Un ransomware è un tipo di malware (malicious software) che può presentarsi in diversi modi, colpendo sia sistemi individuali che network di società, ospedali, aeroporti e enti statali.
Sin dalla prima comparsa registrata, nel 1989, i ransomware continuano a migliorare, diventando sempre più sofisticati. Sebbene i formati più semplici siano generalmente non-encryption ransomware, le versioni moderne fanno uso di metodi crittografici per cifrare file, rendendoli inaccessibili. Un encryption ransomware può anche essere usato su hard drive per bloccare completamente il sistema operativo di un computer, impedendo alla vittima di accedervi. L’obiettivo finale è convincere le vittime a pagare per un decryption ransom - pagamento solitamente effettuato in valute digitali difficili da rintracciare (come Bitcoin o altre criptovalute). Tuttavia, non è affatto certo che gli hacker rispettino la parola data.
Come iniziano gli attacchi?
Phishing: una forma ricorrente di social engineering. Nel contesto dei ransomware, le phishing e-mail sono il più comune metodo di distribuzione del malware. In genere le vittime vengono infettate attraverso allegati e-mail o link camuffati come legittimi. All’interno di un network di computer, una singola vittima può essere sufficiente per compromettere un’intera organizzazione.
Exploit Kits: un pacchetto composta da vari strumenti software e codici già pronti. Questi kit sono progettati per approfittare dei problemi e delle vulnerabilità di applicazioni software e sistemi operativi per diffondere malware (i target più comuni sono sistemi non sicuri che utilizzano software obsoleti).
Malvertising: gli hacker utilizzano network pubblicitari per diffondere ransomware.
Come proteggersi da attacchi ransomware?
Usare regolarmente fonti esterne per il backup dei file, in modo da poter ripristinarli dopo la rimozione di una potenziale infezione;
Fare attenzione a link e allegati e-mail. Non cliccare su pubblicità e siti web da fonti sconosciute;
Installare un programma antivirus affidabile e mantenere aggiornati sistema operativo e applicazioni software;
Attivare l’opzione ‘mostra estensioni file’ nelle impostazioni Windows per controllare facilmente le estensioni dei tuoi file. Evitare estensioni come .exe .vbs e.scr;
Non visitare siti web non protetti dal protocollo HTTPS (URLs che cominciano con “https://”). Ricorda però che molti siti web maligni implementano il protocollo HTPPS per confondere le vittime, quindi il protocollo da solo non garantisce che il sito sia legittimo o sicuro.
- Visita NoMoreRansom.org, un sito web creato da società giudiziarie e di sicurezza informatica contro la minaccia dei ransomware. Il sito offre decryption toolkit gratuiti per utenti infetti, oltre a consigli per la prevenzione.
Esempi di ransomware
GrandCrab (2018)
Comparso inizialmente a Gennaio 2018, questo ransomware ha fatto più di 50,000 vittime in meno di un mese, prima di essere distrutto dalle autorità rumene con l’aiuto di Bitdefender e Europol (è disponibili un kit gratuito per il recupero dei dati). GrandCrab si è diffuso attraverso malvertising e phishing e-mail, ed è il primo ransomware a richiedere un pagamento nella criptovaluta DASH. La ransom iniziale variava da 300 a 1500 USD.
WannaCry (2017)
Un attacco informatico su scala mondiale che ha infettato più di 300,000 computer in 4 giorni. WannaCry si è propagato attraverso un exploit conosciuto come EternalBlue e ha preso di mira i sistemi operativi Microsoft Windows (la maggior parte dei computer infetti utilizzavano Windows 7). L’attacco è stato interrotto da una patch di emergenza rilasciata da Microsoft. Gli esperti di sicurezza informatica americani hanno indicato la Nord Corea come responsabile dell’attacco, sebbene non siano state fornite prove.
Bad Rabbit (2017)
Un ransomware distribuito come finto aggiornamento per Adobe Flash, scaricato da siti web compromessi. Gran parte dei computer infetti si trovava in Russia e l’infezione si basava sull’installazione manuale di un file .exe. Il prezzo per la decrittazione era intorno ai 280 USD (0.05 BTC).
Locky (2016)
Generalmente distribito attraverso e-mail come una fattura contenente allegati infetti. Nel 2016, l’Hollywood Presbyterian Medical Center è stato infettato da Locky e ha pagato una ransom di 40 BTC (del valore di 17,000 USD) per recuperare l’accesso ai sistemi informatici dell’ospedale.