Cos'è il ransomware? | Significato di ransomware

Cos'è il ransomware?

Il ransomware è un software dannoso che blocca i file e li trattiene a scopo di riscatto. Il ransomware può diffondersi rapidamente su un'intera rete e, in alcuni casi, un'infezione si è diffusa attraverso più reti appartenenti a organizzazioni diverse. La persona o il gruppo che controlla il ransomware sblocca i file solo se la vittima paga il riscatto.

Immagina che Chuck rubi il portatile di Alice, lo chiuda nella sua cassaforte e le dica che potrà riaverlo solo se lei gli pagherà 200 dollari. In sostanza è così che operano i gruppi ransomware: invece di sequestrare fisicamente i computer e bloccarli, lo fanno digitalmente.

Le strategie per prevenire le infezioni da ransomware includono la scansione di tutti i file e del traffico di rete per individuare malware, il filtro delle query DNS, l'utilizzo dell'isolamento del browser per prevenire gli attacchi e la formazione degli utenti sulle best practice di sicurezza informatica. Sebbene nessuna strategia di prevenzione del ransomware sia infallibile, mantenere un backup di tutti i dati può aiutare le aziende a riprendersi più rapidamente da un attacco ransomware.

Come funziona il ransomware?

I tipici attacchi ransomware seguono questi semplici passaggi:

1. Il ransomware si insinua in un dispositivo o in una rete.
2. Crittografa tutti i file che trova.
3. Visualizza un messaggio che richiede il pagamento per decrittografare i file.

La crittografia è il processo di codifica dei dati in modo che non possano essere letti se non da soggetti in possesso della chiave di crittografia, che possono utilizzare per invertire la crittografia. L'inversione della crittografia è nota come decrittografia.

La crittografia viene sempre utilizzata per scopi legittimi ed è un elemento cruciale per la sicurezza e la privacy su Internet. Ma i gruppi ransomware utilizzano la crittografia in modo dannoso per impedire a chiunque di poter aprire e utilizzare i file crittografati, compresi i legittimi proprietari dei file.

Immagina che Chuck, invece di rubare il laptop di Alice, traduca tutti i suoi file in una lingua che non sa leggere. Questo è simile alla crittografia in un contesto ransomware: Alice ha ancora accesso ai file, ma non può leggerli o utilizzarli. In sostanza, i file vengono persi finché non riesce a trovare un modo per tradurli.

Ma a differenza della traduzione di una lingua, la decrittografia dei dati è quasi impossibile senza la chiave di crittografia. La parte che attacca tiene per sé la chiave, ed è per questo che ha la leva necessaria per esigere il pagamento.

Caratteristiche comuni delle richieste di riscatto

Solitamente la richiesta di riscatto è accompagnata da un limite di tempo: bisogna pagare prima di una certa scadenza, altrimenti i file rimarranno permanentemente crittografati. Il prezzo potrebbe aumentare con il passare del tempo.

I gruppi ransomware vogliono che sia difficile risalire a chi ha effettuato il pagamento da parte della vittima. Per questo motivo, questi gruppi spesso richiedono il pagamento tramite criptovaluta o altri metodi difficili da tracciare per le forze dell'ordine.

Una volta pagato il riscatto, l'aggressore decodifica i file da remoto oppure invia alla vittima la chiave di decrittografia. L'autore di un attacco quasi sempre decodifica i dati crittografati o fornisce la chiave una volta pagato il riscatto. È nell'interesse dell'aggressore mantenere la promessa di sbloccare i dati. Senza questo passaggio, le future vittime del ransomware smetteranno di pagare il riscatto perché sanno che non servirà a nulla e gli aggressori non guadagneranno nulla.

Quali sono i principali tipi di ransomware?

• "Crypto" o ransomware di crittografia: questo è il tipo più comune. Funziona come descritto sopra.
• Locker ransomware: invece di crittografare i dati, questo tipo di ransomware blocca semplicemente gli utenti fuori dai loro dispositivi.
• Doxware: Doxware copia dati personali sensibili e minaccia di esporli a meno che la vittima non paghi una commissione. Doxware di solito non crittografa i dati.

Una forma correlata di malware è lo "scareware". Lo scareware mostra un messaggio all'utente in cui si afferma che il suo dispositivo è infetto da malware e si richiede un pagamento per rimuoverlo. Se installato su un dispositivo, lo scareware può essere persistente e difficile da rimuovere. Sebbene possa bloccare il computer della vittima, solitamente non trattiene file e dati a scopo di riscatto come fa il ransomware.

In che modo il ransomware arriva su un dispositivo o una rete?

Gli autori di attacchi utilizzano diversi metodi per diffondere il ransomware, ma il più delle volte utilizzano un tipo di malware chiamato "trojan". Un trojan è un file dannoso mascherato da qualcos'altro (proprio come il mitico cavallo di Troia mascherava l'esercito greco). Per funzionare, gli utenti devono eseguire i trojan e i gruppi ransomware possono ingannarli in vari modi:

• Social engineering. Spesso, i file dannosi sono mascherati da allegati e-mail innocui e i gruppi di ransomware inviano e-mail mirate che fanno pensare ai destinatari di dover aprire o scaricare l'allegato dannoso.
• Download drive-by. Un download drive-by si verifica quando l'apertura di una pagina Web provoca automaticamente il download di un file. I download drive-by avvengono su siti Web infetti o controllati da un autore di un attacco.
• Infettare applicazioni apparentemente legittime che gli utenti scaricano e installano. Un autore di un attacco può compromettere un'applicazione di cui l'utente si fida in modo che l'apertura dell'applicazione installi anche un malware.
• Creazione di applicazioni false che sono effettivamente dannose. A volte, gli autori di attacchi mascherano il loro malware persino come software anti-malware.

È noto che gli aggressori sfruttano le vulnerabilità per creare worm che si diffondono in un'intera rete (e persino in più reti) senza che gli utenti intraprendano alcuna azione. Dopo che nel 2017 un exploit di vulnerabilità sviluppato dalla National Security Agency americana fu divulgato al pubblico, un worm ransomware, WannaCry, utilizzò questo exploit per infettare più di 200.000 computer quasi simultaneamente.

Indipendentemente dal metodo utilizzato, l'obiettivo è quello di far arrivare il file dannoso, noto anche come payload dannoso, sul dispositivo o sulla rete. Una volta eseguito, il payload dannoso crittografa i file sul sistema infetto.

Prima di farlo, può comunicare con il server di comando e controllo (C&C) dell'autore dell'attacco per ricevere istruzioni. A volte un autore di un attacco attende il momento opportuno per inviare un comando per crittografare i file, e in questo modo il ransomware può rimanere inattivo e inosservato su un dispositivo o una rete per giorni, settimane o addirittura mesi.

Il costo degli attacchi ransomware

Un rapporto afferma che il prezzo medio pagato dalle vittime del ransomware è stato di oltre 300.000 dollari. Un altro rapporto ha rilevato che il costo totale medio di un attacco ransomware, in termini di perdita di affari e altri fattori oltre al costo del riscatto, era vicino ai 2 milioni di dollari.

Nel 2020, una fonte ha stimato che il danno finanziario causato dal ransomware nei 12 mesi precedenti ammontava a oltre 1 miliardo di dollari, anche se il costo reale è stato probabilmente molto più elevato, considerando i servizi persi e le vittime che potrebbero aver pagato un riscatto senza annunciarlo pubblicamente.

I criminali hanno un forte incentivo finanziario a condurre attacchi ransomware, quindi è probabile che il ransomware continui a rappresentare un importante problema di sicurezza.

Si stima che il 95% delle organizzazioni che pagano il riscatto ottengano effettivamente i propri dati. Tuttavia, pagare un riscatto può essere una decisione controversa. Ciò implica dare denaro ai criminali, consentendo loro di finanziare ulteriormente le loro imprese criminali.

Rimozione del ransomware

In alcuni casi, potrebbe essere possibile rimuovere il ransomware da un dispositivo senza pagare il riscatto. Le vittime possono provare a seguire questi passaggi:

1. Isolare la macchina infetta disconnettendola da tutte le reti.
2. Cercare e rimuovere i file dannosi utilizzando un software anti-malware.
3. Ripristinare i file da un backup o utilizzare uno strumento di decrittografia per decrittografare i file.

Tuttavia, questi passaggi sono spesso difficili da eseguire nella pratica, soprattutto quando un'intera rete o un datacenter è stato infettato ed è troppo tardi per isolare il dispositivo infetto. Molti tipi di ransomware sono persistenti e possono duplicarsi o comunque resistere alla rimozione. E molti gruppi ransomware oggi utilizzano forme avanzate di crittografia, rendendo la decifrazione quasi impossibile senza la chiave.

Prevenire il ransomware

Poiché la rimozione del ransomware è estremamente difficile, un approccio migliore è provare a prevenire innanzitutto le infezioni da ransomware. Queste sono alcune delle strategie che possono aiutare:

• L'anti-malware può analizzare tutti i file per assicurarsi che non siano dannosi e non contengano ransomware (non rileverà tutti i ceppi di ransomware).
• Il filtro DNS può impedire agli utenti di caricare siti non sicuri e, eventualmente, impedire al payload dannoso di comunicare con il server C&C dell'aggressore.
• L'isolamento del browser può chiudere diversi possibili vettori di attacco, inclusi i download drive-by.
• I filtri di sicurezza e-mail possono contrassegnare e-mail e allegati sospetti.
• I team IT possono limitare i tipi di applicazioni che possono essere installate su un dispositivo per impedire agli utenti di installare accidentalmente malware.
• I team di sicurezza possono addestrare gli utenti a riconoscere le email sospette, a evitare di cliccare su link non attendibili e di caricare siti non sicuri e a installare solo applicazioni sicure e affidabili.

Anche con questi metodi non è possibile prevenire al 100% il ransomware, così come non è possibile prevenire al 100% qualsiasi minaccia.

La misura più importante che un'azienda può adottare è quella di eseguire il backup dei propri dati, in modo che, in caso di infezione, sia possibile passare al backup anziché dover pagare il riscatto.

Quali sono alcuni famosi attacchi ransomware?

• CryptoLocker (2013): d settembre 2013 a maggio 2014 si sono verificati attacchi ransomware che hanno utilizzato il trojan CryptoLocker, infettando centinaia di migliaia di sistemi. CryptoLocker si diffonde principalmente tramite allegati e-mail dannosi. Si stima che gli autori di attacchi abbiano guadagnato circa 3 milioni di dollari prima che gli attacchi venissero fermati.
• WannaCry (2017): WannaCry era un worm ransomware che utilizzava un exploit di vulnerabilità chiamato EternalBlue per diffondersi da un computer all'altro; originariamente, questo exploit era stato sviluppato dalla NSA. Il 12 maggio 2017, WannaCry infettò più di 200.000 computer in 150 Paesi, finché un ricercatore di sicurezza non scoprì come disattivare il malware. Gli Stati Uniti e il Regno Unito hanno successivamente stabilito che l'attacco aveva avuto origine dalla Corea del Nord.
• NotPetya (2017): NotPetya era una variante di un precedente ceppo di malware chiamato Petya. NotPetya ha infettato organizzazioni in tutta Europa e negli Stati Uniti, ma soprattutto in Russia e Ucraina.
• Ryuk (2018): il ransomware Ryuk è stato ampiamente utilizzato per prendere di mira le grandi imprese. I suoi operatori chiedono alle vittime ingenti riscatti. L'FBI stima che gli aggressori di Ryuk abbiano guadagnato più di 61 milioni di dollari in pagamenti di riscatto nel 2018 e nel 2019. Ryuk è ancora in uso dal 2021.
• Attacco Colonial Pipeline (2021): il più grande gasdotto degli Stati Uniti è stato chiuso a causa di un attacco ransomware nel maggio 2021. L'FBI ha dichiarato che dietro l'attacco c'era un gruppo ransomware chiamato DarkSide.

Cos'è un attacco DDoS con richiesta di riscatto?

Simile a un attacco ransomware, un attacco DDoS con richiesta di riscatto è essenzialmente un tentativo di estorsione. Un aggressore minaccia di condurre un attacco DDoS contro un sito Web o una rete se non viene effettuato un pagamento. In alcuni casi, l'aggressore potrebbe prima iniziare l'attacco DDoS e poi richiedere il pagamento. Gli attacchi DDoS con richiesta di riscatto possono essere fermati da un fornitore di servizi di mitigazione degli attacchi DDoS (come Cloudflare).

Leggi di più sugli attacchi DDoS con richiesta di riscatto.

Cloudflare aiuta a prevenire gli attacchi ransomware?

I prodotti Cloudflare bloccano diversi vettori di minacce che possono portare a un'infezione da ransomware. Il filtro DNS Cloudflare blocca i siti Web non sicuri. Cloudflare Browser Isolation previene i download drive-by e altri attacchi basati su browser. Infine, un'architettura Zero Trust può aiutare a prevenire la diffusione ransomware all'interno di una rete.