Il ransomware è uno dei tipi di minacce informatiche più allarmanti che persone e aziende si trovano ad affrontare oggi. Derivato dalle parole “ransom” e “software”, è una forma di software dannoso o malware che i criminali informatici utilizzano per perpetrare estorsioni online.
Tipi di Ransomware
I ransomware operano crittografando o bloccando i file e i dati dell’utente, rendendoli così irraggiungibili. Una volta che la crittografia è completata con successo, il cyber criminale richiede un riscatto, comunemente in forma di criptovaluta come Bitcoin, per fornire la chiave di decrittografia. Questa chiave dovrebbe, teoricamente, sbloccare i file e ripristinarli al loro stato originale.
Gli attacchi ransomware possono essere perpetrati attraverso vari mezzi. Frequentemente, provengono da email di phishing o da siti web maligni che inducono gli utenti a scaricare e installare il ransomware in modo inconsapevole. Una volta infiltrato in un computer o una rete, il malware inizia il processo di crittografia dei file.
Esaminiamo più dettagliatamente i principali tipi di ransomware, includendo dettagli tecnici e alcuni esempi famosi:
Ransomware crittografico
È il tipo di ransomware più comune. Una volta infiltratosi nel sistema, utilizza robusti algoritmi di crittografia (come AES e RSA) per bloccare i file e renderli inaccessibili. La vittima viene quindi presentata con una nota di riscatto che richiede il pagamento in cambio della chiave di decrittazione. È importante notare che anche se il riscatto viene pagato, non c’è alcuna garanzia che la chiave di decrittazione venga fornita.
Esempio – WannaCry: WannaCry si è diffuso rapidamente nel maggio 2017, sfruttando una vulnerabilità di Windows nota come EternalBlue. Bloccava i file utilizzando la crittografia RSA e richiedeva un pagamento in Bitcoin. La sua diffusione è stata arrestata quando un ricercatore di sicurezza ha trovato un “kill switch” all’interno del codice.
Locker Ransomware
Questo tipo di ransomware non cripta i file. Al contrario, blocca completamente la vittima dal suo dispositivo, visualizzando un messaggio a schermo intero che impedisce l’accesso al sistema. L’utente non può accedere al desktop, alle applicazioni o ai file finché non viene pagato il riscatto.
Esempio – WinLock: WinLock mostrava immagini pornografiche sullo schermo della vittima e chiedeva il pagamento di un SMS premium per rimuoverle. Pur non criptando i file, ha reso il computer dell’utente inutilizzabile.
Doxware (Leakware)
Il Doxware minaccia di pubblicare online i dati rubati dalla vittima a meno che non venga pagato il riscatto. Si tratta di una forma potente di ransomware perché, anche se la vittima dispone di backup o può rimuovere il ransomware, la minaccia di fuga dei dati può comunque costringere le vittime a pagare il riscatto.
Esempio – Revil: Revil, attivo dal 2019, è stato associato ad attacchi di alto profilo. Oltre a criptare i file, ruba i dati e minaccia di pubblicarli se non viene pagato il riscatto.
RaaS (Ransomware as a Service)
Si tratta di un modello di business in cui i criminali informatici sviluppano un ransomware e lo vendono o lo affittano ad altri criminali che poi eseguono gli attacchi. Gli sviluppatori di solito ricevono una percentuale dei profitti.
Esempio – GandCrab: GandCrab, attivo dal 2018 al 2019, è stato uno degli esempi di RaaS di maggior successo. È stato costantemente aggiornato per eludere il rilevamento e sfruttare nuove vulnerabilità.
Ransomware mobile
Come suggerisce il nome, questo tipo di ransomware prende di mira i dispositivi mobili, principalmente Android grazie alla sua ampia base di utenti e alla possibilità di installare app da app store non ufficiali, che potrebbero non avere misure di sicurezza rigorose.
Esempio – Simplocker: è stato il primo ransomware Android diffuso. Cifrava i file sulla scheda SD del dispositivo e chiedeva un riscatto per decifrarli.
Crypto Ransomware
Da non confondere con Cryptolocker, un famoso ceppo di ransomware, il crypto ransomware si riferisce a un’ampia categoria di ransomware che cripta i file sul computer della vittima.
Esempio – Ryuk: visto per la prima volta nel 2018, Ryuk prende di mira le grandi organizzazioni per ottenere un riscatto elevato. In genere viene distribuito tramite altri malware, come TrickBot o Emotet.
Conoscere questi tipi di ransomware e il loro comportamento tipico è una parte importante della sicurezza informatica, sia che tu stia proteggendo un dispositivo personale o la rete di un’organizzazione. La consapevolezza e le misure di difesa proattive sono fondamentali per prevenire questi attacchi.
I ransomware più diffusi
Di seguito sono elencati alcuni dei ceppi di ransomware più famosi che hanno fatto notizia in tutto il mondo, causando notevoli disagi e perdite finanziarie.
WannaCry: questo attacco ransomware avvenuto nel maggio 2017 ha colpito centinaia di migliaia di computer in 150 paesi. Ha preso di mira i computer con Microsoft Windows, sfruttando una vulnerabilità del sistema operativo per criptare i file.
Petya/NotPetya: osservato per la prima volta nel 2016, Petya è stato progettato per criptare i dati sul disco rigido di un computer. Nel 2017, una variante denominata NotPetya è stata utilizzata in un cyberattacco globale, causando gravi interruzioni, in particolare in Ucraina.
Locky: apparso nel 2016, Locky si è diffuso tramite email di phishing contenenti un documento Word infettato da macro dannose. Una volta attivato, criptava un’ampia gamma di tipi di file.
Cerber: questo ransomware-as-a-service (RaaS) si è fatto notare nel 2016. È stato progettato non solo per criptare i file degli utenti ma anche per leggere la nota di riscatto.
CryptoLocker: è stato uno dei primi esempi di ransomware moderno e, quando è emerso nel 2013, era noto per l’utilizzo di un portale di pagamento online. Si diffondeva attraverso gli allegati di posta elettronica e criptava i file utilizzando la crittografia a chiave pubblica RSA.
Ryuk: a partire dal 2018, Ryuk ha preso di mira le grandi organizzazioni per ottenere un ritorno ad alto tasso di riscatto. Spesso viene distribuito tramite altri malware, come TrickBot o Emotet.
Sodinokibi/REvil: identificato per la prima volta nel 2019, REvil è un RaaS che viene comunemente diffuso attraverso exploit in Oracle WebLogic ed è noto anche per la sua capacità di disabilitare il software antivirus.
GandCrab: attivo da gennaio 2018 a giugno 2019, GandCrab è stata una delle famiglie di RaaS più aggressive. È stato distribuito attraverso diversi metodi, tra cui exploit kit e email di phishing.
Dharma/CrySiS: il ransomware Dharma è una variante di CrySiS ed è in circolazione dal 2016. Prende di mira i sistemi Windows e il suo algoritmo di crittografia rende quasi impossibile la decrittazione senza la chiave privata.
Bad Rabbit: questo ransomware, visto per la prima volta nel 2017, è sospettato di essere collegato al ransomware Petya. Si è diffuso tramite un falso aggiornamento di Adobe Flash su siti web compromessi.
Prevenire e affrontare il ransomware
Sebbene gli attacchi ransomware possano essere devastanti, esistono misure preventive che i singoli e le organizzazioni possono adottare:
Eseguire il backup dei dati: eseguire regolarmente il backup dei dati su un sistema separato o su un servizio cloud aiuta a garantire che, anche in caso di attacco, tu abbia un’altra copia dei tuoi file e dati importanti.
Aggiorna e applica le patch ai tuoi sistemi: mantenere aggiornati i tuoi software e i tuoi sistemi è fondamentale, poiché gli aggiornamenti spesso includono patch per le vulnerabilità note che il ransomware può sfruttare.
Investi nella sicurezza informatica: l’utilizzo di software antivirus, firewall e altri strumenti di sicurezza può aiutarti a identificare e bloccare potenziali minacce.
Pratica abitudini di navigazione sicure: evita di cliccare su link sospetti e fai attenzione a scaricare file o software da fonti non verificate.
Educare e formare i dipendenti: per le aziende, fornire una formazione regolare ai dipendenti sull’identificazione delle e-mail di phishing e sull’uso sicuro di Internet può ridurre significativamente il rischio di un attacco.
Nel malaugurato caso in cui tu sia vittima di un attacco ransomware, ti consigliamo di non pagare il riscatto. Il pagamento non ti garantisce l’accesso ai tuoi file e potrebbe addirittura incoraggiare attacchi futuri. Piuttosto, denuncia l’accaduto alle forze dell’ordine e rivolgiti a un’azienda di cybersicurezza.
Comprendere la natura e i rischi del ransomware è fondamentale nell’era digitale di oggi. Con le opportune misure preventive, possiamo ridurre significativamente la minaccia e proteggere i nostri dati nel mondo virtuale.