Niente panico

Cos’è e come funziona un ransomware: Nuove frontiere d’attacco

I ransomware, i cosiddetti “virus del riscatto” possono crittografare permanentemente i file aziendali, a meno che non si paghi per riaverli. Vere e proprie cyberestorsioni, che nel 2017 sono in aumento anche a livello aziendale

Pubblicato il 30 Mag 2018

ransomware

Un ransomware è una tipologia di malware (o virus del computer) che non permette alcune funzionalità del computer infettato e richiede un riscatto (dal termine “ransom”, in inglese riscatto, e “ware”, diminutivo di malware) che gli hacker richiedono come compenso da pagare per poter rimuovere il blocco delle funzionalità del pc.

Avanti, sempre avanti e in continua evoluzione, la sicurezza informatica è un treno lanciato a folle velocità in una instancabile rincorsa di minacce e attacchi alle infrastrutture informatiche con connotati sempre più difficili da capire, decifrare, riconoscere. Tra le ultime frontiere, il Ransomware. Ultima, e tremendamente efficace, si è aggiunta nella variegata categoria delle minacce telematiche. Qui di seguito spieghiamo come funziona, oltre alle possibili procedure di disinnesco, mentre in questo speciale webinar in programma il prossimo 4 ottobre sarà possibile ascoltare i pareri più aggiornati degli esperti di sicurezza. 

Cos’è e come funziona il Ransomware

«‘O la borsa o la vita’ è stata la frase preferita dai criminali del 18° secolo. Ma se i banditi mascherati a cavallo che derubavano i passeggeri in diligenza fanno ormai parte del passato, l’idea di sottrarre oggetti di valore per poi chiedere un riscatto è ancora dominante. Oggi, i criminali informatici usano una forma di malware conosciuta come ransomware per chiedere ‘o i soldi o i file’, ricattando le aziende, trattenendo in ostaggio i loro PC o dati e richiedendo un pagamento economico per il rilascio.

Ma il ransomware cos’è e come funziona? Come la maggior parte del malware, anche il ransomware può provenire dall’apertura di un allegato malevolo in un’email, da un clic su un pop-up ingannevole o semplicemente dalla visita di un sito web compromesso. Mette a rischio le aziende in una delle seguenti modalità: bloccando lo schermo di un utente o crittografando i file.

Il ransomware lock-screen, come suggerisce il nome, provoca il ‘congelamento’ del PC visualizzando un messaggio con la richiesta di riscatto del criminale, rendendo il computer inutilizzabile fino a quando il malware viene rimosso. Se questo è un fastidio per gli utenti, è una cosa superabile perché riguarda generalmente un singolo PC, ed è di solito relativamente facile da rimuovere.

La crittografia ransomware, invece, sta rapidamente emergendo come una vera minaccia per le aziende a causa della sua capacità di bloccare permanentemente gli utenti dai propri file e dati, non solo sui singoli PC ma sull’intera rete aziendale. Utilizzando la crittografia per scombinare i dati fino al pagamento di un riscatto, questo tipo di attacco ransomware ha registrato nel terzo trimestre del 2013 un aumento del 200%, rispetto al primo semestre dell’anno. Inoltre, gli attacchi si sono concentrati su aziende di piccole e medie dimensioni, utilizzando CryptoLocker, uno dei ceppi di ransomware più distruttivi e dannosi mai visto.

Da quando è stato individuato a fine estate del 2013, CryptoLocker ha preso di mira milioni di computer. Una volta attivato sul PC di un utente, CryptoLocker avvia una ricerca su tutte le cartelle e drive a cui è possibile accedere dal computer infetto, compresi dischi di back-up in rete sui server aziendali. Successivamente inizia a scombinare i file utilizzando una crittografia a 2048 bit virtualmente impossibile da decriptare. I file rimarranno crittografati a meno che l’azienda non paghi un riscatto per rilasciare la chiave di decriptazione – supponendo, naturalmente, che i criminali forniscano effettivamente la chiave una volta pagato. Senza esagerare, questa perdita di proprietà intellettuale e dei dati confidenziali può avere implicazioni gravi.

Aziende sempre più nel mirino dei ransomware

Anche perchè il ransomware espone non soltanto i comuni utenti consumer, ma in misura crescente anche le imprese, che negli ultimi mesi sono state più esposte che mai. L’ultimo documento di ricerca di Symantec sul ransomware ha scoperto che le aziende sono state le principali vittime degli episodi di WannaCry e Petya , con le reti aziendali che si sono anzi dimostrate il terreno ideale per questa nuova generazione di minacce auto-propaganti.

Più precisamente, la ricerca Symantec ha scoperto che i numeri globali del ransomware hanno continuato a tendere verso l’alto. Durante i primi sei mesi del 2017, Symantec ha bloccato poco più di 319.000 infezioni da ransomware. Se questo tasso di infezione continuasse per l’intero anno, il 2017 sarebbe caratterizzato da un aumento significativo rispetto al 2016, quando un totale di 470.000 infezioni furono bloccate. A contribuire a questo aumento è stato soprattutto il picco di infezioni bloccate durante il maggio e giugno 2017, vale a dire i mesi in cui si sono verificati i focolai di WannaCry e Petya. L’impatto sproporzionato di WannaCry e Petya sulle organizzazioni può essere visto dalle statistiche sulle infezioni. Durante il 2015 e il 2016, le aziende hanno rappresentato tra il 29 e il 30 per cento delle infezioni da ransomware. Questa percentuale è salita al 42 per cento nella prima metà del 2017, con un grosso picco durante i mesi di maggio e giugno, quando WannaCry e Petya si sono diffusi. I motivi? Come al solito sono di diversa natura: innanzitutto la maggioranza dei router internet domestici avrebbe bloccato i tentativi di infezione che implicavano l’exploit EternalBlue, sfruttato per Wannacry. Ma le organizzazioni devono prepararsi per la minaccia di un ransomware auto-propagante. Ma il successivo caso Petya, ha dimostrato che anche senza exploi gli attaccanti possono creare ransomware  in grado di diffondersi nelle reti aziendali, provocando molti danni.

Proteggersi e rimuovere ransomware se si sa come funziona

Cosa possono fare le aziende per proteggersi da questi nuovi tipi particolarmente aggressivi di ransomware, e rimuoverli? Innanzitutto, è fondamentale che le organizzazioni implementino le stesse best practice di sicurezza di base consigliate per proteggere i computer da qualsiasi altro tipo di malware:

• Assicurarsi che il software anti-virus sia aggiornato con le più recenti signature

• Verificare che il sistema operativo e le patch del software applicativo siano aggiornati

• Installare un firewall sia in entrata che in uscita sul PC di ogni utente

  • L’email è uno dei principali metodi di infezione.  Occorre cancellare tutte le email sospette ricevute, in particolare se contengono collegamenti e / o allegati.
  • Il backup dei dati più importanti è il modo più efficace per combattere l’infezione da ransomware. Dal momento che gli attaccanti colpiscono le loro vittime cifrando file preziosi e lasciandoli inaccessibili, grazie alle copie di backup è possibile ripristinare i file una volta che l’infezione è stata ripulita.

Tuttavia, si tratta di misure che non offrono una protezione totale dagli attacchi. È troppo facile per un dipendente cliccare inavvertitamente su un allegato di posta elettronica, provocando un’infezione. È anche relativamente facile per i criminali che stanno dietro una truffa ransomware fare piccoli aggiustamenti al codice malware, permettendogli di bypassare l’antivirus dal rilevamento basato su signature, rendendo in questo modo le aziende vulnerabili.

Dall’esempio di cryptolocker in poi, alcuni tra i principali ransomware della storia hanno creato disagi non di poco conto a tantissime aziende, che hanno poi spesso pagato il riscatto, e ancor più spesso non riavuto i dati indietro. Ecco quindi come il tema ransomware nella cybersecurity diventa di importanza fondamentale.

Una protezione migliore dai ransomware grazie alle sandbox

Per difendersi contro i nuovi exploit che non possono essere rilevati dalle soluzioni antivirus convenzionali, una nuova tecnica di sicurezza permette di isolare i file dannosi prima che entrino nella rete in modo che l’infezione accidentale non si verifichi.

Senza incidere sul flusso aziendale, questa tecnologia apre i file sospetti che arrivano via email e controlla il loro contenuto in un ambiente virtualizzato noto come ‘sandbox’. Nella sandbox, il file viene monitorato in tempo reale per registrare qualsiasi comportamento insolito, come ad esempio tentativi di apportare modifiche di registro, azioni o connessioni di rete anomale. Se il comportamento del file risulta essere sospetto o potenzialmente dannoso, questo viene bloccato e messo in quarantena, per prevenire ogni possibile infezione prima che raggiunga la rete – o le caselle di posta degli utenti – azzerando così il rischio che possa causare danni. Nuovi servizi cloud di scansione ed emulazione forniscono questa funzionalità di protezione ad organizzazioni praticamente di ogni tipo e dimensione.

Le aziende dovrebbero prendere in considerazione queste ulteriori precauzioni per assicurarsi di non cader vittime di criminali informatici che necessitano solamente di una minuscola falla di sicurezza per entrare nella rete e prendere in ostaggio gli asset dell’azienda. Potendo potenzialmente catturare tutti i file e i dati di una società in un istante, il ransomware rappresenta una grave minaccia che le organizzazioni dovrebbero seriamente considerare».

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati