Ransomware: cosa sono e come proteggersi

Al centro delle cronache recenti, i ransomware rappresentano sicuramente una delle minacce informatiche di cui si parla di più, in Italia come nel mondo.
Basti pensare che, secondo il “Verizon Data Breach Investigations Report”, gli attacchi ransomware hanno rappresentato il 25% di tutte le violazioni informatiche nel 2022: un attacco su 4 al mondo.

Il ransomware ha colpito il 66% delle organizzazioni nel 2021, con un aumento del 78% rispetto al 2020 (“The State of Ransomware 2022” di Sophos) mentre l’Internet Crime Complaint Center dell’FBI ha ricevuto 3.729 denunce di attacchi ransomware nel 2021, che hanno rappresentato perdite finanziarie per 49,2 milioni di dollari.

La Cybersecurity and Infrastructure Security Agency ha riferito inoltre di essere a conoscenza di incidenti ransomware contro 14 dei 16 settori delle infrastrutture critiche statunitensi.

Si tratta dunque di un tema di estrema importanza non solo dal punto di vista della sicurezza informatica in sé ma anche per l’economia digitale su cui si basa, oramai, il grosso della produzione di beni e servizi a livello globale.

Cos’è un ransomware?

Il ransomware è un malware che utilizza la crittografia per tenere in ostaggio le informazioni di una vittima.

I dati critici di un utente o di un’organizzazione vengono crittografati in modo che queste non possano accedere a file, database o applicazioni.

Viene quindi richiesto un riscatto per fornire l’accesso, spesso sotto forma di Bitcoin, non tracciabili e destinati a portafogli anonimi.

Il ransomware è pensato per essere una minaccia capace di diffondersi in una rete e prendere di mira database e file server, paralizzando rapidamente un’intera organizzazione. Al suo cuore, tecnicamente, c’è la crittografia asimmetrica, che utilizza una coppia di chiavi per crittografare e decrittografare un file.

La coppia di chiavi pubblica-privata viene generata in modo univoco dall’aggressore per la vittima, con la chiave privata per decrittografare i file archiviati sul server di chi attacca, che rende disponibile la chiave privata alla vittima solo dopo il pagamento del riscatto, anche se, come visto nelle recenti campagne di ransomware, non è sempre così.

Senza l’accesso alla chiave privata, è quasi impossibile decrittografare i file tenuti in ostaggio.

Cybersecurity ransomware

Come vengono trasmessi i ransomware?
Gli attacchi più comuni

Esistono diversi gruppi di ransomware.

Spesso, queste minacce vengono distribuite utilizzando campagne via e-mail o tramite attacchi mirati.
Il ransomware in sé ha bisogno di un vettore di attacco per stabilire la propria presenza su un endpoint.

Dopo che è stata stabilita, il virus rimane nel sistema finché il suo compito non viene portato a termine.
Dopo un exploit riuscito, il ransomware rilascia ed esegue un binario dannoso sul sistema infetto, che cerca e crittografa i file.

Il ransomware può anche sfruttare le vulnerabilità del sistema e della rete per diffondersi ad altri sistemi e possibilmente a intere organizzazioni.

Gli attacchi ransomware e le loro varianti si stanno rapidamente evolvendo per contrastare le tecnologie preventive dei fornitori di sicurezza grazie ad alcuni escamotage, tra cui certi sorpassati in quanto a tecnologie, che però si rivelano ancora molto sfruttati.

Questo perché vi è molta e crescente disponibilità di kit di malware che possono essere utilizzati per creare nuovi campioni su richiesta.
Il trend è poi quello di sviluppare minacce ‘multipiattaforma’, che possano attaccare in una volta sola sistemi e software differenti.

Un esempio è Ransom32, che utilizza Node.js con un payload JavaScript.

Vi è poi l’avvento di nuove tecniche, come la crittografia dell’intero disco anziché dei file selezionati, con i criminali che oggi non devono nemmeno essere esperti di tecnologia.

I marketplace di ransomware spuntano ovunque nel web superficiale e, soprattutto, nel dark web, offrendo ceppi di malware per qualsiasi aspirante hacker e generando profitti extra per gli autori di malware, che spesso chiedono una percentuale dai proventi del riscatto.

Non a caso, si parla molto di ransomware-as-a-service, un modello economico molto comune, che consente agli sviluppatori di malware di guadagnare denaro per le loro creazioni senza la necessità di distribuire direttamente le minacce.

Gli attaccanti acquistano i loro prodotti e lanciano le infezioni, pagando agli sviluppatori una percentuale del guadagno.
Gli sviluppatori corrono relativamente pochi rischi, visto che i ‘clienti’ eseguono la maggior parte del lavoro.

Alcune istanze di ransomware-as-a-service utilizzano abbonamenti mentre altre richiedono la registrazione per ottenere l’accesso al codice.

Esempio attacco informatico 1
La schermata del ransomware Lockbit che ruba i dati aziendali
Esempio attacco informatico 2

Tipi di ransomware

Sono tre le principali tipologie di ransomware:
– scareware
– screen locker
– crittografici

Scareware

Al di là del nome non è così spaventoso.
Include software di sicurezza canaglia e truffe di supporto tecnico.
Si potrebbero ricevere messaggi pop-up che affermano che il malware è stato scoperto e l’unico modo per sbarazzartene è pagare.

Se non si fa nulla, probabilmente si continuerà a essere bombardato da pop-up, ma i file sono essenzialmente al sicuro.
Un legittimo programma software per la sicurezza informatica non solleciterebbe i clienti in questo modo.

Screen Locker

L’allarme qui diventa arancione.

Quando il ransomware lock-screen entra nel computer, significa che si è completamente bloccati fuori dal PC.

All’avvio del sistema, verrà visualizzata una finestra a grandezza naturale, spesso accompagnata da un sigillo dall’aspetto ufficiale dell’FBI o del Dipartimento di giustizia degli Stati Uniti che indica che è stata rilevata un’attività illegale sul computer e che bisogna pagare una multa.

Tuttavia, l’FBI non ti bloccherebbe fuori dalla macchina né esigerebbe il pagamento per attività illegali.

Ransomware Crittografici

Questi sono i virus che si impadroniscono dei file e li crittografano, chiedendo un pagamento per decrittografarli e riconsegnarli.

Il motivo per cui questo tipo di ransomware è così pericoloso è perché una volta che i criminali informatici si impossessano dei file, nessun software di sicurezza o ripristino del sistema può restituirteli.

A meno che non si paghi il riscatto, la maggior parte sono andati.
E anche chi paga, non è detto che riesca a tornare in possesso di quello che ha perso.

I ransomware più noti

Reveton

Il worm Reveton è una forma di ransomware che continua a evolversi da quando è stato rilasciato per la prima volta in tutta Europa nel 2012.

Come la maggior parte dei ransomware, infetta un computer e si fa conoscere all’utente mettendolo fuori dal sistema e visualizzando uno schermo che sembra provenire da un’agenzia delle forze dell’ordine.

Il worm Reveton tenta di spaventare le sue vittime visualizzando un avviso che afferma che l’utente ha commesso un crimine, di solito scaricando o utilizzando software piratato o conservando materiale pedopornografico sul computer.

E’ anche noto per prendere il controllo delle webcam e spaventare le vittime facendole credere di essere state registrate dalla polizia.

Nel luglio del 2013 una versione di Reveton ha iniziato a prendere di mira gli utenti Mac OS, ma utilizzando un metodo diverso.

Questa versione di Reveton usava JavaScript per caricare numerosi iframe e richiedere alle vittime di chiuderli uno alla volta.

I messaggi sulle finestre di apertura informavano della violazione di varie leggi e che, per sbloccare il computer ed evitare problemi legali, si dovevano pagare circa 300 dollari tramite una carta prepagata.
I tentativi di chiudere la pagina di avviso generavano messaggi aggiuntivi.

Nell’agosto 2014 Reveton ha iniziato a utilizzare un potente password stealer chiamato Pony Stealer che ha permesso ai fautori di rubare le password da 5 portafogli di criptovalute.

Pony Stealer è così avanzato da ottenere l’accesso e decrittografare o sbloccare password per FTP, VPN, e-mail, browser Web e programmi di messaggistica istantanea, consentendo al programma di utilizzare PC infetti come client botnet.

CryptoLocker

Cryptolocker è una minaccia malware che ha acquisito notorietà negli ultimi anni.

È un cavallo di Troia che infetta il computer e tutti i media collegati, ad esempio stick USB o qualsiasi unità di rete condivisa. Inoltre, il malware cerca file e cartelle archiviati nel cloud.

Solo i computer che eseguono una versione di Windows sono sensibili a Cryptolocke visto che il Trojan non prende di mira i Mac.

Una volta che il desktop o laptop è stato infettato, i file vengono “bloccati” utilizzando la già menzionata crittografia asimmetrica.

Il metodo più comune di infezione è tramite e-mail con allegati sconosciuti che, a prima vista, sembrano estensioni familiari come *.doc o *.pdf, ma che in realtà contengono una doppia estensione, ossia un eseguibile nascosto (*.exe).

Una volta aperto, l’allegato crea una finestra e attiva un downloader, che infetta il computer.
Poiché il programma è un Trojan, non può auto-replicarsi, il che significa che deve essere scaricato per infettare altri.

Oltre agli allegati e-mail dannosi, questo malware può provenire anche da siti Web che richiedono di scaricare un plug-in o un lettore video.

WannaCry

Nel maggio 2017, il ransomware WannaCry si è diffuso a livello globale tramite computer che eseguono Windows.

Quasi due mesi prima, Microsoft aveva rilasciato una patch di sicurezza per EternalBlue, l’exploit utilizzato dagli aggressori per diffondere il ransomware.

Tuttavia, molti utenti non avevano aggiornato il proprio software o utilizzavano versioni obsolete di Windows, quindi erano vulnerabili all’attacco su larga scala.
Gli aggressori chiedevano un riscatto iniziale di 300 dollari per sbloccare i sistemi infetti, poi divenuti 600.

WannaCry ha infettato circa 230.000 computer in 150 paesi in poche ore. Dopo essersi diffuso, il ricercatore di sicurezza Marcus Hutchins ha scoperto un kill switch che ha rallentato notevolmente l’attacco.

Nonostante le tecniche ripetute, WannaCry ha alcune caratteristiche che lo rendono diverso da un tipico attacco ransomware.
I criminali di solito usano ceppi di ransomware puri per attacchi mirati, ossia sistemi già noti per essere vulnerabili sotto alcuni punti di vista.

Questo ransomware si è comportato invece più come un attacco phishing: buttato nel mare magnum della rete, ha cercato di fare quante più vittime possibili, giocando sulla scarsa cyber hygiene che ancora coinvolge gli utenti e le aziende, dal punto di vista dell’aggiornamento dei sistemi.

Cosa fare per proteggersi

Le infezioni possono essere devastanti per un individuo o un’organizzazione e il ripristino può essere un processo difficile.

Ci sono delle misure preventive che si possono seguire per proteggere le proprie reti dall’infezione da ransomware:

  • Affidarsi ad un piano di backup e ripristino per tutte le informazioni critiche.
    Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o di sistema e per accelerare il processo di ripristino.
    Bisogna tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware; i backup critici devono essere quindi isolati per una protezione ottimale.

  • Mantenere il sistema operativo e il software aggiornati con le patch più recenti.
    Le applicazioni e i sistemi operativi vulnerabili sono gli obiettivi della maggior parte degli attacchi.

    Garantire che vengano aggiornati con gli aggiornamenti più recenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato.

  • Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione.

  • Limitare la capacità (autorizzazioni) degli utenti di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi.
    La limitazione di questi privilegi può impedire l’esecuzione del malware o limitare la sua capacità di diffondersi attraverso la rete.

  • Evitare di abilitare le macro dagli allegati di posta elettronica.
    Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sulla macchina.

  • Non seguire collegamenti Web nelle e-mail, a meno che non si possa verificarne la sicurezza a priori.

Come rimuovere i ransomware

Se un utente malintenzionato crittografa il dispositivo e richiede un riscatto, non c’è alcuna garanzia che lo decrittograferà indipendentemente dal fatto che si paghi o meno.

Ecco perché è fondamentale essere preparati prima di essere colpiti dal ransomware.

I due passi fondamentali da compiere, come già anticipato nel precedente paragrafo, sono quindi:

1. installare soluzioni di sicurezza
2. eseguire un backup.