I ransomware sono virus informatici che bloccano i file dei computer infettati in cambio della richiesta di un riscatto per renderli nuovamente accessibili. I ransomware sono, quindi, attacchi molto redditizi e tra i più diffusi nei recenti anni. Scopriamo insieme che cosa sono, come possono attaccare i nostri computer e come difenderci.
Che cosa sono i ransomware?
La parola ransomware indica una classe di malware che blocca i dati dei computer infettati e chiede il pagamento di un riscatto “ransom”, per renderli accessibili. Si tratta di trojan horse crittografici, il cui unico scopo è l’estorsione di denaro, attraverso un sequestro di file, che con la cifratura li rende inutilizzabili.
In sostituzione dello sfondo comparirà un avviso che sembra provenire dalla polizia oppure da un’altra organizzazione di sicurezza. In cambio di una password che sblocca i contenuti, viene richiesta una somma di denaro molto elevata sotto forma di criptovaluta, come i Bitcoin.
Ecco perché questi attacchi informatici si manifestano immediatamente. La differenza con i più sofisticati attacchi APT risiede nella capacità di bloccare il più a lungo possibile il sistema attaccato. Ma come si può pagare il riscatto? Dietro questa macchinosa industria di ransomware non ci sono dei semplici hacker ma delle organizzazioni criminali che dopo avere criptato tutti i file faranno comparire sul PC attaccato una schermata dove vengono dettagliate tutte le istruzioni in lingua italiana per il pagamento, solitamente attraverso il Dark Web.
Alcune organizzazioni criminali si sono attrezzate con chat in real time, in quanto non sempre il pagamento del riscatto può essere semplice da effettuare. In questo modo, i cybercriminali possono offrire un vero e proprio servizio di assistenza al cliente con tutte le indicazioni necessarie per eseguire il pagamento della somma richiesta e tal volta con la possibilità anche di trattare sul prezzo.
Come si prende un ransomware
Le email di phishing che invitano gli utenti a cliccare su un link oppure a scaricare un determinato file, continuano ad essere una delle principali e più diffuse modalità che sfruttano la poca attenzione e la mancanza di consapevolezza. Spesso il messaggio di posta elettronica viene camuffato in modo che possa sembrare essere stato inviato da una persona conosciuta, come un collega di lavoro con la tecnica conosciuta come “spoofing”. In altre situazioni, i cybercriminali sfruttano la vulnerabilità di programmi come Java o dei sistemi operativi.
In questo ultimo caso, il software si diffonde in modo autonomo senza che l’utente debba effettuare alcuna azione. Gli strumenti di infezione utilizzati dai ransomware sono gli stessi che solitamente vengono utilizzati per altre tipologie di attacci malware, come:
- Email di phishing: questa tecnica sfrutta il “social engineering” diffondendo oltre il 75% dei ransomware. Si tratta di email provenienti da fantomatici spedizionieri, o con false bollette allegate. Aprendo le mail e cliccando sugli allegati o i link presenti all’interno ecco che in automatico avviene l’infiltrazione del malware;
- Navigazione su siti compromessi: conosciuto come “drive-by download”. La navigazione avviene all’interno di siti nei quali sono stati inseriti dagli attaccanti i malware, realizzando appositamente siti fake simili ad altri più conosciuti. I cybercriminali compromettono ed infettano (con JavaScript, HTML, exploit) i siti visitati dalle potenziali vittime. In questo caso è la vittima che visita il sito infetto e non l’attaccante a sollecitarne la visita attraverso una email. Si presentano, sotto forma di banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto l’utente verrà indirizzato su siti malevoli, dove avverrà il download del malware;
- Chiavetta USB che contiene il software malevolo: utilizzando un supporto rimovibile si applica la tecnica chiamata “baiting” che proprio come avviene con le email di phishing spinge sulla curiosità degli utenti. Viene lasciato incustodito un supporto di memorizzazione come una chiavetta USB o un HD in un luogo comune, contenenti malware che si attiveranno una volta che l’oggetto verrà collegato al PC;
- All’interno di altri software che vengono scaricati: come programmi gratuiti che consentono di crackare software costosi per essere usati senza pagare. Il crack scaricato sarà un eseguibile (.exe) e all’interno potrebbe contenere anche una brutta sorpresa;
- Attacchi attraverso il desktop remoto: ovvero attacchi con furto di credenziali. Una volta ottenuto l’accesso al sistema, il cybercriminale potrà eseguire varie operazioni, come il furto di credenziali e dati e l’iniezione del ransomware;
- Attraverso lo sfruttamento di vulnerabilità: due sono i casi più famosi, il celebre WannaCry del maggio 2017 e l’attacco del marzo 2021 che ha utilizzato vulnerabilità di Microsoft Exchange Server.
Come difendersi dalle minacce?
La miglior forma di protezione è sicuramente la prevenzione. Gli esperti consigliano sempre di aggiornare sempre sia il proprio antivirus che il sistema operativo. Ancora meglio sarebbe utilizzare sistemi di protezione e rilevamento avanzati.
Altrettanto consigliato è il backup dei dati, cioè copie funzionanti e recenti dei propri file. Il backup dei dati aziendali deve essere un’attività pianificata. Dovrà prevedere non una sola copia di backup, ma almeno tre copie:
- Tre copie di ogni dato che si vuole conservare;
- Due copie “onsite” ma su storage differenti (HD, NAS, Cloud ecc.);
- Una copia “off-site” (in sito remoto) su Cloud, nastri e altri supporti.
In questo modo, se il ransomware dovesse infettare il sistema, una copia dei dati sarebbe comunque protetta, offrendo l’opportunità di ripristinarli quando necessario. Infine, è essenziale la protezione del backup, che deve essere isolato e non accessibile da un qualsiasi utente collegato in rete. Quando si viene attaccati è buona norma non pagare mail il riscatto ma piuttosto rivolgersi a un’azienda specializzata in sicurezza informatica.