Ransomware: cosč e come difendersi

Il malware che chiede il riscatto per renderti il PC

 

Immaginate una giornata come un’altra. Magari vi siete svegliati presto e siete andati a fare una corsa al parco prima di iniziare la vostra giornata di lavoro. Magari avete anche già programmato le prime attività da svolgere, una volta seduti davanti al pc. E così tornate a casa, vi mettete comodi alla scrivania, accendete il computer e aprite il file importante su cui avete lavorato il giorno prima. Ma purtroppo qualcosa non va: il file non si apre. Provate e riprovate, spegnete e riavviate il pc ma nulla cambia. Anzi, all’avvio un messaggio vi comunica che il vostro computer è infetto e per ripristinarlo dovete pagare un riscatto.

Sembra quasi una scena di un film di fantascienza e invece no, non lo è. È semplicemente un ransomware. 

Il ransomware: cos’è

Il ransomware è un particolare tipo di malware che blocca l’accesso al sistema operativo o ai file personali degli utenti. Una volta installato su un pc, ne impedisce il normale funzionamento o crittografa le informazioni memorizzate e chiede il pagamento di un riscatto (ransom in inglese) per ripristinare il sistema o per rendere i file nuovamente disponibili. Nella maggior parte dei casi, la richiesta di riscatto compare quando l’utente riavvia il computer dopo l’avvenuta infezione.

Le varie tipologie di ransomware

Se un criminale vuole fregarci, ha l’imbarazzo della scelta. Innanzitutto, ci sono gli attacchi scareware, che dal nome sembrano mettere tanta paura ma in realtà sono i meno pericolosi. Vengono effettuati tramite falsi messaggi da parte di software di sicurezza o di servizi di supporto tecnico. Ad esempio, possiamo ricevere un messaggio pop-up che segnala la presenza di un virus e specifica che l’unico modo per risolvere il problema consiste nel pagare una certa somma. A questo punto tocca prendere una decisione: se ignoriamo il messaggio saremo inondati da molti altri dello stesso tipo ma i nostri file saranno al sicuro.

Poi c’è il locker ransomware, che non consente all’utente di accedere alle funzioni di base del computer. Ad esempio, può impedire l’accesso al desktop e disattivare parzialmente le funzioni di mouse e tastiera. All’avvio del pc compare una finestra a tutto schermo con un messaggio che comunica il rilevamento di un’attività illegale e richiede il pagamento del riscatto.

Ma quello che semina davvero terrore è il crypto ransomware. Gli autori di questo tipo di attacco prelevano i dati importanti come documenti, immagini, video e li criptano, lasciando intatte le funzioni di base del computer. Poi inviano all’utente un messaggio per richiedere il pagamento di un riscatto per decriptare i file e spesso includono nella richiesta un conto alla rovescia: se la somma non viene pagata entro il termine stabilito, i file vengono eliminati. Una volta che i criminali informatici si sono impossessati dei file, non esiste alcun software o sistema di sicurezza che possa restituirli al legittimo proprietario. Ma attenzione, pagare il riscatto non assicura che i file sottratti vengano restituiti.

Ci sono poi anche altre varianti di ransomware: il doxware, nel caso in cui un malintenzionato minaccia di pubblicare i dati delle vittime online in mancanza del pagamento del riscatto; il ransomware master boot record (MBR), quando a essere crittografato è l’intero disco rigido, rendendo impossibile l’accesso al sistema operativo; il ransomware mobile, quando l’attacco è rivolto a un dispositivo mobile.

 

 

Il ransomware: come colpisce

Uno dei principali canali di diffusione dei ransomware sono i banner pubblicitari dei siti con contenuti per adulti.

Ma molto spesso vengono usate anche le email di phishing che invitano a cliccare su un link o a scaricare un file. Attraverso questa tecnica viene veicolato oltre il 75% dei ransomware.

Inoltre, i cybercriminali sfruttano le vulnerabilità presenti nei vari programmi come Java, Adobe Flash e Adobe Acrobat o nei diversi sistemi operativi indirizzandoci su siti malevoli diversi dall’originale. In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che noi compiamo alcuna azione.

O a volte possiamo trovare dei malware all’interno di software che scarichiamo, per esempio programmi gratuiti che ci consentono di craccare software costosi.

I 30 anni di un nemico inaspettato

Il primo ransomware, noto come PC Cyborg o AIDS, risale al 1989 e fu creato dal biologo Joseph Popp, che distribuì 20.000 floppy disk infetti etichettati come AIDS Information – Dischi introduttivi durante la conferenza internazionale sull’AIDS dell’Organizzazione mondiale della sanità. I partecipanti che inserirono il dischetto riscontrarono un virus che bloccava i file sull’unità del computer, rendendolo inutilizzabile. Per sbloccare i propri file, gli utenti furono costretti a inviare 189 dollari a una casella postale di proprietà della PC Cyborg Corporation. Alla fine, gli utenti furono in grado di bypassare il virus e decrittografare i propri file perché il virus utilizzava strumenti di crittografia simmetrica facilmente risolvibili.

Fu solo nel 2004 che i ransomware divennero pericolosi con GpCode, un worm che riusciva a impossessarsi dei file personali degli utenti e chiedeva poi un riscatto per restituirli.

Nel 2007 WinLock lanciò un nuovo tipo di ransomware che impediva agli utenti di accedere ai propri desktop e assumeva il controllo dello schermo facendo visualizzare immagini pornografiche. Per ottenere la loro rimozione era richiesto un pagamento tramite SMS.

Con lo sviluppo di Reveton, nel 2012, compariva per la prima volta la famiglia dei ransomware della polizia. I desktop delle vittime venivano bloccati e sullo schermo si apriva una pagina dall’aspetto ufficiale, completa di credenziali riferite all’FBI, all’Interpol o ad altre forze di polizia. Il ransomware dichiarava che l’utente aveva commesso un reato e spesso chiedeva il pagamento di una sanzione da 100 a 3.000 dollari. Molti utenti, colti di sorpresa, credettero di essere realmente sotto indagine.

Nel 2013 CryptoLocker diffuse nuovamente i ransomware con crittografia dei file ma in una forma molto più pericolosa. Usava infatti una crittografia di tipo militare e memorizzava la chiave richiesta per sbloccare i file su un server remoto. In questo modo gli utenti non potevano rientrare in possesso dei propri dati senza pagare il riscatto.

Nel 2018 c’è stata l’esplosione dei ransomware. Dal GandCrab, un ransomware devastante comparso nel mese di gennaio 2018, al violento attacco che ha colpito Wolverine Solutions Group (importante fornitore operante nel settore sanitario) a settembre dello stesso anno e che ha causato la compromissione di una grande quantità di dati riservati relativi ai pazienti, fino al Ryuk, che si è distinto dagli altri attacchi perché era in grado di crittografare i drive di rete e ha conquistato la scena dei ransomware con moltissimi attacchi alla stampa americana.

Il ransomware nell’ultimo anno

Gli attacchi di cybersecurity hanno registrato un’impennata lo scorso anno e la tendenza in aumento sembra confermata anche per il 2021. I cybercriminali, consci degli elevati profitti che possono generare, sono sempre più motivati a sviluppare nuove metodologie per rendere questo tipo di attacco sempre più remunerativo. Negli ultimi tempi si è affermato un nuovo modello di ransomware as a service (RaaS) che prevede attacchi ad alto volume e a basso riscatto, come i recenti Dharma e Maze.

Secondo l’X-Force Threat Intelligence Index 2021 di IBM, gli attacchi informatici sono stati in grado di adattarsi anche al nuovo contesto socioeconomico causato dalla pandemia. I cybercriminali, infatti, hanno indirizzato i propri attacchi alle organizzazioni strategiche nella lotta contro il Covid come ospedali, aziende farmaceutiche, produttori di apparecchiature medicali.

Essendo lo scorso anno caratterizzato da distanziamento sociale e smart working, le aziende che offrono strumenti collaborativi come Google, Dropbox e Microsoft sono state tra i marchi più soggetti ad attacchi di spoofing, che consiste nel falsificare l’identità applicativa.

Il gruppo di ransomware più attivo è stato Sodinokibi (noto anche come REvil), che ha sottratto circa 21,6 terabyte di dati nel 2020, guadagnando oltre 123 milioni di dollari.

Per quanto riguarda l’Italia, il ransomware più diffuso a livello business è stato DOWNAD, a livello individuale DRIDEX, malware specializzato nel sottrarre le credenziali bancarie.

In totale nel nostro paese i malware diffusi sono stati 4.643.540, risultato che la posiziona al quarto posto dei paesi più attaccati dopo il Giappone (27.599.476), gli Stati Uniti (21.476.151) e l’India (4.988.024) (dati tratti dal Report 2020 Trend Micro Research).

Come evitare un attacco di ransomware

Anche i più prudenti tra noi, sempre ligi al rispetto di regole e buone norme, possono imbattersi in un ransomware. Però di certo seguire alcune piccole regole può aiutare a proteggere i nostri pc e i nostri file.

Innanzitutto, non bisogna mai cliccare sui link presenti nelle e-mail di spam o sui siti web sconosciuti. I download che iniziano nel momento in cui si clicca su un link malevolo sono una delle modalità più usate per infettare i computer.

A destare il sospetto devono essere anche gli allegati delle email che provengono da mittenti non affidabili. Dobbiamo sempre controllare l’indirizzo di posta elettronica da cui provengono per assicurarci che sia corretto. Ed è preferibile usare un sistema di filtraggio delle email per impedire che un’email di spam contenente allegati dannosi o link malevoli possa finire nella casella della posta in arrivo.

Non dobbiamo scaricare software o file multimediali da siti web sconosciuti. Per aiutarci nella ricerca di un sito attendibile possiamo affidarci agli indicatori di affidabilità. Ad esempio, è sufficiente controllare la barra degli indirizzi per vedere se il sito usa “https” anziché “http”. Se troviamo un’icona raffigurante uno scudo o un lucchetto sarà un sito sicuro.

Dobbiamo aggiornare regolarmente il sistema operativo e i software di cui facciamo uso.

Una buona abitudine è anche quella di dotarci di un antivirus, facendo attenzione ad avere attiva sempre l’ultima versione.

Infine, se ci colleghiamo a una rete Wi-Fi pubblica, dobbiamo evitare le transazioni di natura confidenziale.

Cosa fare quando un ransomware ci colpisce

La prima cosa che possiamo fare se abbiamo subito un attacco di malware è ripristinare i file da un backup. Naturalmente questa soluzione si può applicare solo se siamo stati molto previdenti e organizzati e abbiamo fatto un costante salvataggio dei nostri dati. Anche nell’ipotesi peggiore in cui un backup non esiste, possiamo provare a recuperare le copie dei file più importanti magari dal cloud. In ogni caso è consigliabile fare una scansione antivirus o una formattazione completa del pc prima del ripristino dei dati per essere certi che il software dannoso sia stato rimosso.

Possiamo provare a cercare un “decryptor” in rete per decriptare i file (funziona solo in alcuni casi). Vista la diffusione di ransomware negli ultimi anni, molti vendor di sicurezza hanno cercato di trovare dei rimedi. E in alcuni casi ci sono anche riusciti: per alcune versioni di ransomware meno recenti sono stati creati (e resi disponibili in rete) programmi e tool in grado di recuperare i file crittografati.

Un’altra opzione può essere non fare nulla e perdere i propri dati. Certo se si tratta di un’azienda, non è una scelta felice e quasi mai la si può fare. Anche se dovessimo optare per questa soluzione, meglio togliere dalla macchina il disco con i file compromessi e metterlo da parte.

Pagare il riscatto è l’ultima soluzione, quella che in realtà non dovrebbe mai essere presa in considerazione. L’unico risultato che si ottiene con il pagamento, infatti, è quello di incoraggiare i criminali informatici a sferrare ulteriori attacchi contro la stessa vittima o altri soggetti.

 

Ti č piaciuto l'articolo? Condividilo con i tuoi amici!

Per essere aggiornato su tutte le novitą e promozioni iscriviti a Finson News, la nostra newsletter settimanale gratuita!

Questa iscrizione č protetta da reCAPTCHA e la Privacy Policy e Terms of Service di Google.