I ransomware sono delle tipologie di cyberattacco estremamente redditizie per i cybercriminali.
Queste minacce informatiche, infatti, rendono inaccessibili agli utenti i files presenti su un pc o sull’intera rete aziendale, bloccando tutta l’attività operativa.
Per sbloccare i file presi in ostaggio da un ransomware viene richiesto molto spesso dagli hacker il pagamento di un riscatto, solitamente in bitcoin.
Se il riscatto non viene pagamento nei tempi dettati dall’hacker potrebbero accadere diversi scenari, tra cui anche la cancellazione definitiva dei file bloccati.
I ransomware sono sempre più in aumento: solo nei primi tre mesi del 2023 sono già stati segnalati 51 attacchi andati a segno che hanno colpito numerose aziende portando enormi danni economici.
Vediamo nel nostro approfondimento dedicato alla sicurezza informatica come riconoscere un ransomware e quali sono i meccanismi di difesa da adottare in caso di attacco.
Ransomware: le origini
Il primo ransomware della storia è stato creato nel 1989 da Joseph Popp.
“PC Cyborg”, così chiamato perché i pagamenti del riscatto dovevano essere inviati alla “PC Cyborg Corporation”, fece il suo debutto durante un congresso sull’Aids.
Il malware veniva distribuito tramite dei floppy disk infetti che, una volta inseriti nei pc, criptavano i file presenti al suo interno.
Per sbloccare i dati si chiedeva la “modica” cifra di 189 dollari.
L’esplosione dei ransomware avverrà solo nel 2012, inizialmente, infatti, la rete internet non era così sviluppata: la tecnologia di criptazione era limitata e i pagamenti internazionali erano più macchinosi.
Con l’avvento dei bitcoin e lo sdoganamento della rete internet, la tecnica d’attacco ransomware è diventata una fonte di ricchezza molto redditizia.
Basti pensare che nel solo anno 2016 sono state create 62 nuove “famiglie” di ransomware e di queste 47, pari a circa il 75%, sono state sviluppate da cybercriminali russi.
Gli attacchi ai giorni nostri
La tendenza oggi degli attacchi ransomware è quella di richiedere cifre sempre più alte.
Di fatto, se una volta si assisteva ad attacchi non mirati con riscatti intorno ai 1.000 dollari, la situazione registrata nel 2020 è una richiesta di riscatto medio di 312.493 dollari con un’incidenza di aumento annuo stimata attorno a +171%.
Il record di riscatto lo si è raggiunto ai danni di ACER, il colosso dei computer, al quale è stato richiesto un riscatto di 50 milioni di dollari.
Recentemente diverse Cyber Gang, consce del fatto che molte aziende si sono strutturate per ripristinare la propria operatività in seguito a questi attacchi, hanno modificato il loro approccio.
In prima istanza sfruttano il malware per esfiltrare i dati in modalità silente e richiedere un riscatto alla vittima, minacciandola di pubblicare i dati rubati nel Dark Web; solo in mancanza del pagamento, passano alla fase successiva, ovvero alla crittografia del dato.
Attacchi Ransomware: come riconoscerli
I metodi di infezione degli attacchi ransomware sono i medesimi usati per altre tipologie di attacchi malware, i principali sono:
- E-mail di phishing: uno dei vettori preferiti dagli hacker in quanto è il metodo di data breach più efficace.
Grazie alle tecniche di social engineering vengono veicolati circa il 75% di attacchi ransomware.
Secondo recenti statistiche il 10% delle mail viene aperta dagli utenti e nel 2-5% dei casi viene cliccato o scaricato l’allegato presente nella mail malevola. - Navigazione su siti compromessi: l’utente che naviga in questi siti fake scarica involontariamente dei contenuti malevoli.
Con la tecnica “drive-by download” i cybercriminali sfruttano elementi come banner pubblicitari o pulsanti che scaricano file infetti sul pc. - Diffusione tramite un supporto rimovibile: come, ad esempio, una chiavetta USB contenete il malware.
Questa, lasciata in uno spazio comune come una saletta aziendale o in un parcheggio, invoglia le persone a vedere quali sono i contenuti lasciati incustoditi.
Il risultato è che, grazie a questa tecnica chiamata “baiting”, una volta inserita la chiavetta nel pc, i contenuti malevoli infettano il pc del malcapitato e la rete aziendale. - Presenza nascosta all’interno di altri software: un esempio è l’utilizzo di programmi “crackati” da parte degli utenti.
Il “crack”, infatti, è un programma eseguibile, con estensione .exe che potrebbe contenere un malware, che, una volta lanciato sul computer, andrebbe a criptare i file.
Recenti campagne malware, infatti, hanno coinvolto molte aziende “furbette” che tentavano di utilizzare programmi con licenza come Microsoft 365 e Adobe Photoshop CC in maniera gratuita. - Attacchi desktop da remoto: questi prevedono il furto delle credenziali di accesso per iniettare il malware all’interno delle postazioni degli utenti aziendali.
- Sfruttamento delle vulnerabilità dei software.
Come difendersi contro un attacco Ransomware
Come diciamo sempre nel nostro blog, la migliore difesa contro gli attacchi informatici è la prevenzione.
Questa è possibile attuarla quotidianamente con delle azioni che mirano a proteggere sia il pc singolo che la rete aziendale da eventuali ransomware, ovvero:
- aggiornamento degli antivirus e del sistema operativo implementando sistemi di protezione e rilevamento avanzati come IDS, IPS ed EDR;
- molteplici backup di dati, situati in una posizione remota e con un’archiviazione offline, con una pianificazione secondo la logica “security by design”;
- monitoraggio costante del Dark Web attraverso strumenti di Dark Web Monitoring;
- prestare la massima attenzione nella ricezione di e-mail dalla dubbia provenienza o con contenuti particolari;
- abilitare l’opzione “Mostra estensioni nomi file” nelle impostazioni di Windows: ricordiamo che i ransomware solitamente contengono un’estensione eseguibile come .exe, .zip, js, jar, scr;
- disabilitare la riproduzione automatica, o autorun, di hardware esterni come chiavette USB, CD o DVD;
- utilizzare, qualora sia possibile, account senza diritti da amministratore;
- formare e informare sempre gli utenti aziendali sulle pratiche e procedure da seguire in ambito di cybersecurity;
- affidarsi a un partner esterno esperto in sicurezza informatica.
Cosa succede se l’attacco informatico ha avuto successo
Nell’ipotesi in cui un attacco malware abbia successo si aprono quattro scenari:
- ripristinare i file tramite backup di dati: nel caso in cui siano state seguite le buone procedure è la soluzione migliore che si può adottare;
- cercare un “decryptor” in grado di sbloccare i file: soluzione difficile e adottabile solo nel caso in cui l’expertise in ambito IT sia molto elevata;
- non fare nulla e perdere i dati: una scelta che sicuramente agevola l’azienda solamente nel caso in cui siano stati infettati dei dati poco importanti;
- pagare il riscatto: quest’ultimo scenario è il peggiore poiché, oltre ad alimentare la cybercriminalità non si hanno certezze nel recupero dei propri file.
Come abbiamo detto nel paragrafo precedente affidarsi a un partner esperto in sicurezza informatica è una delle buone prassi per prevenire gli attacchi ransomware.
L’intervento di un’azienda esperta nel settore IT permette, infatti, di:
- ottenere audit e report completi sulle migliori strategie di sicurezza informatica e le remediations per mettere al sicuro l’attività aziendale tramite servizi di Vulnerability Assessment;
- attuare test di risposta delle persone e delle difese tecnologiche verso eventuali attacchi ransomware tramite delle simulazioni e servizi di Penetration Testing;
- formare il personale aziendale in termini di Cyber Security con servizi di Awarness.
Per avere maggiori informazioni su come contrastare gli attacchi informatici compila il form presente in questa pagina.
"*" indica i campi obbligatori