Ransomware

Definizione: cos’è il ransomware?

Il ransomware è una forma di malware. I criminali informatici usano il ransomware come strumento per rubare dati e sostanzialmente tenerli in ostaggio. Rilasciano i dati solo quando ricevono un pagamento di riscatto. Le organizzazioni più vulnerabili agli attacchi ransomware detengono dati sensibili, come informazioni personali, dati finanziari e proprietà intellettuale.

Il ransomware risale agli anni ’80, ma non è diventato una notizia diffusa fino all’inizio degli anni 2000. Oggi, gli attacchi ransomware sono il terzo metodo di attacco informatico più utilizzato, rappresentando oltre il 10% di tutte le violazioni dei dati. L’emergere della criptovaluta ha reso il ransomware ancora più allettante, poiché semplifica il pagamento del riscatto.

La tecnologia gioca un ruolo importante nel ransomware, poiché i criminali informatici migliorano continuamente i loro metodi per ottenere rapidamente l’accesso e crittografare i dati. Sempre più aziende stanno digitalizzando, in parte a causa delle restrizioni e delle precauzioni COVID. Pertanto, sono disponibili più dati in impostazioni remote che mai.

Il ransomware è qui per restare, quindi continua a leggere per scoprire come la tua organizzazione può ridurre il rischio di ransomware.

Significato di ransomware: l’evoluzione del ransomware

La tecnologia ransomware è stata sviluppata per la prima volta da un biologo evoluzionista formatosi ad Harvard di nome Joseph L. Popp. Ha lanciato l’AIDS Trojan dando dischetti infetti da ransomware ai partecipanti a una conferenza internazionale sull’AIDS tenutasi dall’Organizzazione Mondiale della Sanità a Stoccolma, in Svezia. Il codice nascondeva le directory dei file sui loro computer e richiedeva che 189 $ fossero inviati a Panama per liberare i loro computer.

Anche se il rischio di ransomware ha fatto molta strada da allora, la sua missione principale rimane la stessa: estorcere o truffare denaro da utenti ignari. Si è evoluto dall’essere presente su un dischetto al viaggiare su Internet, tramite e-mail, download di audio e video e persino all’interno di immagini. Negli ultimi anni, è stato uno strumento per i cryptominer, che hanno bisogno di potenza di calcolo per generare criptovalute.

Poiché l’estrazione di asset digitali richiede molta elettricità costosa, è stato sviluppato un ransomware per costringere il computer di un utente a estrarre criptovalute, il tutto a vantaggio di un cryptominer a centinaia o migliaia di chilometri di distanza.

Come funziona il ransomware?

Gli aggiornamenti del firmware consentono ai dispositivi hardware di continuare a funzionare in modo efficiente e sicuro. Questi aggiornamenti in genere comportano una qualche forma di modifica del programma che corregge un bug noto o patch contro vulnerabilità specifiche.

Come funziona il ransomware? Indipendentemente dalla definizione di ransomware, una volta entrato nel computer, lo infetta segretamente. Il software procede quindi ad attaccare i file e ad accedere e modificare le credenziali senza che l’utente possa accorgersene. Di conseguenza, l’infrastruttura informatica è effettivamente tenuta in ostaggio dalla persona che controlla il malware.

Crittografia dei file

Il ransomware noto come cryptoware crittografa i file del computer di lavoro o personale della vittima. Ciò fa sì che il proprietario del computer non possa cercare o accedere a questi file a meno che non paghi un riscatto all’aggressore. L’aggressore è l’unico che può accedere ai file perché sono nascosti dietro la password di crittografia. A volte, l’aggressore blocca l’intero computer e poi chiede un riscatto prima di rilasciare la nuova password.

Con leakware e doxware, l’aggressore minaccia di pubblicare informazioni sensibili sul disco rigido della vittima se non paga un riscatto. Le aziende con informazioni proprietarie private come brevetti e schemi sensibili possono ritrovarsi a essere il bersaglio preferito di leakware e doxware.

Riscatto e richieste

Gli hacker tendono a chiedere accordi di pagamento utilizzando metodi come Western Union o tramite un messaggio di testo. Questo li aiuta a nascondere la loro identità. Una volta ottenuti i soldi, decifrano i file e liberano il sistema. Alcuni chiedono accordi di ransomware bitcoin a causa del loro anonimato e della mancanza di un intermediario.

Tieni presente che alcuni aggressori si mascherano da funzionari delle forze dell’ordine o del governo degli Stati Uniti. Potrebbero dire che stanno spegnendo il computer della vittima perché su di esso è stata trovata pornografia o software pirata. Quindi chiedono alla vittima di pagare una “multa” prima di rilasciare il computer.

Termini gergali del ransomware

Sebbene il gergo sia talvolta creato solo da pochi leader di pensiero, diventa presto un elemento della vita quotidiana. Nella sicurezza informatica, il gergo conciso rende più facile per coloro che “sono informati” parlare di minacce e della tecnologia utilizzata per combatterle. Ciò è particolarmente vero quando si tratta di ransomware, dove conoscere il gergo non solo fornisce informazioni sul mondo dei criminali ransomware, ma rende anche più facile eludere i loro attacchi. Ecco alcuni dei termini gergali con cui dovresti avere familiarità mentre sei sul campo di battaglia del ransomware.

 

Attacchi ransomware

Oggi, il ransomware viene spesso inviato tramite e-mail di phishing. Questi allegati dannosi infettano il computer dell’utente dopo essere stati aperti. Alcuni, come CryptoLocker, agiscono come un cavallo di Troia, infettando il computer e quindi cercando file da crittografare. Il ransomware può anche essere diffuso tramite download drive-by, ovvero quando un utente visita un sito Web che risulta essere infetto. Il malware su quel sito viene quindi scaricato e installato senza che l’utente ne sia nemmeno a conoscenza.

Anche l’ingegneria sociale gioca un ruolo importante in un attacco ransomware. Si verifica quando le persone cercano di manipolare gli altri per fargli divulgare informazioni personali o riservate. Una comune tattica di ingegneria sociale è l’utilizzo di e-mail o SMS per spaventare la vittima e spingerla a condividere informazioni sensibili, aprire un file dannoso o cliccare su un collegamento dannoso.

Malspam

Malspam è l’abbreviazione di “malware spam” ed è un’e-mail che invia malware nella posta in arrivo della vittima. Gli allegati o gli URL (indirizzi web) nell’e-mail potrebbero contenere o rimandare a malware oppure potrebbero contenere messaggi di phishing al loro interno.

Malvertising

Il malvertising comporta la distribuzione di annunci grafici o di testo infettati da malware. Spesso non possono essere distinti dagli annunci normali e possono apparire insieme a normali pubblicità innocue.

Obiettivi comuni degli attacchi ransomware

I criminali informatici amano andare a segno, che spesso includono piccole e medie imprese (PMI) perché non hanno misure di sicurezza adeguate. Le PMI hanno anche meno probabilità di avere grandi team di professionisti IT che capiscono cosa sia un attacco ransomware.

Gli attacchi ransomware prendono di mira anche le aziende che hanno un’urgente necessità di accedere ai propri file, come le organizzazioni che dipendono da database e magazzini di materiale di marketing o applicazioni per gestire le proprie attività quotidiane. L’azienda potrebbe pensare che, anche se l’aggressore chiede un paio di migliaia di dollari, ne perderà molto di più se l’interruzione dell’attività continua.

Chiunque abbia informazioni che desidera davvero mantenere private potrebbe anche ritrovarsi a essere un bersaglio. L’aggressore potrebbe avere un’idea di quanto sia importante la privacy per il bersaglio e addebiterà una tariffa elevata in cambio della mancata pubblicazione dei suoi dati.

Sfortunatamente, chiunque può finire per essere un bersaglio. Infatti, il malware non ha nemmeno bisogno di essere inviato direttamente dall’aggressore al computer della vittima. Può diffondersi da solo. Il codice dannoso può essere incorporato in una pubblicità dall’aspetto normale. Chiunque può cliccarci sopra e finire per essere una vittima.

Mentre gli attacchi sono più comuni sui desktop e sui laptop delle persone, qualsiasi dispositivo con un sistema operativo può cadere vittima. Ciò include telefoni cellulari, tablet e altri dispositivi mobili. Per garantire che tutti i dispositivi siano sicuri, potrebbe essere necessaria una soluzione completa di rilevamento e risposta degli endpoint (EDR). Con EDR, puoi identificare le minacce in tempo reale e preparare e proteggere i dispositivi sulla tua rete per renderli meno suscettibili agli attacchi.

Tipi di ransomware

Purtroppo, è economico e facile per i criminali informatici iniziare con questi attacchi. Le soluzioni software sono economiche e facilmente disponibili sul dark web e alcuni degli attacchi ransomware più recenti sono stati eseguiti utilizzando malware economici e facili da trovare. Esistono diversi tipi di ransomware, ed ecco alcuni degli esempi più popolari:

1. Scareware

Lo scareware è un tipo di malware che usa l’ingegneria sociale per spaventare, scioccare o causare ansia alla vittima. La persona viene quindi manipolata per acquistare software di cui non ha bisogno. Lo scareware spesso dice alla vittima di essere stata esposta a un virus falso o persino a un altro tipo di malware. Il modo migliore per evitare lo scareware è mettere in dubbio qualsiasi affermazione secondo cui il tuo computer è stato infettato, a meno che non provenga da un servizio di protezione antivirus rinomato e affidabile.

2. Blocco schermo

Gli screen locker bloccano lo schermo del computer, rendendolo apparentemente impossibile da accedere. Invece del tuo schermo normale, potresti ricevere un messaggio che richiede un pagamento prima di poter accedere nuovamente allo schermo. Potrebbe provenire da una falsa agenzia di polizia che ti chiede di utilizzare un servizio di pagamento online per inviare denaro a qualcuno. Se sei stato infettato da uno screen locker, le autorità consigliano di non pagare il riscatto. Puoi utilizzare un backup recente per ripristinare il computer dopo aver cancellato il sistema.

3. Crittografia ransomware

La crittografia ransomware utilizza algoritmi di crittografia avanzati per crittografare i dati sul tuo dispositivo. Ti verrà data una nota che spiega quanto devi pagare e i passaggi che devi seguire per riavere accesso ai tuoi file. Similmente ai bloccaschermo, potresti dover ricorrere a un backup recente per far funzionare di nuovo il tuo computer senza cedere alle richieste dell’aggressore.

4. Alcune minacce emergenti

Le minacce ransomware sono in continua evoluzione e stanno diventando più gravi. Con l’emergere di nuove misure di sicurezza, gli hacker stanno escogitando sempre più modi per invadere i computer di individui e aziende. Minacce come Ransomware-as-a-Service (RaaS) stanno diventando sempre più comuni. Con RaaS, qualcuno può acquistare o noleggiare un pacchetto ransomware completo che può scatenare su chiunque desideri. A volte, dividono i profitti con il fornitore RaaS.

Sebbene il Dipartimento di Giustizia degli Stati Uniti (DOJ) agisca contro gli aggressori, le agenzie governative continueranno comunque a essere i bersagli degli attacchi. Quando un hacker riesce a chiudere anche un piccolo ramo del governo, locale o nazionale, ciò influisce sulla vita di un’ampia fascia di persone, il che rende particolarmente allettante pagare il riscatto e tornare a funzionare.

Rilevamento ransomware

Un rilevamento efficace del ransomware implica una combinazione di istruzione e tecnologia. Ecco alcuni dei modi più efficaci per rilevare e prevenire gli attacchi ransomware:

1. Assicurati che i dipendenti siano informati sul ransomware: insegna ai dipendenti come individuare i segnali del ransomware, come e-mail progettate per sembrare provenienti da aziende autentiche, link esterni sospetti e allegati di file discutibili.
2. Crea honeypot: un honeypot è un’esca, costituita da falsi repository di file progettati per sembrare obiettivi allettanti per gli aggressori. Quando un hacker ransomware insegue il tuo honeypot, puoi rilevare e fermare l’attacco.
3. Monitora la tua rete e i tuoi endpoint: con un monitoraggio attento, puoi registrare il traffico in entrata e in uscita, analizzare i file per trovare prove di attacchi (come modifiche non riuscite), stabilire una baseline per un’attività utente accettabile e quindi indagare su qualsiasi cosa sembri fuori dall’ordinario.
4. Distribuisci strumenti antivirus e anti-ransomware: possono essere utilizzati per inserire nella whitelist i siti accettabili e informarti quando rilevano una minaccia.

Controlla il contenuto delle e-mail: puoi configurare le impostazioni e-mail per impedire automaticamente che e-mail dannose entrino nelle caselle di posta dei tuoi dipendenti, nonché bloccare contenuti con estensioni che potrebbero rappresentare una minaccia, come i file eseguibil

Cosa aspettarsi dopo un attacco ransomware?

Dopo un attacco ransomware, probabilmente subirai un rallentamento significativo nelle operazioni aziendali. Oltre a provare a riavviare le operazioni, puoi aspettarti di:

• Aggiornare il tuo sistema di protezione antivirus
• Formare i dipendenti su come evitare un attacco ransomware in futuro
• Decifrare i tuoi file di Microsoft Office, che sono un bersaglio preferito dei criminali informatici
• Gestire la frustrazione dei dipendenti e della dirigenza mentre subiscono una perdita di produttività

Come rispondere a un attacco ransomware?

Ci sono dei passaggi che puoi intraprendere dopo un attacco ransomware per ridurre al minimo i danni alle tue operazioni. Indipendentemente dalla situazione, le autorità consigliano di non pagare il riscatto. Pagare il riscatto incoraggia solo ulteriori attacchi poiché altri criminali informatici sentono parlare di attacchi riusciti.

Controlla la presenza di scareware

Lo scareware è spesso facile da individuare sul tuo computer. Potrebbe apparire quando visiti Internet, sostituendo ciò che ti aspetteresti di vedere nelle tue schede. A volte, le schede si aprono automaticamente quando clicchi, indipendentemente da dove clicchi o tocchi sullo schermo.

Gli scareware compaiono anche su un computer infetto quando non è connesso a Internet. Possono presentarsi sotto forma di un messaggio che ti informa che il tuo dispositivo è stato infettato e deve essere pulito. Possono anche apparire come un’offerta per installare un software antivirus.

A volte gli scareware possono essere puliti seguendo le istruzioni di un rappresentante del servizio clienti del produttore del tuo computer. Poiché questi tipi di ransomware sono così comuni, alcune aziende hanno professionisti qualificati pronti ad aiutare gli utenti a disinstallarli.

Consulta un esperto

Uno specialista IT potrebbe essere in grado di identificare, localizzare e sbarazzarsi del ransomware. Sebbene non vi sia alcuna garanzia che possano eliminarlo dal tuo computer, alcuni ransomware sono stati utilizzati molte volte. Di conseguenza, ci sono già chiavi di decrittazione in circolazione tra i professionisti IT.

Consultare un esperto ha anche i suoi svantaggi. Spesso assumere un professionista costa una notevole quantità di denaro. Inoltre, non c’è modo di sapere, prima di accettare di pagare una quota iniziale, se l’esperto riuscirà a eliminare il ransomware dal tuo computer.

Come rimuovere il ransomware?

Passaggi da seguire per rimuovere il ransomware:

• Isolare i dispositivi infetti: probabilmente, solo pochi dispositivi avranno il ransomware. È importante rimuoverli dalla rete in modo che non possano infettare altri dispositivi connessi.
• Identificare il tipo di attacco: i passaggi da seguire dipenderanno in gran parte dal tipo di ransomware da cui sei stato infettato. Annotare tutti i dettagli sull’attacco e i suoi sintomi.
• Utilizzare un software antivirus o assumere un professionista che lo faccia per te: questo può aiutare a prevenire ulteriori attacchi e potrebbe anche rivelare ed eliminare altre minacce.
• Recuperare i file crittografati: se puoi recuperarli (e come) dipenderà dalla natura dell’attacco e dalle opzioni di decrittazione.
• La rimozione del ransomware rende impossibile rispondere alle richieste dell’aggressore, il che può impedirti di prendere una decisione dannosa ed emotiva. Tuttavia, questo non decrittograferà i file che sono tenuti in ostaggio.

Potresti finire per perdere i file decrittografati o tutte le informazioni sul tuo dispositivo, in particolare se sei stato bloccato fuori. D’altro canto, con scareware e molti screen locker, potresti non subire effetti negativi. Con alcuni screen locker, ad esempio, puoi riavviare il computer in modalità provvisoria e quindi rimuovere lo screen locker utilizzando un software antivirus. Quando riavvii il computer, potrebbe tornare alla normalità.

Prevenzione del ransomware

Come proteggere la tua attività dal ransomware?

Le aziende, indipendentemente dalle loro dimensioni, sono i bersagli preferiti dei criminali informatici ransomware. Molte aziende dipendono dai loro computer per le loro operazioni quotidiane, per gestire file cruciali o per comunicare. Qualsiasi periodo di inattività ha un effetto sui profitti dell’azienda. I criminali informatici lo usano per manipolare i proprietari e i dipendenti delle aziende inducendoli a pagare per riavere accesso ai loro computer. In molti casi, sono riusciti a estorcere grandi somme di denaro o a interrompere significativamente le operazioni.

Nel 2018, SamSam è stato utilizzato per attaccare il Dipartimento dei trasporti del Colorado e il porto di San Diego. Il ransomware ha bloccato tutti i loro servizi. Sempre nel 2018, due hacker iraniani avrebbero utilizzato SamSam per attaccare più di 200 organizzazioni e aziende negli Stati Uniti e in Canada. Tra le vittime c’erano ospedali, istituzioni pubbliche e municipalità. Gli attacchi hanno causato una perdita stimata di 30 milioni di dollari. Scopri di più sui vantaggi dell’assicurazione informatica per i pagamenti ransomware.

Come prevenire gli attacchi ransomware?

Il modo migliore per combattere il ransomware è prevenire un attacco.

Aggiorna frequentemente

Aggiornare i dispositivi può essere un modo efficace e gratuito per proteggerli. Molti aggiornamenti includono una protezione antivirus contro nuovi tipi di minacce informatiche. Man mano che il produttore del dispositivo impara a combattere diversi tipi di ransomware, il codice che protegge il dispositivo viene incluso in un aggiornamento.

Per sfruttare questa disposizione, controlla costantemente gli aggiornamenti tenendo d’occhio gli avvisi di aggiornamento o controllando le impostazioni del dispositivo. Puoi anche pianificare aggiornamenti automatici, spesso nei momenti in cui non utilizzi il dispositivo.

Autenticarne il software

L’autenticazione del software garantisce che qualsiasi software eseguito sul dispositivo provenga da una fonte affidabile e non da un criminale informatico. Alcuni software che puoi installare non includono alcun tipo di autenticazione automatica, il che può rendere la verifica una sfida.

Puoi contattare lo sviluppatore del software per telefono e verificare che il software, così come la sua versione specifica, sia autentico. Puoi anche descrivere come hai trovato il software, il sito Web o l’e-mail da cui proviene e qualsiasi dettaglio sulle istruzioni di installazione che può aiutare lo sviluppatore a determinare se è autentico.

Per proteggere ulteriormente il tuo computer da software non autorizzato, uno strumento come FortiToken ti offre la potenza dell’autenticazione a due fattori (2FA) utilizzando un ambiente basato su cloud per verificare le connessioni sulla tua rete.

Installa la protezione antivirus

La protezione antivirus è una delle soluzioni più potenti e semplici nella lotta contro il malware. Le misure antivirus impediscono in primo luogo al ransomware di raggiungere i tuoi dispositivi o la tua rete, impedendo agli aggressori di estorcerti denaro o di interrompere le tue operazioni.

Spesso, il ransomware prende piede tramite un’e-mail apparentemente innocente, ma la sicurezza della posta elettronica può contrastarlo nelle sue fasi iniziali. I dati all’interno degli allegati e-mail possono essere analizzati per le minacce. Con questo tipo di filtro, puoi bloccare le e-mail del mittente incriminato, nonché impostare regole per impedire che questi tipi di messaggi raggiungano la tua casella di posta.

Inoltre, un firewall di nuova generazione (NGFW) può fornire un ulteriore livello di protezione. Gli NGFW offrono filtraggio dei pacchetti, supporto per reti private virtuali (VPN) e funzionalità di mappatura IP. Monitorano anche la tua rete, tenendo d’occhio le minacce. I provider NGFW eseguono ricerche continue sul panorama della sicurezza per conoscere le nuove minacce man mano che si presentano e utilizzano questi dati sotto forma di aggiornamenti automatici per bloccare gli attacchi sui tuoi dispositivi.

Software di whitelist

Il software di whitelist è un metodo efficace contro gli attacchi. L’utente controlla regolarmente il proprio dispositivo e approva il software prima di utilizzarlo. Misure di protezione come i firewall possono avvisarti di software che potrebbero contenere ransomware e chiedere il tuo permesso prima di connetterti a Internet. Tramite il processo di whitelist, puoi anche scegliere di bloccare tutti i programmi in arrivo se sospetti che si sia verificata una violazione della sicurezza. Puoi quindi concentrarti sulla scoperta della fonte del problema prima di continuare a utilizzare uno qualsiasi dei tuoi programmi. Quando utilizzi un firewall, il ransomware è facile da individuare.

Esegui il backup dei tuoi dati

Sebbene non possano prevenire gli attacchi, i backup sono un elemento essenziale di un approccio proattivo. Eseguire regolarmente il backup dei tuoi dati può fornirti un’immagine di base di ciascun dispositivo sulla tua rete. In caso di attacco ransomware, puoi cancellare il sistema e utilizzare il backup per tornare a funzionare.

Istruisci i dipendenti

I tuoi dipendenti, se dotati delle giuste conoscenze, possono fare molto per prevenire gli attacchi ransomware. Fate sapere loro come si presentano gli attacchi e come evitare di esporre i loro dispositivi a essi.

Utilizza una soluzione di sicurezza completa

La migliore difesa contro il ransomware è una soluzione completa progettata per proteggere una gamma di dispositivi dagli attacchi. Ciò può includere il filtraggio web, che crea una barriera tra la vostra rete e siti dannosi, link, malware o altri contenuti rischiosi. Una soluzione completa può anche impiegare il sandboxing, che consiste nel mettere le azioni di un’applicazione in un ambiente isolato. All’interno del sandbox, il comportamento dell’applicazione viene analizzato e i dati raccolti possono rivelare errori, inefficienze, ransomware e altro codice sospetto. Poiché l’applicazione si trova nella sandbox, altri elementi del dispositivo o della rete sono protetti.