Cos'è il ransomware?
Il ransomware è un tipo di malware (software dannoso) che può presentarsi in diversi modi, colpendo singoli sistemi e reti di aziende, ospedali, aeroporti ed enti governativi.
Il ransomware viene costantemente migliorato e sta diventando sempre più sofisticato sin dalla prima comparsa registrata, nel 1989. Mentre i formati semplici sono, in genere, ransomware non crittografati, quelli moderni utilizzano metodi di crittografia per crittografare i file, rendendoli inaccessibili. Il ransomware di crittografia può essere utilizzato anche sui dischi rigidi come un modo per bloccare completamente il sistema operativo di un computer, impedendo alla vittima di accedervi. L'obiettivo finale è convincere le vittime a pagare un riscatto per la decrittazione, che di solito viene richiesto in valute digitali difficili da tracciare (come Bitcoin o altre criptovalute). Tuttavia, non vi è alcuna garanzia che i pagamenti vengano onorati dagli aggressori.
La popolarità del ransomware è cresciuta in modo significativo nell'ultimo decennio (soprattutto nel 2017) e, in quanto attacco informatico motivato finanziariamente, rappresenta attualmente la minaccia malware più importante al mondo, come riportato da Europol (IOCTA 2018).
Come vengono create le vittime?
Phishing: una forma ricorrente di ingegneria sociale. Nel contesto dei ransomware, le e-mail di phishing sono una delle forme più comuni di distribuzione di malware. Le vittime di solito vengono infettate tramite allegati e-mail compromessi o collegamenti mascherati da legittimi. All'interno di una rete di computer, una sola vittima può essere sufficiente per compromettere un'intera organizzazione.
Kit di exploit: un pacchetto composto da vari strumenti dannosi e codice di exploit precompilato. Questi kit sono progettati per sfruttare problemi e vulnerabilità nelle applicazioni software e nei sistemi operativi come un modo per diffondere malware (i sistemi non sicuri che eseguono software non aggiornato sono gli obiettivi più comuni).
Malvertising: gli aggressori utilizzano le reti pubblicitarie per diffondere ransomware.
Come proteggersi dagli attacchi ransomware?
Utilizza fonti esterne per eseguire regolarmente il backup dei tuoi file, in modo da poterli ripristinare dopo aver rimosso una potenziale infezione;
Sii cauto con gli allegati e i collegamenti e-mail. Evitare di fare clic su annunci e siti Web di origine sconosciuta;
Installa un antivirus affidabile e mantieni aggiornati le tue applicazioni software e il tuo sistema operativo;
Abilita l'opzione "Mostra estensioni file" nelle impostazioni di Windows in modo da poter controllare facilmente le estensioni dei tuoi file. Evita estensioni di file come .exe .vbs e .scr;
Evita di visitare siti Web che non sono protetti dal protocollo HTTPS (ovvero URL che iniziano con "https://"). Tieni presente, tuttavia, che molti siti Web dannosi stanno implementando il protocollo HTTPS per confondere le vittime e il protocollo da solo non garantisce che il sito Web sia legittimo o sicuro.
Visita NoMoreRansom.org, un sito web creato dalle forze dell'ordine e dalle società di sicurezza IT che lavorano per contrastare il ransomware. Il sito Web offre toolkit di decrittazione gratuiti per gli utenti infetti, nonché consigli di prevenzione.
Esempi di ransomware
Gran Granchio (2018)
Visto per la prima volta nel gennaio 2018, il ransomware ha fatto oltre 50.000 vittime in meno di un mese, prima di essere interrotto dal lavoro delle autorità rumene insieme a Bitdefender ed Europol (è disponibile un kit di recupero dati gratuito). GrandCrab si è diffuso tramite e-mail di malvertising e phishing ed è stato il primo ransomware conosciuto a richiedere il pagamento di un riscatto nella criptovaluta DASH. Il riscatto iniziale variava dai 300 ai 1500 dollari americani.
Voglio piangere (2017)
Un attacco informatico mondiale che ha infettato oltre 300.000 computer in 4 giorni. WannaCry si è propagato attraverso un exploit noto come EternalBlue e ha preso di mira i sistemi operativi Microsoft Windows (la maggior parte dei computer colpiti utilizzava Windows 7). L'attacco è stato fermato grazie alle patch di emergenza rilasciate da Microsoft. Gli esperti di sicurezza statunitensi hanno affermato che la Corea del Nord era responsabile dell’attacco, sebbene non sia stata fornita alcuna prova.
Coniglio cattivo (2017)
Un ransomware diffuso come un falso aggiornamento di Adobe Flash scaricato da siti Web compromessi. La maggior parte dei computer infetti si trovava in Russia e l'infezione dipendeva dall'installazione manuale di un file .exe. Il prezzo per la decrittazione ammontava all’epoca a circa 280 dollari USA (0,05 BTC).
Locky (2016)
Di solito distribuito via e-mail come fattura di pagamento che conteneva allegati infetti. Nel 2016, l'Hollywood Presbyterian Medical Center è stato infettato da Locky e ha pagato un riscatto di 40 BTC (all'epoca 17.000 dollari USA) per poter riottenere l'accesso ai sistemi informatici dell'ospedale.
