Ransomware: cos’è, come agisce, come difendersi

Cadere vittima di un attacco ransomware è un evento spiacevole, soprattutto quando vengono colpiti dati altamente sensibili. Capire che cosa sono, conoscere dei trucchetti per evitarli, prevenire e reagire sono gli imperativi per difendersi dall’eventualità di questo brutto episodio.

Se sei stato vittima di un attacco ransomware la tempestività è tutto. A Recovery File siamo specializzati nel recupero dati su dispositivi colpiti da ransomware (come il tristemente noto Cryptolocker). Contattaci e ti forniremo una prima diagnosi sul recupero.

Approfondiamo ora il tema ransomware, vedendo cosa sono, un po’ di storia e alcune best practice per prevenire le infezioni.

Indice dell'articolo

Cosa sono i ransomware

I ransomware sono degli attacchi informatici effettuati da cyber criminali, il cui unico obiettivo è estorcere denaro. Se un tempo lo scopo era quello di attaccare i sistemi operativi e restarci collegati più tempo possibile per rubare dati sensibili da rivendere, ad oggi la modalità diventa molto più veloce e diretta. L’utente sotto attacco, si trova vittima di un sequestro dei propri dati bloccati da password.

Cliccando sopra le cartelle coinvolte dei messaggi ufficiali rimanderanno ad un link dove poter effettuare la transazione di una somma di denaro (in genere in Bitcoin) in cambio della chiave di accesso.

Questi ransomware rientrano nella categoria dei malware, e vengono ideati da solide organizzazioni a delinquere. Il sito a cui si rimanda è spesso strutturato con un valido sistema di assistenza al cliente, sempre online, in grado di sostenere la vittima nel caso in cui dovesse avere problemi nell’effettuare il pagamento o per svolgere trattative sulla somma da versare.

Ransomware e tecniche di infezione

Ma come si prendono questi ransomware e quali sono i veicoli di infezione? Vediamo di seguito alcune delle cause che portano al verificarsi di questi episodi.

  • Il phishing sicuramente rimane ancora la tecnica più efficace e diffusa. In questo caso la colpa è da attribuirsi alla scarsa attenzione degli utenti che navigano sul web. Il phishing consiste portare l’utente a cliccare su determinati link o nello scaricare dei file presenti nei messaggi di posta elettronica. Ciò che trae in inganno è il fatto che le e-mail ricevute, vengono inviate da utenti con nomi conosciuti e presenti nella lista contatti. I due terzi degli utenti incappa in questa truffa;
  • Un secondo caso di infezione, ancora peggiore, prende il nome di drive-by download, ovvero scaricamento all’insaputa, in cui è l’utente che si ritrova a navigare sul sito infetto e se clicca su banner pubblicitari o pulsanti di invito all’azione, innesca il download maligno;
  • Possibile è il caso in cui i cyber criminali fanno leva sulla vulnerabilità dei browser, di Adobe Flash Player, Java, o altri sistemi operativi per insinuarsi nel pc e rubare i dati;
  • Un caso molto più “simpatico” e che sfrutta la curiosità dell’essere umano prende il nome di baiting, ovvero di esca. Quello che viene fatto è lasciare dei supporti rimovibili, come Hard Disk, memorie espandibili o pennette USB, in degli spazi incustoditi e comuni. Nel caso in cui qualcuno, preso dal desiderio e dalla curiosità di conoscere il contenuto di questi dispostivi, alla ricerca del pettegolezzo, si trova a collegarli al proprio computer, cade nella trappola! La pennetta USB, o il dispositivo mobile che funge da esca, sarà pronto a veicolare il download infetto, bloccando e crittografando i file dati;
  • Un’altra causa è da rintracciarsi in videogiochi o noti programmi generalmente a pagamento, forniti in versioni gratuite e che sfruttano la possibilità illegale, di essere Quello che si verifica in questo caso, è che il file craccato da eseguire, in formato .exe, contenga al suo interno la sorpresa indesiderata;
  • Verificatosi con una certa frequenza nell’ultimo periodo, con utenti in smart working, sono gli attacchi attraverso il RDP, Remote Desktop Protocol, in cui avviene il furto delle credenziali, e successivo furto dei dati.

PC Cyborg, primo malware della storia

Correva l’anno 1989, quando affiorò il primo ransomware della storia noto come “PC Cyborg” realizzato da Joseph Popp.

Il malware ideato dalla “PC Cyborg Corporation” bloccava il funzionamento del computer facendo leva sulla “scadenza della licenza di un non meglio specificato software”. La cifra richiesta per il rilascio della licenza era di 189 dollari per far tornare tutto alla normalità. L’evento che ne permise la diffusione in quell’occasione è dovuta ad un congresso sull’Aids, in cui è stato fatto circolare tra i partecipanti un floppy disk infetto.

Dopo questo episodio, il boom dei ransomware si è avuto a partire dal 2012, grazie ad una tecnologia che diventa sempre più sofisticata. Vediamo di seguito alcuni dei tipi di ransomware più famosi.

I 4 tipi di Ransomware più diffusi

CryptoLocker – TorrentLocker

CryptoLocker, creato dall’hacker russo Evgeniy Mikhailovich Bogachev nel 2013, fa ancora molto parlare di sé. Infetta i computer sul quale è presente il sistema operativo Windows.

La sua diffusione avviene generalmente tramite posta elettronica, quindi è contenuto in e-mail che sembrano arrivare da fonti attendibili. Si presenta come un allegato zip che contiene un file eseguibile camuffato in formato word o un pdf. A questo punto il malware inizia a criptare tutti i file presenti nel disco rigido e delle condivisioni di rete, i quali verranno bloccati da password.

La cifra richiesta per il riscatto di questi dati si aggira sui 600 euro, generalmente richiesti in Bitcoin o altre cripto valute da versare su siti che sconfinano nel Dark Web attraverso la rete Tor.

Sulle cifre però si registrano diverse variazioni, in base anche alle intenzioni di chi veicola il ransomware (questo vale in generale anche per gli altri malware “famosi”).

CryptoWall

CryptoWall fa il suo ingresso nell’aprile del 2014.  A differenza del precedente gira su estensioni differenti e utilizza l’algoritmo RSA-2048.

In questo caso la cifra del riscatto è molto più elevata, si aggira sui mille dollari, sempre da pagare in Bitcoin.

CTB-Locker (Curve Tor Bitcoin Locker)

Anch’esso diffuso nel 2014, CTB-Locker utilizza delle estensioni causali, ma di 7 caratteri. In questo caso l’importo da versare si attestava all’incirca sui 600 dollari (ma esistevano delle eccezioni).

Maze

Maze deve invece la sua fortuna a Microsoft Word ed Excel con la funzione macro. Questo ransomware è stato creato nel 2019, ma ha avuto grande diffusione soprattutto nel 2020, con un fatturato di quasi 5 milioni di dollari, grazie alla tecnologia che sfrutta una macchina virtuale in grado di infettare tutti i dispositivi su cui si muove. L’associazione a delinquere ha dichiarato il ritiro dalle scene nel novembre 2020. L’ipotesi più valida resta quella secondo la quale si siano divisi in realtà più piccole.

La tecnica utilizzata da Maze era quella della doppia estorsione, ovvero minacciare le vittime di utilizzare i dati usurpati prima di esser bloccati, su un sito pubblico o del dark web, portando poi l’azienda vittima ad avere problemi anche di sicurezza GDPR.

Prevenire è meglio che curare: alcune best practice contro i malware

Prevenire deve essere la parola chiave quando si trattano dati sensibili. Vediamo di seguito una lista di consigli da seguire per evitare di incappare in episodi spiacevoli e dispendiosi:

  • Aggiornare sempre l’antivirus, il sistema operativo e il browser è una condizione primaria e necessaria;
  • Effettuare costantemente un backup in triplice copia dei dati. Una buona pratica consiste nel salvare i dati su storage online e offline, in modo tale da avere sempre i file disponibili da ripristinare con tempi rapidi nel caso in cui andassero persi;
  • Non aprire gli allegati di cui non si conosce la provenienza;
  • In caso di attacco rivolgersi a degli esperti del settore sicurezza informatica che sapranno come risolvere la questione;
  • Abilitare l’opzione “Mostra estensioni nomi file” nelle impostazioni di Windows: i file più pericolosi hanno l’estensione .exe, .zip, js, jar, scr. In tal caso di dubbio richiedere l’autenticità della copia;
  • Disattivare la funzione “autorun”, ovvero la riproduzione automatica dei file, delle pennette USB, CD/DVD e altre tipologie di supporti come Hard Disk esterni e, più in generale, evitare di inserire oggetti nel computer se non se ne conosce la provenienza;
  • Disattivare l’esecuzione macro da parte di componenti Office (Word, Excel, PowerPoint) che ad oggi sono una delle vie di infezione prediletta;
  • Creare ed utilizzare un account ospite da utilizzare per tutte le normali operazioni e riservarsi il profilo amministratore solo per la modifica delle impostazioni;
  • Utilizzare il Remote Desktop Protocol (RDP) con doppia autenticazione e password molto forti;
  • Fare estrema attenzione ai plugin utilizzati da Java, Adobe Flash Player, ecc. mantenendoli aggiornati, in quanto ad oggi, rappresentano una delle vie preferenziali dei cyborg attacchi;
  • Porre estrema attenzione ai pop-up prima di sbloccarli, assicurandosi che il sito su cui si sta navigando non sia un fake.

In conclusione, qual ora si dovesse subire un attacco ransomware, non agire di impulso al pagamento della cifra richiesta. Contattaci in modo tempestivo e ti forniremo supporto per il recupero di file e dati.

Ransomware guida

Per informazioni potete inviare una mail a info@recoveryfile.it oppure utilizzare il contatto rapito sottostante:

ALTRI ARTICOLI DEL NOSTRO BLOG