Il ransomware è un tipo di malware che blocca i file del computer fino a quando la vittima non paga un riscatto.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cos'è un attacco di social engineering?
Payload dannoso
Attacco di interposizione
Cos'è un buffer overflow?
Cos'è l'SQL injection?
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Il ransomware è un software dannoso che blocca i file e li trattiene a scopo di riscatto. Il ransomware può diffondersi rapidamente su un'intera rete e, in alcuni casi, un'infezione si è diffusa attraverso più reti appartenenti a organizzazioni diverse. La persona o il gruppo che controlla il ransomware sblocca i file solo se la vittima paga il riscatto.
Immagina che Chuck rubi il portatile di Alice, lo chiuda nella sua cassaforte e le dica che potrà riaverlo solo se lei gli pagherà 200 dollari. In sostanza è così che operano i gruppi ransomware: invece di sequestrare fisicamente i computer e bloccarli, lo fanno digitalmente.
Le strategie per prevenire le infezioni da ransomware includono la scansione di tutti i file e del traffico di rete per individuare malware, il filtro delle query DNS, l'utilizzo dell'isolamento del browser per prevenire gli attacchi e la formazione degli utenti sulle best practice di sicurezza informatica. Sebbene nessuna strategia di prevenzione del ransomware sia infallibile, mantenere un backup di tutti i dati può aiutare le aziende a riprendersi più rapidamente da un attacco ransomware.
I tipici attacchi ransomware seguono questi semplici passaggi:
La crittografia è il processo di codifica dei dati in modo che non possano essere letti se non da soggetti in possesso della chiave di crittografia, che possono utilizzare per invertire la crittografia. L'inversione della crittografia è nota come decrittografia.
La crittografia viene sempre utilizzata per scopi legittimi ed è un elemento cruciale per la sicurezza e la privacy su Internet. Ma i gruppi ransomware utilizzano la crittografia in modo dannoso per impedire a chiunque di poter aprire e utilizzare i file crittografati, compresi i legittimi proprietari dei file.
Immagina che Chuck, invece di rubare il laptop di Alice, traduca tutti i suoi file in una lingua che non sa leggere. Questo è simile alla crittografia in un contesto ransomware: Alice ha ancora accesso ai file, ma non può leggerli o utilizzarli. In sostanza, i file vengono persi finché non riesce a trovare un modo per tradurli.
Ma a differenza della traduzione di una lingua, la decrittografia dei dati è quasi impossibile senza la chiave di crittografia. La parte che attacca tiene per sé la chiave, ed è per questo che ha la leva necessaria per esigere il pagamento.
Solitamente la richiesta di riscatto è accompagnata da un limite di tempo: bisogna pagare prima di una certa scadenza, altrimenti i file rimarranno permanentemente crittografati. Il prezzo potrebbe aumentare con il passare del tempo.
I gruppi ransomware vogliono che sia difficile risalire a chi ha effettuato il pagamento da parte della vittima. Per questo motivo, questi gruppi spesso richiedono il pagamento tramite criptovaluta o altri metodi difficili da tracciare per le forze dell'ordine.
Una volta pagato il riscatto, l'aggressore decodifica i file da remoto oppure invia alla vittima la chiave di decrittografia. L'autore di un attacco quasi sempre decodifica i dati crittografati o fornisce la chiave una volta pagato il riscatto. È nell'interesse dell'aggressore mantenere la promessa di sbloccare i dati. Senza questo passaggio, le future vittime del ransomware smetteranno di pagare il riscatto perché sanno che non servirà a nulla e gli aggressori non guadagneranno nulla.
Una forma correlata di malware è lo "scareware". Lo scareware mostra un messaggio all'utente in cui si afferma che il suo dispositivo è infetto da malware e si richiede un pagamento per rimuoverlo. Se installato su un dispositivo, lo scareware può essere persistente e difficile da rimuovere. Sebbene possa bloccare il computer della vittima, solitamente non trattiene file e dati a scopo di riscatto come fa il ransomware.
Gli autori di attacchi utilizzano diversi metodi per diffondere il ransomware, ma il più delle volte utilizzano un tipo di malware chiamato "trojan". Un trojan è un file dannoso mascherato da qualcos'altro (proprio come il mitico cavallo di Troia mascherava l'esercito greco). Per funzionare, gli utenti devono eseguire i trojan e i gruppi ransomware possono ingannarli in vari modi:
È noto che gli aggressori sfruttano le vulnerabilità per creare worm che si diffondono in un'intera rete (e persino in più reti) senza che gli utenti intraprendano alcuna azione. Dopo che nel 2017 un exploit di vulnerabilità sviluppato dalla National Security Agency americana fu divulgato al pubblico, un worm ransomware, WannaCry, utilizzò questo exploit per infettare più di 200.000 computer quasi simultaneamente.
Indipendentemente dal metodo utilizzato, l'obiettivo è quello di far arrivare il file dannoso, noto anche come payload dannoso, sul dispositivo o sulla rete. Una volta eseguito, il payload dannoso crittografa i file sul sistema infetto.
Prima di farlo, può comunicare con il server di comando e controllo (C&C) dell'autore dell'attacco per ricevere istruzioni. A volte un autore di un attacco attende il momento opportuno per inviare un comando per crittografare i file, e in questo modo il ransomware può rimanere inattivo e inosservato su un dispositivo o una rete per giorni, settimane o addirittura mesi.
Un rapporto afferma che il prezzo medio pagato dalle vittime del ransomware è stato di oltre 300.000 dollari. Un altro rapporto ha rilevato che il costo totale medio di un attacco ransomware, in termini di perdita di affari e altri fattori oltre al costo del riscatto, era vicino ai 2 milioni di dollari.
Nel 2020, una fonte ha stimato che il danno finanziario causato dal ransomware nei 12 mesi precedenti ammontava a oltre 1 miliardo di dollari, anche se il costo reale è stato probabilmente molto più elevato, considerando i servizi persi e le vittime che potrebbero aver pagato un riscatto senza annunciarlo pubblicamente.
I criminali hanno un forte incentivo finanziario a condurre attacchi ransomware, quindi è probabile che il ransomware continui a rappresentare un importante problema di sicurezza.
Si stima che il 95% delle organizzazioni che pagano il riscatto ottengano effettivamente i propri dati. Tuttavia, pagare un riscatto può essere una decisione controversa. Ciò implica dare denaro ai criminali, consentendo loro di finanziare ulteriormente le loro imprese criminali.
In alcuni casi, potrebbe essere possibile rimuovere il ransomware da un dispositivo senza pagare il riscatto. Le vittime possono provare a seguire questi passaggi:
Tuttavia, questi passaggi sono spesso difficili da eseguire nella pratica, soprattutto quando un'intera rete o un datacenter è stato infettato ed è troppo tardi per isolare il dispositivo infetto. Molti tipi di ransomware sono persistenti e possono duplicarsi o comunque resistere alla rimozione. E molti gruppi ransomware oggi utilizzano forme avanzate di crittografia, rendendo la decifrazione quasi impossibile senza la chiave.
Poiché la rimozione del ransomware è estremamente difficile, un approccio migliore è provare a prevenire innanzitutto le infezioni da ransomware. Queste sono alcune delle strategie che possono aiutare:
Anche con questi metodi non è possibile prevenire al 100% il ransomware, così come non è possibile prevenire al 100% qualsiasi minaccia.
La misura più importante che un'azienda può adottare è quella di eseguire il backup dei propri dati, in modo che, in caso di infezione, sia possibile passare al backup anziché dover pagare il riscatto.
Simile a un attacco ransomware, un attacco DDoS con richiesta di riscatto è essenzialmente un tentativo di estorsione. Un aggressore minaccia di condurre un attacco DDoS contro un sito Web o una rete se non viene effettuato un pagamento. In alcuni casi, l'aggressore potrebbe prima iniziare l'attacco DDoS e poi richiedere il pagamento. Gli attacchi DDoS con richiesta di riscatto possono essere fermati da un fornitore di servizi di mitigazione degli attacchi DDoS (come Cloudflare).
Leggi di più sugli attacchi DDoS con richiesta di riscatto.
I prodotti Cloudflare bloccano diversi vettori di minacce che possono portare a un'infezione da ransomware. Il filtro DNS Cloudflare blocca i siti Web non sicuri. Cloudflare Browser Isolation previene i download drive-by e altri attacchi basati su browser. Infine, un'architettura Zero Trust può aiutare a prevenire la diffusione ransomware all'interno di una rete.