Ransomware spiegato
Il ransomware è un tipo di malware che cripta i file e richiede un pagamento per la loro decriptazione. Si diffonde spesso tramite email di phishing, kit di exploit e malvertising. Per proteggersi dagli attacchi ransomware, è consigliato eseguire regolarmente backup dei file, usare un antivirus affidabile e mantenere aggiornati software e sistemi operativi. Alcuni esempi noti di ransomware includono WannaCry, GrandCrab, Locky e Bad Rabbit. Gli attacchi ransomware continuano a evolvere ed è fondamentale rimanere vigili e informati sulle minacce e sulle contromisure più recenti.
Nozioni di base
Negli ultimi anni, la minaccia malware più prominente a livello globale è il ransomware, una forma di software dannoso che interessa sia singoli sistemi sia reti di organizzazioni come aziende, ospedali, aeroporti e agenzie governative.
Lo sviluppo del ransomware ha fatto molta strada dalla sua prima apparizione registrata nel 1989. Le versioni iniziali erano semplici, conosciute come ransomware non basati su crittografia. Al contrario, il ransomware contemporaneo si basa su tecniche crittografiche per criptare i file, rendendoli inaccessibili. Per bloccare completamente un sistema operativo, il ransomware può essere applicato anche ai dischi rigidi. L'obiettivo finale degli aggressori è convincere le vittime a pagare un riscatto per la decrittazione, solitamente in valute digitali non tracciabili come Bitcoin o altre criptovalute. Tuttavia, non è certo che gli aggressori onoreranno i pagamenti.
Come non diventare una vittima?
La diffusione del ransomware coinvolge comunemente tre diverse forme di social engineering. Uno dei metodi più diffusi è il phishing, in cui gli aggressori usano allegati o link nelle email mascherati da comunicazioni legittime per infettare le vittime. Compromettere un singolo computer nella rete di un'organizzazione può permettere al ransomware di propagarsi all'intero sistema.
Un altro metodo comune è l'uso di kit di exploit, che sono pacchetti preconfezionati con vari strumenti dannosi e codici di exploit già scritti che sfruttano vulnerabilità in software e sistemi operativi. I cybercriminali prendono spesso di mira software obsoleti, rendendo i sistemi non sicuri più vulnerabili agli attacchi.
Infine, gli aggressori possono usare il malvertising per diffondere il ransomware. Questo comporta l'utilizzo di reti pubblicitarie per distribuire codice malevolo a utenti ignari.
Protezione personale dal ransomware
Per ridurre il rischio di infezione da ransomware, è essenziale adottare alcune precauzioni. In primo luogo, è fondamentale eseguire regolarmente il backup dei file su supporti esterni in modo da poterli ripristinare se necessario. In secondo luogo, prestare attenzione ad allegati e link nelle email ed evitare di cliccare su pubblicità o visitare siti provenienti da fonti sconosciute.
Per minimizzare ulteriormente il rischio di attacchi ransomware, installare un programma antivirus affidabile e mantenere aggiornate tutte le applicazioni software e i sistemi operativi. Abilitare l'opzione "Mostra estensioni file" nelle impostazioni di Windows permette di identificare più facilmente estensioni potenzialmente pericolose come .exe, .vbs e .scr.
Evitate di accedere a siti web non protetti dal protocollo HTTPS, anche se va ricordato che alcuni siti malevoli usano comunque HTTPS. Per mitigare ulteriormente la minaccia del ransomware, visitate NoMoreRansom.org. Il sito, creato da forze dell'ordine e aziende di sicurezza informatica, offre toolkit di decrittazione gratuiti per gli utenti infettati e preziosi consigli per prevenire gli attacchi ransomware.
Esempi di ransomware
GrandCrab (2018)
GrandCrab è un ransomware noto rilevato per la prima volta nel gennaio 2018. Nel giro di un mese dalla sua comparsa, il malware aveva già infettato oltre 50.000 vittime, per lo più tramite email di phishing e malvertising. È stato anche il primo ransomware a richiedere il pagamento in criptovaluta DASH, con un riscatto iniziale compreso tra 300 e 1500 dollari.
Le autorità rumene, in partnership con Bitdefender ed Europol, hanno lavorato per interrompere le attività di GrandCrab e hanno avuto successo. Ora è disponibile un kit gratuito di recupero dati per chi è stato colpito dal malware.
WannaCry (2017)
In un attacco informatico globale durato quattro giorni, oltre 300.000 computer sono stati infettati da WannaCry. Il malware sfruttava un exploit chiamato EternalBlue e prendeva di mira principalmente i sistemi operativi Microsoft Windows, con Windows 7 come il più vulnerabile. L'attacco è stato infine fermato dopo che Microsoft ha rilasciato patch di emergenza.
Sebbene non siano state presentate prove concrete, esperti di sicurezza statunitensi hanno affermato che l'attacco sarebbe stato opera della Corea del Nord.
Bad Rabbit (2017)
Un falso aggiornamento di Adobe Flash è stato usato per diffondere un ransomware che richiedeva l'installazione manuale di un file .exe. La maggior parte delle macchine infette si trovava in Russia e il costo della decrittazione era di circa 280 dollari statunitensi o 0,05 BTC all'epoca.
Locky (2016)
Locky si diffondeva comunemente tramite allegati email camuffati da fatture che richiedevano il pagamento. Il Hollywood Presbyterian Medical Center fu vittima di Locky nel 2016 e alla fine pagò un riscatto di 40 BTC (equivalenti a 17.000 dollari all'epoca) per ripristinare l'accesso ai propri sistemi informatici.
Conclusione
Il ransomware è diventato una minaccia significativa per organizzazioni e individui in tutto il mondo. I danni causati dagli attacchi ransomware possono essere estesi, lasciando le vittime con la difficile scelta tra pagare il riscatto o perdere i propri dati. Per proteggersi dagli attacchi ransomware è essenziale adottare misure preventive, come mantenere aggiornati software e sistemi operativi, evitare allegati e link sospetti nelle email e eseguire backup regolari. Poiché gli attacchi ransomware continuano a evolvere, è fondamentale rimanere vigili e informati sulle ultime minacce e sui metodi di protezione.