Capire cosa sono i ransomware e perché sono tanto pericolosi è il primo passo per proteggersi da queste minacce informatiche. Si tratta di un fenomeno in rapida ascesa, capace di compromettere sia utenti privati che aziende.
In questa guida, esploreremo nel dettaglio come funzionano questi virus e le modalità con cui si manifestano, fornendo un quadro completo di uno dei pericoli digitali più gravi.
Inizieremo spiegando il significato di ransomware, per poi approfondire le varie forme che questi software malevoli possono assumere e le loro metodologie di attacco. Successivamente, ci concentreremo su come si manifestano e sulle implicazioni sia in termini di perdita di dati che di impatto finanziario e reputazionale.
Inoltre, nelle prossime righe verranno proposti anche dei consigli pratici su come comportarsi in caso si venga colpiti dal virus e su come prevenirlo con l’impiego di un buon antivirus (ma non solo).
Ransomware: cosa sono e cosa fanno
Partiamo innanzitutto dal significato di ransomware. Il termine deriva dalla lingua inglese e si compone di due parti: “ransom”, che significa “riscatto“, e “ware”, abbreviazione di “software“. Quindi, la traduzione letterale in italiano è “software di riscatto”. Questa definizione cattura l’essenza dell’attacco ransomware: un tipo di malware che blocca l’accesso ai dati o ai sistemi di un utente o di un’organizzazione, e richiede il pagamento di un riscatto per sbloccarli o evitare la diffusione o cancellazione di tali dati.
Stiamo parlando dunque di un tipo di software malevolo, progettato per criptare i dati su un computer o una rete, rendendoli inaccessibili all’utente o all’azienda che ne è proprietaria.
Generalmente un ransomware agisce così: infetta un sistema, solitamente attraverso tecniche di phishing o sfruttando vulnerabilità nella sicurezza informatica; una volta all’interno del sistema, il virus cripta i file, bloccando l’accesso a documenti, database e altre informazioni importanti.
L’elemento distintivo di un attacco ransomware, rispetto ad altri virus, è la richiesta di un riscatto: gli hacker (a volte delle vere e proprie organizzazioni criminali) chiedono una somma di denaro, spesso in criptovaluta, in cambio della chiave di decrittazione necessaria per sbloccare i file. Durante questo processo, gli autori dell’attacco possono anche minacciare di pubblicare o cancellare i dati se il riscatto non viene pagato entro un certo termine.
La minaccia di questi virus è resa particolarmente insidiosa dalla capacità di diffondersi rapidamente all’interno delle reti, infettando numerosi dispositivi e sistemi. Questo tipo di attacco può avere conseguenze gravissime, soprattutto per le organizzazioni che hanno dati sensibili come ospedali, enti governativi e aziende.
Il primo ransomware della storia
Il primo ransomware nella storia dell’informatica è generalmente riconosciuto come il “Trojan AIDS“, noto anche come “PC Cyborg“. Creato nel 1989 da Joseph Popp, un biologo evoluzionista, questo virus segnò l’inizio dell’era dei ransomware. Popp lo distribuì tramite floppy disk ai partecipanti di una conferenza sull’AIDS, spacciandolo per un programma che valutava il rischio di contrarre l’HIV. Tuttavia, una volta installato su un computer, il malware contava il numero di avvii del sistema operativo e, al raggiungimento di un certo numero, criptava i nomi dei file sul disco rigido, rendendoli inaccessibili. Chiedeva poi un pagamento di 189 dollari a una casella postale a Panama per ripristinare l’accesso ai file.
Questo evento ha segnato l’inizio di una nuova fase nella criminalità informatica, ponendo le basi per gli sviluppi futuri di questi software malevoli. Diversamente da quelli moderni che utilizzano sofisticate tecniche di criptazione e richiedono pagamenti in criptovaluta per rimanere anonimi, il virus Trojan Horse AIDS era relativamente primitivo sia nella sua esecuzione che nella richiesta di riscatto. Tuttavia, il suo impatto fu significativo, aprendo la strada a una lunga serie di varianti sempre più avanzate e pericolose, che hanno continuato a evolversi e a rappresentare una seria minaccia per la sicurezza informatica mondiale.
Come si manifesta un ransomware
Visto cosa sono i ransomware e cosa fanno, cerchiamo di capire come si manifestano in un dispositivo. Questo virus si infiltra in un sistema informatico, spesso senza che l’utente se ne accorga, attraverso vari metodi. Quando questo accade si possono verificare delle anomalie nei device:
- La comparsa di un avviso di richiesta di riscatto (in file .txt o .html) che presenta le “istruzioni” per riappropriarsi dei file;
- L’accesso negato dei dispositivi stessi, in questi casi compare una schermata di blocco sui device;
- Non si riesce a visualizzare file o cartelle perché criptati.
Questi sono i sintomi più comuni per capire se si è vittime di un attacco ransomware.
Esempi di ransomware
Il panorama dei ransomware è molto variegato. Si suddividono in varie tipologie in base alle loro modalità operative e agli effetti che hanno sui sistemi. Ad esempio, i ransomware crittografici sono tra i più comuni e pericolosi. Questi software criptano i file dell’utente, rendendoli inaccessibili, e richiedono un pagamento per fornire la chiave di decrittazione. La loro efficacia deriva dalla capacità di rendere i dati inutilizzabili senza la chiave appropriata.
I ransomware non crittografici, invece, non criptano i file ma impediscono l’accesso al dispositivo o ai dati in altri modi. Un esempio comune è il blocco dello schermo, dove gli utenti vedono un messaggio che richiede un riscatto per sbloccare il loro dispositivo. Una sottocategoria emergente è quella dei leakware o “doxware” che minacciano di pubblicare online dati sensibili rubati dalla vittima se non viene pagato il riscatto. Questo tipo di attacco non solo mira a rendere inaccessibili i dati, ma anche a sfruttare il timore della perdita di privacy o della diffusione di informazioni confidenziali.
Esistono poi ransomware per dispositivi mobili, specificamente progettati per attaccare smartphone e tablet. Funzionano in modo simile a quelli tradizionali, ma sono ottimizzati per le piattaforme mobili. Vanno menzionati anche i wiper, una variante particolarmente distruttiva di ransomware. Invece di criptare i file, questi cancellano o danneggiano irrimediabilmente i dati, in alcuni casi rendendo impossibile il loro recupero anche dopo il pagamento del riscatto.
Infine, gli scareware ingannano gli utenti facendogli credere che i loro computer siano infetti da virus o altri problemi. Spesso, questi software richiedono un pagamento per “risolvere” il problema che in realtà non esiste.
I più comuni e i più pericolosi
Nel mondo dei ransomware, ce ne sono diversi che hanno guadagnato notorietà sia per la loro diffusione che per il loro impatto a livello di pericolosità. Di seguito, un elenco dettagliato dei più comuni e più pericolosi.
- WannaCry: famoso per il suo attacco globale nel 2017, ha sfruttato una vulnerabilità nei sistemi Windows per criptare i dati e richiedere un riscatto in Bitcoin;
- Petya/NotPetya: originariamente un software malevolo che criptava il master boot record dei dischi fissi, NotPetya si è evoluto in una minaccia più seria che ha causato danni estesi a livello globale, particolarmente in Ucraina;
- Locky: diffuso principalmente tramite email di phishing, criptava i file e modificava le loro estensioni, rendendo difficile il loro recupero senza il pagamento del riscatto;
- Ryuk: notoriamente utilizzato in attacchi mirati, ha colpito numerose grandi organizzazioni e istituzioni, criptando i file e richiedendo riscatti molto elevati;
- Sodinokibi (REvil): un ransomware-as-a-service (RaaS) sofisticato, ha colpito molteplici aziende e ha avuto un grande impatto grazie alla sua capacità di sfruttare le vulnerabilità nei servizi di remote desktop;
- GandCrab: anche questo un RaaS, ha avuto una rapida diffusione grazie alla sua facile disponibilità nel dark web e alla sua capacità di evolversi per eludere le misure di sicurezza;
- CryptoLocker: uno dei primi esempi di ransomware moderno, ha infettato i computer tramite allegati email infetti e richiesto un riscatto in Bitcoin per sbloccare i file;
- Dharma: conosciuto per la sua interfaccia utente “user-friendly” e per le sue numerose varianti, è stato un virus particolarmente resiliente;
- Maze: non solo criptava i file, ma minacciava anche di rilasciare i dati rubati se il riscatto non veniva pagato, introducendo un ulteriore livello di coercizione;
- DarkSide: coinvolto nell’attacco al Colonial Pipeline negli Stati Uniti, ha dimostrato l’abilità di colpire infrastrutture critiche con gravi conseguenze.
Questi rappresentano solo alcuni esempi di attacco ransomware in cui ci si può imbattere, ed evidenziano la necessità di una robusta protezione per le minacce informatiche.
Le nuove tecniche di attacco
Le evoluzioni più recenti mostrano una tendenza verso attacchi sempre più sofisticati e mirati. Gli autori di ransomware stanno adottando tecniche nuove e avanzate per infiltrarsi nelle reti, eludere i sistemi di sicurezza e massimizzare il loro impatto finanziario. Non solo, vengono anche richieste somme per il riscatto molto più alte rispetto a qualche anno fa.
Una delle dinamiche più in crescita è l‘attacco mirato a specifiche industrie o grandi organizzazioni, dove i cybercriminali svolgono una ricognizione approfondita prima di agire. Questo permette loro di personalizzare l’approccio e ottimizzare le possibilità di un grande pagamento.
Inoltre, sta emergendo una situazione sempre più ricorrente di doppia estorsione, dove gli aggressori non solo criptano i dati, ma li rubano ancora prima di criptarli. Questo li mette in posizione di poter richiedere un riscatto per la decrittazione dei dati e minacciare di rilasciare o vendere le informazioni rubate se il pagamento non viene effettuato.
Alcuni gruppi di ransomware stanno anche formando alleanze, condividendo risorse e tattiche o vendendo l’accesso a reti già compromesse ad altri criminali, in un modello noto come Ransomware-as-a-Service (RaaS). Questo approccio consente anche a criminali meno esperti di lanciare attacchi.
Infine, alcuni virus di questo tipo ora sfruttano le vulnerabilità zero-day o le falle di sicurezza non ancora note al pubblico o ai produttori di software. Questo rende molto difficile per le organizzazioni difendersi, poiché non esistono ancora patch o aggiornamenti per mitigare queste vulnerabilità.
Come si viene infettati da un ransomware?
L’infezione da ransomware avviene attraverso l’ingresso e la diffusione del software malevolo in un sistema informatico. Tecnicamente, questo processo inizia quando il virus, celato in un’apparenza innocua, inganna l’utente o sfrutta le vulnerabilità del sistema per guadagnare l’accesso.
Le e-mail di phishing continuano ad essere il metodo più usato per diffondere virus ransomware, queste contengono allegati infetti (ad esempio PDF o file di Office) o link che, una volta aperti o cliccati, installano il software malevolo sul sistema. Un altra modalità comune con cui viene contratto il virus è il drive by download: il ransomware viene scaricato automaticamente quando un utente visita un sito web compromesso, senza che l’utente debba fare alcun clic.
Da menzionare anche l’uso di dispositivi USB infetti, così come la tecnica di RDP compromesso: gli hacker sfruttano le configurazioni deboli o le credenziali rubate di RDP per accedere a un sistema e installare il ransomware. Un’altra tipologia di attacco che li diffonde è il malvertising, ovvero l’utilizzo di annunci pubblicitari infetti.
In alcuni casi, il virus sfrutta le vulnerabilità esistenti nei software o nei sistemi operativi. Questo può avvenire quando un sistema non è aggiornato con le ultime patch di sicurezza. Il ransomware, una volta individuata una vulnerabilità, la utilizza per infiltrarsi nel sistema senza alcuna azione da parte dell’utente. Dopo l’ingresso nel sistema, si installa, spesso in modo silenzioso, e inizia a criptare i file. Questo processo avviene in background, e l’utente potrebbe non notare nulla fino a quando non cerca di accedere a un file e scopre che è stato criptato. In parallelo, può anche diffondersi ad altri sistemi nella rete, cercando di massimizzare l’impatto dell’attacco.
Qual è la migliore protezione dagli attacchi ransomware?
Per evitare di essere vittime di un attacco ransomware è bene attuare delle misure preventive, tra cui l’uso di software antivirus. Questi sono progettati per rilevare, prevenire e rimuovere malware, compresi i ransomware, dai computer. Funzionano eseguendo scansioni regolari del sistema alla ricerca di file o comportamenti sospetti che potrebbero indicare la presenza di software malevoli.
Una delle caratteristiche chiave degli antivirus è il database di definizioni di virus, che contiene le firme di malware noti, ovvero le sequenze continue di byte comuni per alcuni modelli. Questo database viene costantemente aggiornato dagli sviluppatori dell’antivirus per includere le ultime minacce. Quando un file sospetto viene rilevato, viene confrontato; se corrisponde a una firma conosciuta, l’antivirus lo segnala e prende le azioni appropriate, che possono includere la messa in quarantena o la rimozione del file.
Oltre alla rilevazione basata su firme, gli antivirus moderni utilizzano anche tecniche di rilevamento euristico e di apprendimento automatico per identificare comportamenti o caratteristiche tipiche dei malware, anche se non sono stati ancora inseriti nel database delle firme. Questo approccio è particolarmente utile per rilevare varianti nuove o sconosciute di malware.
Norton ad esempio offre una protezione completa che include la rilevazione di malware, la protezione in tempo reale, i firewall e altre funzionalità di sicurezza. Questo antivirus utilizza sia il rilevamento basato su firme sia tecniche avanzate per proteggere i dispositivi dai ransomware e altre minacce. Inoltre, offre funzionalità aggiuntive come il backup dei dati e strumenti di sicurezza per la navigazione su Internet, che possono aiutare a prevenire gli attacchi derivanti da siti web dannosi o download infetti.
Soluzioni ad attacchi ransomware, cosa fare
Quando si viene attaccati da un virus del genere bisogna adottare un approccio calmo e metodico. Le soluzioni ai ransomware possono essere diverse. Il primo passo è isolare il sistema o i dispositivi infetti per prevenire la diffusione del virus ad altre parti della rete. Questo significa disconnettere il dispositivo dalla rete e disattivare le connessioni Wi-Fi o Bluetooth. Successivamente è importante identificare l’entità e il tipo di ransomware, poiché alcune varianti sono note e possono avere strumenti di decrittazione disponibili senza pagare il riscatto.
Un aiuto prezioso può essere fornito da un esperto di sicurezza informatica o un’organizzazione specializzata in tali incidenti. Questi professionisti possono offrire consigli su come gestire l’attacco e potrebbero essere in grado di aiutare a recuperare i dati. In ogni caso è utile verificare l’esistenza di backup dei dati. Se disponibili e non compromessi, questi backup possono essere utilizzati per ripristinare i dati crittografati.
Infine, è importante informare le autorità competenti dell’attacco. Le agenzie governative o le forze dell’ordine specializzate in crimini informatici possono intraprendere indagini e fornire assistenza. Inoltre, comunicare l’incidente a eventuali dipendenti, clienti e ad altre parti interessate è fondamentale per mantenere la trasparenza e la fiducia.
Bisogna pagare in caso di ransomware?
In caso di un attacco ransomware, la questione del pagamento del riscatto è complicata e va affrontata con cautela. Pagare il riscatto non assicura necessariamente il recupero dei dati, poiché non c’è garanzia che gli aggressori forniranno la chiave di decrittazione o che questa funzionerà correttamente. Inoltre, soddisfare queste richieste contribuisce a finanziare le attività criminali e potrebbe incentivare ulteriori attacchi, non solo contro l’organizzazione colpita ma anche contro altre. Le organizzazioni che pagano una volta possono essere considerate bersagli facili e rischiare di subire attacchi ripetuti.
Dal punto di vista legale ed etico, in alcune regioni, pagare riscatti a gruppi di ransomware potrebbe essere illegale, specialmente se ci sono indizi che collegano questi gruppi a organizzazioni terroristiche o criminali. Le forze dell’ordine e gli esperti di sicurezza informatica generalmente sconsigliano il pagamento del riscatto. Al contrario, suggeriscono di segnalare l’incidente alle autorità competenti e di consultare esperti in materia di sicurezza informatica per valutare le possibili opzioni di recupero dei dati.
In definitiva, la decisione di pagare il riscatto dovrebbe essere presa dopo un’attenta valutazione delle circostanze specifiche dell’attacco, considerando tutti i rischi e le implicazioni. L’attenzione dovrebbe essere rivolta anche al rafforzamento delle misure di sicurezza (l’installazione di un antivirus, ad esempio) per prevenire futuri attacchi e al miglioramento delle pratiche di backup dei dati.
Consigli generali di prevenzione
La prevenzione dai ransomware richiede un approccio olistico che coinvolge sia la tecnologia che il comportamento umano. Anzitutto la sensibilizzazione e la formazione degli utenti e dei dipendenti è una strategia efficace poiché molti attacchi ransomware sfruttano errori umani come il clic su link dannosi o l’apertura di allegati infetti. La formazione dovrebbe concentrarsi sul riconoscimento di e-mail di phishing e altri tentativi di questo tipo.
Inoltre, non può essere sottolineata abbastanza l’importanza degli aggiornamenti software. Mantenere aggiornati tutti i sistemi operativi, software e applicazioni con le ultime patch di sicurezza è fondamentale per proteggersi da vulnerabilità note che potrebbero essere sfruttate dagli hacker.
Anche l’uso di soluzioni antivirus e antimalware affidabili e aggiornate è cruciale. Questi strumenti possono rilevare e bloccare molti tentativi di attacco prima che causino danni. Inoltre, configurare un firewall adeguato e altre misure di sicurezza di rete può aiutare a bloccare il traffico malevolo.
In una strategia di prevenzione non può mancare anche un backup dei dati. Questi, eseguiti con regolarità, possono ridurre significativamente il danno causato da un attacco ransomware, poiché i dati possono essere ripristinati senza dover pagare un riscatto. È importante assicurarsi che i backup siano conservati in una posizione sicura e siano disconnessi dalla rete per evitarne la compromissione durante un attacco.
Conclusioni
Alla fine di questo approfondimento su cosa sono i ransomware, sul loro significato in termini di pericolo e sulle modalità di protezione, si può dire che queste minacce informatiche sono sempre più subdole e sofisticate.
Appare dunque fondamentale adottare misure preventive efficaci per proteggere i propri dati e sistemi. Una strategia di sicurezza multilivello, che includa la sensibilizzazione degli utenti, l’aggiornamento costante dei sistemi e l’utilizzo di soluzioni antivirus robuste, rappresenta il miglior approccio per mitigare questi rischi.
Come antivirus adatto allo scopo, Norton 360 Deluxe è una delle migliori opzioni: con la sua tecnologia avanzata, offre una sicurezza in tempo reale, rilevando e bloccando i ransomware prima che possano infliggere danni. La sua capacità di aggiornarsi costantemente per fronteggiare le nuove minacce, insieme a funzioni come il backup dei dati e il firewall, lo rende uno strumento indispensabile nella lotta contro queste pericolose minacce informatiche.
Va infine però ricordata una cosa importante: nessuna soluzione può garantire una protezione completa al 100%, ma l’adozione di strumenti affidabili come Norton, combinati con pratiche di sicurezza informatica solide, può notevolmente ridurre il rischio di cadere vittime di un attacco. La sicurezza informatica richiede un impegno costante e un’attenzione continua, ma con le giuste precauzioni e gli strumenti adeguati, è possibile navigare nel mondo digitale con sicurezza e tranquillità.