Skip to main content
Notizie

Ramsomware: storia ed evoluzione

Un trend molto cresciuto negli ultimi anni sono i Ransomware, un tipo di cyber attacco molto redditizio che consiste nell’infettare computer tramite virus rendendoli inaccessibili, e chiedendo un riscatto per ripristinarli.

Tecnicamente si tratta di trojan horse crittografici, che mediante cifratura rende inaccessibili i file “sequestrandoli” e in cambio di una password in grado di sbloccare i contenuti intima di versare una somma di denaro, in genere si tratta di criptovalute.

Non ci sono semplice hacker dietro l’industria del ransomware ma vere e proprie organizzazioni criminali ad altro livello di efficienza. Queste, dopo aver criptato i file, faranno apparire sul computer infetto una schermata dove vengono date istruzioni per il pagamento di questo attraverso il Dark Web.

Poiché la procedura di pagamento potrebbe risultare macchinosa, alcuni cybercriminali si sono organizzati con un servizio di assistenza al “cliente” attraverso chat in real time.

 

Come si prende un Ramsonware

Le e-mail di phishing, che sfruttando la poca consapevolezza degli utenti e la mancanza di attenzione, sono il metodo più diffuso. Solitamente il messaggio viene mascherato in modo che risulti inviato da un contatto “fidato”, o sfruttando le vulnerabilità di vari programmi come Java o i diversi sistemi operativi.

I ransomware, come altri tipi di attacchi malware, utilizzano principalmente questi vettori d’infezione:

  1. E-mail o sms di phishing, che tramite link compromessi infettano l’hardware;
  2. Attraverso il drive-by-download, navigazione su siti compromessi;
  3. Con la tecnica del baiting, utilizzando supporti removibili infetti come chiavette USB;
  4. All’interno (in bundle) di altri software che vengono scaricati, come programmi gratuiti;
  5. Attacchi attraverso il desktop remoto, con furto di credenziali;
  6. Attraverso lo sfruttamento delle vulnerabilità.

 

Il primo Rawsomware della storia: Pc Cyborg

Risale al 1989 il primo ransomware della storia realizzato da Joseph Popp. Battezzato “PC Cyborg” perché i pagamenti erano diretti a una fantomatica “PC Cyborg Corporation” e il malware consisteva nel bloccare il funzionamento del computer segnalando una presunta scadenza della licenza se non del software. Venivano chiesti 189 $ per ripristinare il funzionamento, fu diffuso ad un congresso tramite la consegna di floppy disk infettati che una volta inseriti nel computer criptava i file.

 

Evoluzione dei virus del riscatto e le nuove tecniche di attacco

La vera e propria ascesa dei ransomware comincia nel 2012, rivelandosi sempre più redditizia andando avanti nel tempo. Come una normale azienda i cyber criminali fanno ricerca e sviluppo, evolvendo le tecniche e alzando i livelli di attacchi, di fronte alle misure difensive adottate dalle aziende.

Le nuove tendenze degli ultimi anni sono:

  • Meno attacchi opportunistici e di livello basso;
  • Attacchi più mirati e consapevoli;
  • Aumenti delle somme richieste per il riscatto;
  • Utilizzo della Double Extortion;
  • Per limitare le funzionalità di sicurezza viene usata la tecnica della modalità provvisoria di Windows;
  • Si esegue il ransomware dall’interno di una macchina virtuale creata su tutti i dispositivi da attaccare.

 

I punti chiave e le regole per proteggersi dai Ransomware

LA PREVENZIONE – aggiornare sempre antivirus e sistema operativo, se possibile implementare con sistemi di protezione e rilevamento avanzati;

BACKUP DEI DATI – creare copie funzionanti e recenti dei file; per le aziende indispensabile affidarsi ad un’attività pianificata secondo la “security by design” che, di buona norma, prevede la ridondanza con tre copie di ogni dato che si vuole conservare, due copie “on-site” ma su storage differenti e una copia “off-site”;

NON PAGARE MAI IL RISCATTO – se si viene attaccati bisogna rivolgersi ad un’azienda che si occupa di sicurezza informatica che possa aiutare a fare le giuste valutazioni sul da farsi.

Semplici regole pratiche per evitarli:

  • Non aprire mai allegati di dubbia provenienza;
  • Fare attenzione al mittente, anche se sono e-mail provenienti da indirizzi di mittenti noti;
  • Abilitare l’opzione “mostra estensione nomi file” nelle impostazioni di Windows;
  • Disabilitare la riproduzione automatica (autorun) di chiavette USB, CD/DVD;
  • Disabilitare l’esecuzione di macro da parte di componenti Office;
  • Aggiornare sempre i sistemi operativi e i browser;
  • Installare servizi Antispam efficaci ed evoluti;
  • Fare attenzione all’utilizzo del Remote Desktop Protocol, qualora dovesse essere utilizzata è bene proteggersi con password forti a doppia autenticazione;
  • Implementare soluzioni di tipo “User Behavior Analytics”, strumenti che analizzano il comportamento di ciascun computer aziendale e sono in grado di capire se si stanno verificando eventi anomali o sospetti, intervenendo isolando il computer e bloccando l’attacco;
  • Assicurarsi che plugin che si utilizzano, come i Java, siano sempre aggiornati;
  • Prestare sempre attenzione prima di cliccare su banner o finestre pop-up;
  • Attivare una procedura di backup dei propri dati;
  •  Fare formazione e informazione agli utenti affinché non cadano nelle trappole del phishing.

Come comportarsi se colpiti da Ransomware

In caso si rimanesse coinvolti da una situazione di questo tipo le opzioni sono quattro:

  1. Ripristinare i file da un backup: per fare il ripristino è necessario avere una copia dei di backup che sia disponibile, recente e funzionante. Se si ha operato con attenzione e si ha adottato una corretta politica di salvataggio periodico, questa è la soluzione migliore. Prima di procedere al ripristino dei dati, occorre fare una bonifica della macchina infettata, questa per essere sicura, dovrebbe essere formattata completamente. Anche nell’ipotesi peggiore di mancanza di backup, si può fare un’indagine approfondita di copie di file importanti, magari recuperandoli dal cloud, anche se in una versione precedente a quella cancellata.
  2. Cercare un “decryptor” in rete per decriptare i file: per alcune versioni di ransomware meno efficienti sono stati realizzati e resi disponibili in rete, programmi e tool in grado di recuperare file crittografati. Si tratta di procedure non elementari e spesso complesse che difficilmente hanno successo con i ransomware più recenti e meglio realizzati. Con questa opzione bisogna fare attenzione a non inciampare in falsi decyptor.
  3. Non fare nulla e perdere i propri dati: è sicuramente una scelta che quasi mai la si vuole fare soprattutto a livello azienda a meno che i dati siano veramente di scarsa e nulla importanza. In caso si dovesse optare per questa scelta i passaggi da fare sono due:
    1. Togliere il dico con i file compromessi e metterlo da parte nella speranza che in futuro si riesca a trovare un decryptor per decifrare i file da essere recuperati;
    2. Fare un backup dei file crittografati e procedere alla formattazione della macchina.
  4. Pagare il riscatto: è la soluzione peggiore alla quale non si dovrebbe mai giungere perché, così facendo, si alimenta la criminalità. Anche pagando non si ha nessuna vera garanzia di recuperare i propri dati. I passi da seguire se si decidesse di optare per questa opzione sono:
    1. Leggere le istruzioni con la richiesta di riscatto, capire l’importo e il tempo a disposizione prima di perdere i dati;
    2. Acquistare i Bitcoin per il pagamento;
    3. Aprire un account/conto elettronico dove saranno depositati i bitcoin;
    4. Installare un browser TOR per accedere alla rete “darknet”;
    5. Accedere con TOR al sito indicato dagli hacker per il pagamento;
    6. Pagare il riscatto;
    7. Aspettare e sperare di ricevere la chiave privata di decriptazione.