Cybersecurity
Ransomware: cosa sono, come evitarli ed eliminarli
In un’epoca in cui la sicurezza digitale resta una delle principali preoccupazioni per i responsabili IT, il ransomware emerge come una delle minacce più pericolose sia per le aziende, sia per le istituzioni, sia ancora per gli utenti individuali.
Questo tipo di malware, che cripta i file delle vittime richiedendo un riscatto per il loro sblocco, rappresenta un problema serio e in crescita per qualunque tipo di realtà, a prescindere dalla loro dimensione.
In questo articolo ci proponiamo di comprendere che cosa sia effettivamente il ransomware, come funziona e come proteggere i propri asset digitali riducendo il rischio di attacchi.
Cosa sono i ransomware?
I ransomware sono dei malware che bloccano e criptano dati, file, dispositivi o sistemi, rendendoli inaccessibili e inutilizzabili fino a quando non viene pagato un riscatto.
Si tratta di una minaccia crescente e per altro in continua evoluzione.
Le prime versioni di ransomware si basavano esclusivamente sulla criptazione per impedire alle vittime di accedere ai propri file e sistemi. Le vittime che disponevano di backup regolari potevano ripristinare i loro dati, evitando così di dover pagare un riscatto.
Col tempo, però, gli attacker hanno iniziato a integrare nei loro malware tattiche più sofisticate di estorsione, con minacce aggiuntive e prendendo di mira anche i backup delle vittime per impedire alle organizzazioni di ripristinare i loro dati.
Secondo i dati raccolti dal progetto open source italiano DRM – Dashboard Ransomware Monitor, che tiene sotto controllo in tempo reale tutti i gruppi criminali ransomware, lo scorso anno l’Italia ha registrato una vera e propria impennata negli attacchi ransomware, posizionandosi al quarto posto a livello mondiale per numerosità, con 182 attacchi rivendicati nel corso dell’anno, rispetto ai 91 attacchi del 2022. Il solo ultimo trimestre ha mostrato un aumento del 420% rispetto allo stesso periodo dell’anno precedente, con 47 attacchi contro i 9 precedenti, evidenziando una crescente vulnerabilità delle aziende italiane a questa minaccia.
Tipologie di ransomware ed esempi
Ma vediamo quali sono le più comuni tipologie di ransomware e le loro caratteristiche.
Crypto Ransomware o Encryptor
Gli Encryptor sono una delle varianti più note e dannose. Questo tipo cifra i file e i dati all’interno di un sistema, rendendo i contenuti inaccessibili senza una chiave di decifrazione.
Locker
I Locker bloccano completamente l’accesso al sistema, rendendo i file e le applicazioni inaccessibili. Una schermata di blocco visualizza la richiesta di riscatto, possibilmente con un orologio countdown per aumentare l’urgenza e spingere le vittime ad agire.
Scareware
Lo Scareware è un falso software che sostiene di aver rilevato un virus o un altro problema sul computer e invita l’utente a pagare per risolvere il problema. Alcuni tipi di scareware bloccano il computer, mentre altri semplicemente inondano lo schermo di avvisi pop-up senza danneggiare effettivamente i file.
Doxware o Leakware
Il Leakware minaccia di distribuire online informazioni personali o aziendali sensibili. Molte persone vanno in panico e pagano il riscatto per prevenire che i dati privati cadano nelle mani sbagliate o diventino di pubblico dominio. Una variante è il ransomware a tema poliziesco, che finge di essere un ufficiale delle forze dell’ordine e avverte che è stata rilevata attività online illegale, per la quale è richiesto il pagamento di una multa.
RaaS (Ransomware as a Service)
Il Ransomware as a Service (RaaS) si riferisce a malware ospitato anonimamente da un “hacker professionista” che gestisce tutti gli aspetti dell’attacco, dalla distribuzione del ransomware alla raccolta dei pagamenti e al ripristino dell’accesso, in cambio di una parte del bottino.
Extortionware
L’Extortionware è un tipo di ransomware in cui l’attaccante blocca il dispositivo della vittima ma minaccia anche di divulgare informazioni private a meno che non venga pagato un riscatto. Una volta che l’extortionware è sul dispositivo, gli attaccanti utilizzare qualsiasi informazione memorizzata contro il proprietario del dispositivo.
Ma vediamo anche quali sono stati, negli anni, gli attacchi ransomware più pericolosi.
- WannaCry
è stato l’attacco ransomware più grande della storia. Il 12 maggio 2017, ha colpito centinaia di migliaia di sistemi informatici in tutto il mondo, criptando i dati su oltre 200.000 computer in 150 paesi. WannaCry ha sfruttato una vulnerabilità di Microsoft Windows per diffondersi e richiedere un riscatto per la decifratura dei dati, causando danni per circa 4 miliardi di dollari. - NotPetya
iniziato il 27 giugno 2017, ha infettato principalmente computer in Ucraina e Russia, con un danno stimato intorno ai 10 miliardi di dollari. NotPetya si distingue per la sua capacità di criptare l’hard disk del computer e presentare una richiesta di riscatto, insieme a un payload distruttivo che cancella file di sistema fondamentali, rendendo impossibile l’accesso ai dati senza la chiave di decifratura. - SamSam
mirato principalmente a ospedali, imprese e agenzie governative statunitensi dal 6 gennaio 2016, differisce per la sua modalità di diffusione tramite protocollo desktop remoto (RDP) e per i danni causati, superiori a 30 milioni di dollari. Questo attacco rappresenta un vero e proprio monito rispetto alle vulnerabilità delle infrastrutture critiche alle minacce informatiche. - CryptoLocker
datato 5 settembre 2013, è noto per l’utilizzo di criptografia asimmetrica, rendendo estremamente difficile decifrare i file senza la chiave privata. Questo attacco ha dimostrato l’efficacia del ransomware nel generare profitti per gli attaccanti, con guadagni superiori a 27 milioni di dollari in pagamenti di riscatto prima che l’FBI intervenisse. - Bad Rabbit
si è diffuso il 24 ottobre 2017 attraverso un dropper malevolo camuffato da installazione o aggiornamento di Adobe Flash. Ha utilizzato tecniche avanzate per propagarsi rapidamente, causando danni significativi e dimostrando che anche gli attacchi di dimensioni minori possono avere un grande impatto.
Come si viene infettati da un ransomware
Gli attacchi ransomware seguono un processo ben definito per criptare i dati delle vittime e richiedere un riscatto. Questo processo può essere suddiviso in (almeno) tre fasi principali e ogni variante di ransomware le implementa in modi leggermente diversi. Le tre fasi costituiscono il nucleo di tutti gli attacchi ransomware, mentre le diverse varianti del malware possono includere implementazioni o passaggi aggiuntivi.
Fase 1: Infezione e vettori
L’infezione inizia quando il ransomware guadagna accesso ai sistemi di un’organizzazione, grazie a diversi vettori di infezione come le email di phishing che contengono link a download malevoli o allegati con funzionalità di download incorporata. Se il destinatario dell’email cade nella trappola, il ransomware viene scaricato ed eseguito sul suo computer. Un altro vettore di infezione comune sfrutta servizi come il Remote Desktop Protocol (RDP), permettendo all’attaccante di accedere e controllare un computer all’interno della rete aziendale. Alcune varianti di ransomware possono sfruttare vulnerabilità dirette, come ha fatto WannaCry con la vulnerabilità EternalBlue.
Fase 2: Criptazione dei dati
Una volta all’interno del sistema, il ransomware inizia a criptare i file. Utilizzando le funzionalità di criptazione integrate nel sistema operativo, il malware accede ai file, li cripta con una chiave controllata dall’attaccante e sostituisce gli originali con le versioni criptate. Le varianti di ransomware selezionano con attenzione i file da criptare per garantire la stabilità del sistema e possono anche eliminare backup e copie shadow dei file per rendere più difficile il recupero senza la chiave di decifrazione.
Fase 3: Richiesta di riscatto
Una volta completata la criptazione dei file, il ransomware presenta la sua richiesta di riscatto. Questo può essere fatto in vari modi, come modificare lo sfondo del desktop con una nota di riscatto o posizionare file di testo con la nota di riscatto in ogni directory contenente file criptati. Tipicamente, queste note richiedono una certa quantità di criptovaluta in cambio dell’accesso ai file della vittima. Se il riscatto viene pagato, l’operatore del ransomware fornisce la chiave privata usata per proteggere la chiave di criptazione simmetrica o una copia della chiave simmetrica stessa, che può essere utilizzata in un programma di decrittazione (fornito dal cybercriminale) per invertire la criptazione e ripristinare l’accesso ai file dell’utente.
Metodi per eliminare un ransomware definitivamente
- Va detto che la rimozione del ransomware e il recupero dall’ attacco richiedono un’azione coordinata e ben pianificata, che può essere riassunta in una serie di passaggi essenziali.
- Validazione
Al primo segno di un’intrusione ransomware, è fondamentale attivare immediatamente il piano di incident response, iniziando con la validazione dell’attacco. Il team di sicurezza deve confermare se ciò che si sta verificando è effettivamente un attacco ransomware e coinvolgere tutte le figure che rivestono qualche responsabilità in materia: non solo il team IT, ma anche direzione esecutiva, team legali e di comunicazione. - Analisi e contenimento
Per poter gestire in modo efficace l’attacco, è indispensabile determinare quanto si sia diffuso il malware.
A questo punto è necessario disconnettere immediatamente e mettere in quarantena i sistemi e i dispositivi infetti per minimizzare l’impatto del malware.
Sarebbe auspicabile l’implementazione di tecnologie di network management capaci di quarantenare automaticamente gli endpoint che mostrano comportamenti atipici, bloccare le connessioni ai server di comando e controllo e chiudere segmenti di rete per prevenire movimenti laterali. Dopo aver contenuto l’infezione, è necessario verificare che le risorse di backup siano intatte e sicure. - Eradicazione del malware
A questo punto si può procedere con l’eliminazione e la sostituzione delle istanze del sistema centrale infette e con la formattazione e ripristino degli endpoint colpiti con dati di backup puliti. Successivamente, è importante eseguire una scansione dei dati ripristinati per confermare l’eliminazione del malware. Infine, cambiare tutte le password di sistema, rete e account. - Comunicazione
In base alle normative vigenti, è necessario comunicare i dettagli dell’incidente agli stakeholder appropriati, seguendo quanto previsto dal piano di risposta agli incidenti. - Gestire il post-attacco
Una volta eliminato il ransomware è necessario assicurarsi che tutti i sistemi, i dati e le applicazioni siano accessibili e operativi, senza vulnerabilità residue che potrebbero permettere agli attaccanti di rientrare nell’ambiente.
Una volta che la situazione si è stabilizzata e l’organizzazione opera nuovamente alla normalità, analizzare attentamente i dettagli dell’attacco per identificare eventuali lacune di sicurezza da affrontare per prevenire futuri episodi. Rivedere gli sforzi di risposta all’incidente, identificare le lezioni apprese e aggiornare di conseguenza il piano di risposta agli incidenti.
Chi sono i soggetti a rischio
- C’è un punto sul quale esperti e analisti concordano: sebbene alcune realtà, come le infrastrutture critiche o la sanità, possano essere più a rischio rispetto ad altre, nessun settore specifico è esente da rischio.
Ogni organizzazione, indipendentemente dalle sue dimensioni, è un potenziale bersaglio per i criminali informatici, che operano come vere e proprie imprese alla ricerca del massimo impatto finanziario.
Ecco, dunque, che settori come retail, energia, istruzione, utility, oltre a quelli finanziario, professionale, legale, sanitario, manifatturiero, e tecnologico, mostrano tassi di attacco significativi, dimostrando la vastità e la varietà degli obiettivi ransomware.
Come difendersi da un ransomware in maniera efficace
- Affrontare la minaccia ransomware richiede una strategia di difesa stratificata e approfondita. Sebbene fermare un attacco nelle sue fasi iniziali (come la sorveglianza o la distribuzione) sia l’ideale, le organizzazioni devono anche essere preparate a rilevare e rispondere a minacce che hanno già penetrato le loro difese iniziali e sono nel processo di esecuzione dei loro obiettivi finali.
Le best practice partono dall’educazione e dalla formazione alla consapevolezza: è fondamentale insegnare agli utenti a identificare ed evitare potenziali attacchi ransomware.
È altresì essenziale effettuare backup continui dei dati: il ransomware è progettato per rendere il pagamento di un riscatto l’unica via per ripristinare l’accesso ai dati criptati. Backup automatici e protetti dei dati permettono all’organizzazione di riprendersi da un attacco con una minima perdita di dati e senza pagare il riscatto.
Anche il patching è un componente critico nella difesa dagli attacchi ransomware, poiché i criminali informatici spesso cercano le vulnerabilità non ancora coperte nelle patch disponibili, prendendo di mira i sistemi che non sono ancora stati aggiornati.
Lo stesso può dirsi per l’autenticazione degli utenti è fondamentale: l’accesso a servizi RDP con credenziali utente rubate è una tecnica in uso tra gli attacker. L’uso di sistemi di autenticazione forte può rendere più difficile per un attaccante utilizzare una password indovinata o rubata.
Infine, è importante l’adozione di una soluzione anti-ransomware in grado di rilevare un’ampia varietà di varianti in tempi rapidi e di effettuare altrettanto velocemente ripristino automatico.