. Per esempio, le agenzie governative o le strutture mediche hanno spesso bisogno di un accesso immediato ai loro file. Gli studi legali e altre organizzazioni con dati riservati possono essere disposti a pagare per mantenere la notizia di una compromissione riservata e queste organizzazioni possono essere particolarmente sensibili agli attacchi e alle fughe di notizie.

Ma non sentirti al sicuro se non rientri in queste categorie: come abbiamo notato, alcuni ransomware si diffondono automaticamente e indiscriminatamente su Internet.

Che aspetto ha il ransomware?

Il seguente contenuto mostra un esempio di come appare la schermata del computer quando il computer è infettato da un ransomware.

GandCrab

Segnalato per la prima volta nel gennaio 2018, questo tipo di ransomware ha guadagnato notorietà solo da allora. Il ransomware GandCrab attacca gli individui piuttosto che le aziende, utilizzando principalmente tattiche di phishing per trovare le sue vittime.

In questo modo, i creatori di GandCrab sono rimasti una minaccia, aggiornando costantemente il loro codice e adattandosi agli sviluppi della sicurezza.

LockerGoga

Uno dei più recenti tipi di ransomware, LockerGoga ha guadagnato notorietà all’inizio del 2019 quando ha attaccato la società di consulenza ingegneristica francese Altran Technologies e la norvegese Norsk Hydro.

LockerGoga infetta i sistemi ottenendo le credenziali di sicurezza della vittima attraverso infezioni di phishing o malware, bloccando la vittima fuori dal computer, criptando i file e lasciando una nota di riscatto.

Inoltre, la firma digitale del codice con certificati validi ha aiutato LockerGoga a infiltrarsi in alcuni sistemi informatici.

Ryuk

Ryuk ha debuttato nell’agosto 2018 e da allora ha sottratto oltre 3 miliardi di dollari. Usa tecniche di «caccia grossa», prendendo di mira grandi organizzazioni per riscatti costosi.

Ryuk distribuisce un programma chiamato Trickbot attraverso massicce campagne di spam e-mail e kit di exploit che poi trovano le credenziali necessarie per compromettere i sistemi.

Poiché il codice di crittografia infetta solo le risorse critiche, significa che una ricerca approfondita della rete avviene prima che gli attacchi vengano effettuati.

SamSam

Anche se SamSam esiste dal 2015, ha guadagnato notorietà nazionale quando ha portato il caos nella città di Atlanta nel marzo 2018. SamSam utilizza le vulnerabilità nei computer e nei server web o i tentativi mirati di crackare le password deboli per ottenere l’accesso alla rete di una vittima.

Dopo che un computer viene infettato e criptato in modo che i file non siano accessibili, rimane una nota di riscatto che indirizza le vittime ad un sito di servizio nascosto dove possono pagare il riscatto in Bitcoin prima che i loro file vengano sbloccati.

Come fermarlo?

Ci sono diversi passi difensivi che puoi fare per evitare di essere «catturato» dal ransomware. Questi passi sono ovviamente buone pratiche di sicurezza in generale, quindi seguirli migliora le tue difese contro tutti i tipi di attacchi:

  • Tieni aggiornato il tuo sistema operativo per assicurarti di avere meno vulnerabilità da sfruttare;
  • Non installare software o concedere privilegi amministrativi a meno che tu non sappia esattamente cos’è e cosa fa;
  • Installa un software antivirus, che rileva i programmi dannosi come il ransomware non appena arrivano, e un software sulla lista dei permessi, che impedisce l’esecuzione di applicazioni non autorizzate;
  • Inoltre, fai il backup dei tuoi file frequentemente e automaticamente! Questo non impedisce un attacco malware, ma può causare danni molto meno significativi.

Ransomware Removal

Se il tuo computer è stato infettato da un ransomware, avrai bisogno di riprendere il controllo della tua macchina. Steve Ragan di CSO ha un grande video che dimostra come farlo su una macchina Windows 10:

Il video ha tutti i dettagli, ma i passi importanti sono:

  • Riavvia Windows 10 in modalità provvisoria;
  • Installa un software anti-malware;
  • Scansiona il sistema per trovare il programma ransomware;
  • Ripristina il computer ad uno stato precedente all’attacco.

Ma, ricorda la cosa importante: seguendo questi passaggi, puoi rimuovere il malware dal tuo computer e ripristinarlo al tuo controllo, ma non decripta i tuoi file. La tua trasformazione in illeggibilità è già avvenuta e se il malware è sofisticato, sarà matematicamente impossibile per chiunque decifrarla senza l’accesso alla chiave che ha l’attaccante. Quindi, rimuovendo il malware, hai escluso la possibilità di ripristinare i tuoi file pagando il riscatto richiesto dagli aggressori.

Fatti e cifre sul ransomware

Il ransomware è un grande business

Ci sono molti soldi nel ransomware e il mercato si è espanso rapidamente dall’inizio del decennio. Nel 2017, il ransomware ha provocato 5 miliardi di dollari di perdite, sia in termini di riscatto pagato che di spese e tempo perso per recuperare dagli attacchi. Questo è aumentato di 15 volte rispetto al 2015. Nel primo trimestre del 2018, solo un tipo di software ransomware, SamSam, ha raccolto 1 milione di dollari di riscatto.

Alcuni mercati sono particolarmente inclini al ransomware (e a pagare il riscatto)

Molti attacchi ransomware di alto profilo si sono verificati negli ospedali o in altre organizzazioni mediche, che sono obiettivi allettanti: gli aggressori sanno che, con vite letteralmente a rischio, queste aziende sono più propense a pagare un riscatto relativamente basso per risolvere un problema. Si stima che il 45% degli attacchi ransomware siano rivolti alle organizzazioni sanitarie e, al contrario, l’85% delle «infezioni» malware nelle organizzazioni sanitarie sono ransomware. Un’altra industria allettante? L’industria dei servizi finanziari, che è dove sono i soldi. Si stima che il 90% delle istituzioni finanziarie sia stato preso di mira da un attacco ransomware nel 2017.   

Il tuo software anti-malware non ti proteggerà necessariamente

Il ransomware è costantemente scritto e migliorato dai suoi sviluppatori e quindi le sue firme non sono solitamente catturate dai tipici programmi antivirus. Infatti, il 75% delle vittime di ransomware stavano eseguendo programmi di grande protezione sulle macchine infette.

Il ransomware non è più così ricorrente come una volta

Se vuoi una buona notizia, ecco come stanno le cose: il numero di attacchi ransomware, dopo essere esploso all’inizio del decennio, è andato in declino, anche se i numeri iniziali erano abbastanza alti per continuare. Tuttavia, nel primo trimestre del 2017, gli attacchi ransomware hanno rappresentato il 60% dei payloads di malware. Ma ora è sceso al 5%.  

Ransomware in declino?

Cosa c’è dietro questo declino? In molti modi, è una decisione economica basata sulla valuta scelta dal criminale informatico: il bitcoin. Estrarre un riscatto da una vittima è sempre stato un successo o un fallimento. In questo modo, potrebbero non decidere di pagare, o anche se lo fanno, potrebbero non avere abbastanza familiarità con i bitcoin per capire come pagare utilizzando le valute virtuali.

Come sottolinea Kaspersky, il declino del ransomware è stato accompagnato da un aumento del cosiddetto malware di crittografia, che infetta il computer della vittima e usa la sua potenza di calcolo per creare bitcoin senza che il proprietario lo sappia. Questo è un percorso interessante per utilizzare le risorse di qualcun altro per ottenere bitcoin, dato che aggira la maggior parte delle difficoltà nell’ottenere un riscatto.

Tuttavia, questo non significa che la minaccia sia finita. Ci sono due diversi tipi di attaccanti ransomware: attacchi «commodity» che tentano di infettare indiscriminatamente i computer in grandi volumi e includono le cosiddette piattaforme «ransomware-as-a-service» che i criminali possono noleggiare. Ci sono anche gruppi target focalizzati su segmenti di mercato e organizzazioni particolarmente vulnerabili. Quindi, dovresti essere vigile se sei in quest’ultima categoria, non importa se l’apice del ransomware è passato.

Con il prezzo del bitcoin in calo, l’analisi costi-benefici per gli attaccanti si è ritorta contro. In definitiva, usare ransomware o malware con crittografia è una decisione commerciale per gli attaccanti.

«Con la caduta dei prezzi delle criptovalute, è naturale vedere un cambiamento nell’uso del ransomware» ha detto Steve Grobman, chief technology officer di McAfee.

Dovresti pagare il riscatto?

Se il tuo sistema è stato infettato da un malware e hai perso dati vitali che non possono essere ripristinati dal backup, dovresti pagare il riscatto? 

Le autorità raccomandano di non farlo!

Parlando in termini teorici, la maggior parte delle forze dell’ordine ti invita a non pagare gli attaccanti di ransomware, con la logica che questo incoraggia solo gli hacker a creare più ransomware. Detto questo, molte organizzazioni che si trovano colpite da malware smettono rapidamente di pensare in termini di «bene maggiore» e iniziano a fare un’analisi costi-benefici, pesando il prezzo del riscatto contro il valore dei dati criptati. Secondo un sondaggio di Trend Micro, mentre il 66% delle aziende dice che non pagherebbe mai un riscatto come principio, in pratica il 65% paga il riscatto quando viene colpito.

Prezzi del ransomware

Gli attaccanti del ransomware mantengono i prezzi relativamente bassi – di solito tra i 700 e i 1300 dollari, un importo che le aziende possono solitamente pagare in breve tempo. Alcuni malware particolarmente sofisticati rilevano il paese in cui si trova il computer infetto e regolano il riscatto in base all’economia del paese, chiedendo di più alle aziende dei paesi ricchi e meno alle regioni povere.

Spesso vengono offerti sconti per chi agisce velocemente, in modo da incoraggiare le vittime a pagare velocemente prima di pensare troppo. In generale, il prezzo è fissato in modo che sia abbastanza alto da valere per il criminale, ma abbastanza basso da essere spesso più economico di quello che la vittima dovrebbe pagare per ripristinare il proprio computer o ricostruire i dati persi. Con questo in mente, alcune aziende stanno iniziando a costruire la potenziale necessità di pagare un riscatto nei loro piani di sicurezza: per esempio, alcune grandi aziende britanniche che non sono coinvolte nelle criptovalute stanno tenendo alcuni Bitcoin in riserva specificamente per i pagamenti di riscatto.

Devi stare attento

Devi stare attento ad alcune cose, tenendo presente che le persone con cui hai a che fare sono criminali. Prima di tutto, quello che sembra essere un ransomware potrebbe non aver effettivamente criptato i tuoi dati. Quindi assicurati di non avere a che fare con il cosiddetto «scareware» prima di inviare denaro a qualcuno. E in secondo luogo, pagare gli aggressori non ti garantisce che riavrai i tuoi file. A volte i criminali prendono i soldi e scappano, e potrebbero anche non aver integrato la funzionalità di decrittazione nel malware.

Statistiche Ransomware

L’FBI stima che ci sono 4.000 attacchi ransomware lanciati ogni giorno. Così, ogni 40 secondi, viene iniziato un nuovo attacco.

Esempi di ransomware

Anche se il ransomware esiste tecnicamente dagli anni ’90, è decollato solo negli ultimi cinque anni, in gran parte grazie alla disponibilità di metodi di pagamento non tracciabili come Bitcoin. Alcuni dei peggiori «criminali» sono stati:

I casi più noti

  • CryptoLocker, un attacco del 2013, ha lanciato l’era moderna del ransomware e ha infettato fino a 500. 000 macchine al suo picco;
  • TeslaCrypt ha preso di mira i file di gioco e ha visto miglioramenti costanti durante il suo regno del terrore;
  • SimpleLocker è stato il primo attacco ransomware diffuso focalizzato sui dispositivi mobili;
  • WannaCry si è diffuso autonomamente da computer a computer utilizzando EternalBlue, un exploit sviluppato dalla NSA e poi rubato dagli hacker;
  • NotPetya ha anche utilizzato EternalBlue e potrebbe aver fatto parte di un cyberattacco guidato dalla Russia contro l’Ucraina;
  • Locky ha iniziato a diffondersi nel 2016 ed era «simile nella sua modalità di attacco al famigerato software bancario Dridex. Una variante, Osiris , è stata diffusa attraverso campagne di phishing;
  • GandCrab potrebbe essere il ransomware più redditizio di sempre. I suoi sviluppatori, che hanno venduto il programma ai criminali informatici, rivendicano più di 2 miliardi di dollari in pagamenti dalle vittime a partire da luglio 2019.

Altri casi:

  • Leatherlocker è stato scoperto nel 2017 in due applicazioni Android: Booster & Cleaner e Wallpaper Blur HD. Invece di criptare i file, blocca la schermata iniziale per impedire l’accesso ai dati;
  • Wysiwye, anch’esso scoperto nel 2017, scansiona il web per i server RDP (Remote Desktop Protocol). Poi tenta di rubare le credenziali RDP per diffondersi nella rete;
  • Cerber si è dimostrato molto efficace quando è apparso per la prima volta nel 2016, raccogliendo 200.000 dollari nel luglio di quell’anno. Ha sfruttato una vulnerabilità di Microsoft per infettare più reti;
  • BadRabbit si è diffuso nelle aziende dei media in Europa orientale e in Asia nel 2017;
  • SamSam esiste dal 2015 e prende di mira principalmente le organizzazioni sanitarie;
  • Ryuk è apparso per la prima volta nel 2018 ed è utilizzato in attacchi mirati contro organizzazioni vulnerabili, come gli ospedali. È spesso usato in combinazione con altri malware come TrickBot;
  • Maze è un gruppo ransomware relativamente nuovo, noto per rilasciare dati rubati al pubblico se la vittima non paga per decriptarli;
  • RobbinHood è un’altra variante di EternalBlue che ha messo in ginocchio la città di Baltimora, Maryland, nel 2019;
  • Sodinokibi prende di mira i sistemi Microsoft Windows e cripta tutti i file tranne quelli di configurazione. Inoltre, è collegato a GandCrab;
  • Thanos è l’ultimo ransomware della lista, scoperto nel gennaio 2020. Viene venduto come servizio ransomware. È il primo ad utilizzare la tecnica RIPlace, che può aggirare la maggior parte dei metodi anti-ransomware.

Fonte: CSO

Ti è piaciuto? Cosa ne pensi? Hai già sentito parlare del ransomware? Lascia il tuo commento. Inoltre, non dimenticare di unirti al nostro gruppo Telegram. Basta cliccare sull’immagine blu qui sotto!