Ransomware: cos’è, come riconoscerlo e come difendersi

3104 0

Il Ransomware è un malware che infetta un dispositivo limitandone l’accesso, per poi chiede un riscatto.  In questo articolo andremo a vedere cosa sono i ransomware, come funzionano, come si diffondono e come difendersi.

Che cosa è un ransomware?

I ransomware sono “virus informatici” che rendono inaccessibili i file dei computer infettati e chiedono nella maggior parte dei casi il pagamento di un riscatto per avere la chiave di ripristino.

Per i cyber criminali i ransomware sono estremamente redditizzi e proprio per questo sono molto cresciuti in questi ultimi anni.

Tecnicamente sono “trojan horse crittografici” che hanno come unico scopo l’estorsione di denaro.

Come avviene l’attacco Ransomware

L’attacco ransomware prevede il sequestro dei file mediante la cifratura rendendoli inutilizzabili.

Di solito al posto del classico sfondo verrà esposta una finestra o un PopUp che sembrerà provenire dalla polizia o da un’altra organizzazione di sicurezza proponendo un’offerta.

Per poter decriptare i file così da renderli di nuovo utilizzabili servirà una password che sarà in grado di sbloccare tutti i contenuti, ovviamente dopo aver versato una somma di denaro abbastanza elevata.

I primi erano sotto i 1.000 dollari, negli ultimi anni sono saliti anche fino a milioni di dollari e il riscatto è richiesto in criptovaluta Bitcoin, etc.

Ransomware e cybercrime

Dietro l’industria del ransomware non ci sono ovviamente semplici cyber criminali, ma vere e proprie organizzazioni criminali che hanno raggiunto un livello altissimo di efficienza.  Dopo aver criptato tutti i file nell’avviso che viene proposto vengono date dettagliate istruzioni “molto spesso in un buon italiano”,  per pagare il riscatto, generalmente attraverso la rete TOR “nel Dark Web”.

Avendo raggiunto un buon servizio di customer care “che è alla base di ogni business di successo”, alcuni attaccanti si sono addirittura attrezzati con chat in real time, offrendo un servizio di assistenza al cliente, con le indicazioni per eseguire il pagamento.

Quando si manifesta un ransomware?

Quando vi accorgete è già troppo tardi perchè a differenza del classico virus che rallenta il computer, apre finestre strane, invia mail in autonomia, il ransomware blocca tutto il computer mostrando il messaggio visto prima.

Come si diffonde il Ransomware?

La diffusione avviene in diversi modi. Le e-mail di phishing, quelle che ci invitano a cliccare su un determinato link o a scaricare un determinato file, continuano ad essere la modalità più diffusa, sfruttando la scarsa attenzione e la mancanza di consapevolezza degli utenti.

Nella maggior parte dei casi il messaggio di posta elettronica è mascherato in modo che risulti inviato da qualcuno di cui ci fidiamo, potrebbe essere un collega di lavoro, oppure i cybercriminali sfruttano le vulnerabilità presenti nei vari programmi  o nei diversi sistemi operativi.

In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione.

Modi di diffusione del Ransomware

Possiamo dividerli nei seguenti modi:

  • Email di phishing
  • Attraverso la navigazione su siti compromessi, drive-by download “scaricamento all’insaputa”
  • Utilizzando un supporto rimovibile, ad esempio una chiavetta USB contenente il software malevolo.
  • All’interno  di altri software scaricati ad esempio da programmi gratuiti che ci promettono di crackare software costosi.
  • Attacchi attraverso il desktop remoto RDP ”Remote Desktop Protocol”, posizionato in genere sulla porta 3389
  • Attraverso lo sfruttamento di vulnerabilità.

Quali sono i ransomware più pericolosi?

Di seguito la lista dei cinque ransomware più pericolosi:

  • Il ransomware DoppelPaymer, è un ransomware le cui vittime costituiscono circa il 9% delle statistiche totali, i suoi creatori hanno lasciato il segno anche con altri malware tra cui il famoso  “Trojan bancario Dridex”.
  • Conti che è conosciuto anche come ransomware IOCP, ha fatto la sua prima apparizione alla fine del 2019 ed è stato molto attivo per tutto il 2020.
  • Netwalker chiamato anche come ransomware Mailto, si è accaparrato più del 10% delle vittime totali, i suoi obiettivi maggiori sono giganti della logistica come gruppi industriali, società di energia e altre grandi organizzazioni.
  • Maze conosciuto anche come ransomware ChaCha, individuato per la prima volta nel 2019 è salito in modo veloce in cima alla classifica dei malware più pericolosi della sua categoria.

Come difendersi dal Ransomware

Come prima cosa installare un buon antivirus e un buon antispam in modo da porteggere il tuo computer. Investire nella sicurezza del proprio sistema è il primo passo fondamentale per difendersi da questo tipo di racket, “perché è proprio così che lo dobbiamo chiamare”.

Inoltre se volete proteggervi da questo tipo di minaccia bisogna accertarsi che tutti i software presenti sul nosto computer siano aggiornati, “incluso il sistema operativo o il browser”.

Ovviamente anche l’antivirus deve essere tenuto aggiornato, non basta installarlo e fare qualche scansione ogni tanto.

Un altro punto importantissimo è quello di effettuare un backup schedulato dei file e delle applicazioni, e per un’azienda dotarsi di un Disaster Recovery Plan.

Il backup dei dati e delle applicazioni dovrà rispettare la famosa regola del “3-2-1 backup” ,  per ulteriore sicurezza dovrà anche disporre di uno storico piuttosto ampio “chiamato data retention”.

Sicurezza informatica per combattere il cybercrime

Imparare a riconoscere i ransomware è molto importante come potete immaginare, per sconfiggere un nemico devi prima di tutto imparare a conoscerlo bene!

Se sei un datore di lavoro o un responsabile, come prima cosa  assicurati che tutto il personale riceva un training avanzato in materia di sicurezza informatica.

Se tutti i dipendenti sono consapevoli dei rischi legati alla sicurezza informatica “in gergo tecnico security risk assessment”, saranno in grado di segnalare celermente e con precisione eventuali mail sospette o comportamenti anomali del compiuter.

Il primo Ransomware della storia

Era il lontano 1989 quando PC Cyborg, ovvero il primo ransomware della storia, faceva il suo debutto.

Si chiamava PC Cyborg perché i pagamenti erano diretti a una fantomatica PC Cyborg Corporation, il malware bloccava il funzionamento del computer attraverso la presunta scadenza della licenza di un non meglio specificato software.

Ai tempi si chiedevano 189 dollari per far tornare tutto alla normalità. Realizzato da Joseph Popp, fu diffuso a un congresso sull’Aids, tramite floppy disk infetti consegnati ai partecipanti…geniale se ci pensate,  inserendo il floppy disk il virus si installava e criptava i file.

Come potete immaginare il ransomware ebbe una diffusione estremamente limitata perché poche persone usavano un personal computer, “internet era una rete per soli addetti ai lavori”.

Per un approfondimento consulta il volume di EPC Editore!

Aggiornati con i corsi di formazione dell’Istituto INFORMA!

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati. Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica. Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.