Cos'è il ransomware?

Esplora le complessità del ransomware attraverso approfondimenti chiave sulla sua storia, su come funziona e sulle possibili contromisure.

Panoramica

Definizione
Come funziona
Tipi di attacchi
Rileva e previeni gli attacchi

Soluzioni di sicurezza

Un ransomware è un software malevolo che cripta i file i e sistemi importanti nella rete informatica di un'organizzazione, rendendoli inaccessibili. Se in origine colpiva singoli computer, ora prende di mira sistemi più grandi e importanti come server e database, aggravando ulteriormente il problema. Per riavere indietro i propri file e sistemi, alle vittime viene solitamente richiesto di pagare una certa somma, spesso in criptovalute.

Negli ultimi anni, il ransomware si è fatto via via più complesso. Alcune versioni più recenti non solo bloccano i file, ma rubano anche informazioni sensibili come le password. I criminali utilizzano poi questi dati rubati per fare ancora più pressione sulle vittime e spingerle a pagare il riscatto. Questo tipo di cyber-attacco colpisce molti settori, tra cui la pubblica amministrazione, la sanità e i servizi pubblici più importanti, provocando perdite finanziarie significative e interruzioni dei servizi.

Come funziona?

Il ransomware risulta molto efficace grazie all'uso della crittografia asimmetrica, un metodo sicuro che sfrutta una coppia di chiavi distinte, una pubblica e una privata.

Il malware di solito si infiltra in un sistema attraverso e-mail ingannevoli, link malevoli o sfruttando falle di sicurezza già esistenti. Una volta all'interno, rilascia codice e inizia a crittografare i dati, rendendo di fatto inaccessibili file preziosi come documenti, immagini e database. La chiave privata necessaria per sbloccare questi file viene in genere svelata solo dietro pagamento del riscatto.

Vedi altro

Esistono diverse categorie di ransomware, tra cui gli "encryptor" , che si concentrano principalmente sul blocco dei file, e gli "screen locker", che impediscono l'accesso agli utenti mostrando loro solo una schermata di blocco. In entrambi i casi, alle vittime viene chiesto di pagare un riscatto, spesso in valute digitali come i Bitcoin, per riprendere il controllo dei propri dati o sistemi.

È tuttavia importante osservare che il pagamento del riscatto non garantisce un recupero sicuro dei propri file. In alcuni casi, le vittime potrebbero non ricevere alcuna chiave di decrittazione o potrebbero trovare del malware aggiuntivo installato sui propri sistemi dopo il pagamento.

Il rischio associato al ransomware è cresciuto con l'emergere del Ransomware-as-a-Service (RaaS), un modello che consente a un maggior numero di individui di portare a termine questo tipo di attacchi. Inoltre, le versioni moderne di ransomware sono in grado di sfruttare le vulnerabilità del sistema per diffondersi in tutta l'organizzazione, trasformando un problema localizzato in una crisi più estesa che richiede un intervento immediato.

Il Ransomware-as-a-Service (RaaS) ha democratizzato l'accesso al ransomware, rendendone possibile l'impiego anche a persone dalle competenze tecniche limitate. Questo modello funziona in modo molto simile ai servizi software tradizionali, fornendo gli strumenti per lanciare attacchi informatici sofisticati.

Nel modello del RaaS , ci sono due gruppi principali che lavorano fianco a fianco: i creatori del ransomware e i loro affiliati. I creatori realizzano il ransomware e i sistemi necessari per diffonderlo. Gli affiliati, reclutati online, sono responsabili della distribuzione del ransomware. Alcuni gruppi RaaS spendono anche ingenti somme di denaro per reclutare affiliati. Una volta entrati a far parte del sistema, questi affiliati possono lanciare le proprie campagne ransomware utilizzando l'infrastruttura esistente.

Dal punto di vista finanziario, il RaaS ha diversi modi per sostenersi economicamente. Gli affiliati possono pagare una quota periodica, effettuare un pagamento in un'unica soluzione o condividere i profitti con i creatori. Questo processo è spesso trasparente e viene gestito attraverso dashboard online, da cui gli affiliati possono monitorare metriche come il numero di infezioni e le entrate generate. I pagamenti avvengono solitamente tramite criptovalute come i Bitcoin, che assicurano un buon grado di anonimato.

Ciò che rende il RaaS ancora più difficile da combattere è la sua presenza nel dark web, dove opera come qualsiasi altro mercato basato sulla concorrenza. Proprio come i servizi software legali, le piattaforme RaaS possono proporre recensioni dei clienti, assistenza 24 ore su 24 e pacchetti di offerte. Utilizzano persino tecniche di marketing che imitano quelle delle aziende normali.

Tipi di attacchi ransomware

Il mondo del ransomware sta cambiando rapidamente, diventando sempre più complicato con l'emergere di nuovi tipi di attacco. Comprendere queste diverse forme è fondamentale per predisporre una difesa robusta e flessibile contro i cyber-attacchi.

Esistono inoltre diverse famiglie di ransomware, come WannaCryptor, Stop/DJVU e Phobos, ognuna delle quali con i propri tratti distintivi. Conoscere a fondo queste varianti aiuta a elaborare strategie specializzate di difesa più mirate ed efficaci.

Di seguito è riportato un elenco dei tipi di ransomware più frequenti, classificati in base al loro modus operandi.

· Crypto Ransomware o Encryptor: un caposaldo dei toolkit dei criminali informatici, il Crypto Ransomware è specializzato nella crittografia di file e dati, spesso tramite algoritmi di cifratura avanzati. Questa tattica rende i dati inaccessibili fino a quando non viene applicata una chiave di decrittazione, solitamente ottenibile solo dietro un pagamento in criptovalute. In questa categoria, famiglie di ransomware come WannaCryptor sono assurte agli onori della cronaca a causa della loro portata e della gravità del loro impatto.

· Locker: incentrati sull'interazione con il sistema piuttosto che sull'integrità dei dati, i Locker inibiscono le funzionalità principali di un computer, spesso mostrando all'utente una schermata di blocco con una richiesta di riscatto. Anche se non criptano i dati, creano problemi più che tangibili. La famiglia di ransomware Phobos, ad esempio, è nota per utilizzare tattiche da Locker insieme ai metodi di crittografia.

· Scareware: agendo principalmente attraverso la manipolazione psicologica, gli Scareware si fingono dei software antivirus del tutto legittimi. Inondano gli utenti con avvisi incessanti su infezioni da malware inventate, spesso richiedendo il pagamento di fantomatici "servizi di rimozione". Alcune varianti avanzate prendono in prestito le tecniche dei Locker e possono anche bloccare i computer. Spesso gli Scareware sono la porta di ingresso usata dai tristemente noti truffatori dei finti servizi di assistenza.

· Doxware o Leakware: il Doxware rappresenta una minaccia maggiore: sequestra i dati sensibili e minaccia di renderli pubblici. La posta in gioco è resa ancora più grave dal potenziale rischio reputazionale. Occasionalmente, è possibile imbattersi in ransomware mascherati da messaggi provenienti forze dell'ordine, che spingono l'utente a pagare una multa per evitare inesistenti conseguenze legali.

· Mobile Ransomware: con la crescente onnipresenza di smartphone e tablet nella nostra vita di tutti i giorni, gli attacchi Mobile Ransomware non si sono fatti attendere. Questi attacchi prendono di mira l'usabilità del dispositivo o i dati memorizzati su di esso, costringendo le vittime a pagare per ripristinarli.

· DDoS Extortion: nonostante non sia una forma convenzionale di ransomware, la DDoS Extortion sfrutta principi analoghi, costringendo le vittime a effettuare pagamenti in denaro per evitare disservizi o interruzioni. In questo caso, la minaccia consiste nel sovraccaricare una rete o un sito Web con un ingente afflusso di traffico, impedendogli temporaneamente di funzionare correttamente.

Come ci si può riprendere da un'infezione da ransomware?

Per decrittare i file compromessi dal ransomware, avrai bisogno di uno strumento di decrittazione appropriato. Identifica la specifica variante di ransomware che sta colpendo il tuo sistema e consulta gli esperti di cybersecurity per sapere quali strumenti hai a disposizione.

Molti di questi, come gli strumenti di bonifica da ransomware offerti da Bitdefender Labs, sono disponibili gratuitamente. Agire in modo rapido e deciso è fondamentale per prevenire l'ulteriore diffusione del ransomware, valutarne l'impatto e dare inizio alle procedure di bonifica.

Puoi usare il piano d'azione riportato di seguito come tabella di marcia per la bonifica in seguito a un attacco ransomware e rafforzare le tue difese sul lungo periodo. Illustra i passaggi chiave, dai segnali iniziali di un attacco all'analisi post-incidente, per aiutarti a ripristinare i sistemi colpiti e a rafforzare le tue misure di cybersecurity.

Isolamento e contenimento

La prima cosa da fare è limitare la capacità del malware di proliferare nella tua infrastruttura.

· Isola i dispositivi colpiti: scollega immediatamente l'hardware compromesso dalla rete, da Internet e da altri dispositivi connessi.

· Ferma la diffusione: interrompi ogni forma di connettività wireless (Wi-Fi, Bluetooth) e isola i dispositivi che mostrano un comportamento irregolare per evitare un'interruzione diffusa in tutta l'azienda.

Valutazione e identificazione: 

a questo punto, analizza a fondo l'impatto e l'origine dell'attacco per valutare le azioni successive da intraprendere.

· Valuta i danni: esamina i sistemi alla ricerca di file criptati o nomi di file anomali e raccogli le segnalazioni degli utenti che hanno problemi ad accedere ai file. Redigi un elenco completo dei sistemi compromessi.

· Individua il paziente zero: esamina le notifiche antivirus, le piattaforme EDR (Endpoint Detection and Response) e i lead human-generated, come le e-mail sospette, per individuare l'origine dell'infezione.

· Identifica la variante di ransomware: usa risorse per l'identificazione dei ransomware come Bitdefender Ransomware Recognition Tool o studia i dettagli della richiesta di riscatto per accertare il ceppo di ransomware con cui hai a che fare.nbsp.

Obblighi di legge: 

dopo le risposte tecniche immediate, è di fondamentale importanza occuparsi delle responsabilità imposte dalla legge.

· Informa le autorità: segnala l'incidente alle forze dell'ordine competenti. Questa azione non solo può essere utile per il recupero dei dati, ma a volte è necessaria per rispettare leggi come il CIRCIA (USA) o il GDPR (UE).

Recupero e ripristino:

una volta gettate le basi, occorre spostare l'attenzione sul ripristino dei sistemi compromessi, e accertarsi che il malware sia stato completamente estirpato.

· Valuta i tuoi backup: se sono disponibili backup aggiornati, avvia il ripristino del sistema, assicurandoti che gli strumenti antivirus e anti-malware eliminino tutto ciò che resta del ransomware prima di procedere al ripristino del sistema.

· Ricerca opzioni di decrittazione: in caso non siano disponibili backup, valuta se utilizzare strumenti di decrittazione gratuiti come quelli già citati di Bitdefender. Assicurati che ogni traccia del malware sia stata estirpata prima di tentare di decrittare i dati.

Bonifica del sistema e aggiornamenti di sicurezza: 

una volta neutralizzate le minacce immediate, l'enfasi dovrebbe ora essere posta sull'identificazione dei punti deboli e sul miglioramento dell'architettura di cybersecurity.

· Estirpa la minaccia: conduci un'analisi delle root-cause, meglio se sotto la guida di un esperto di cybersecurity di fiducia, per identificare tutte le vulnerabilità del sistema e rimuovere completamente la minaccia dal tuo network.

· Dare priorità al ripristino: concentrati innanzitutto sul ripristino dei sistemi più critici, tenendo in considerazione il loro effetto sulla produttività e sui flussi di entrate.

Opzioni finali e pianificazione futura 

Man mano che procedi verso la normalizzazione, tieni d'occhio le strategie a lungo termine per mitigare la probabilità di attacchi futuri.

· Ripristino o ricostruzione: se non hai alcun accesso ai backup o alle chiavi di decrittazione, potrebbe essere inevitabile ripristinare il sistema alle impostazioni predefinite o ricrearlo da capo.

· Non farti più trovare impreparato:: tieni presente che le vittime di ransomware precedenti sono più a rischio di subire ulteriori attacchi. Pertanto, l'audit successivo all'incidente dovrebbe essere incentrato sui potenziali aggiornamenti di sicurezza per mitigare i rischi futuri.

In conclusione, un approccio coordinato e informato alla fase di recovery può contribuire a ridurre i danni e ad accelerare il ritorno alle normali attività.

Come prevenire gli attacchi ransomware?

Privati e organizzazioni, sia grandi che piccole, devono vedersela con la crescente frequenza e con l'aumento del livello di sofisticazione degli attacchi ransomware. Eppure, l'impatto del ransomware può essere mitigato in modo significativo, se non del tutto prevenuto, grazie a un'oculata combinazione di interventi tecnologici e formazione sulla cybersecurity.

· Mantieni aggiornate le soluzioni di cybersecurity: un software di sicurezza informatica sempre aggiornato, che esegue attivamente scansioni e che offre una protezione in tempo reale contro varie forme di cyber-minacce, incluso il ransomware (tecnologia anti-ransomware).

· Fai sempre attenzione alle e-mail: presta attenzione quando ricevi e-mail con link o allegati. Implementa tecnologie avanzate anti-spam e di filtro per rafforzare la sicurezza delle tue e-mail.

· Adotta una solida strategia di backup: esegui costantemente il backup dei dati vitali, seguendo la cosiddetta strategia 3-2-1 (ovvero: tre copie dei tuoi dati, su due tipi diversi di supporto, con una copia conservata offline) per facilitare un ripristino rapido in caso di attacco.

· Sicurezza multilivello degli endpoint e della rete: utilizza sistemi avanzati di protezione degli endpoint insieme al monitoraggio in tempo reale e alla segmentazione della rete. Questo approccio limita la propagazione del ransomware e permette di identificare tempestivamente le attività anomale sulla rete.

· Least privilege e autenticazione a più fattori: implementa il "principio del privilegio minimo" nei controlli di accesso degli utenti e prevedi un'autenticazione a più fattori per aggiungere un ulteriore livello di sicurezza.

· Audit di sicurezza a cadenza regolare e pianificazione degli incidenti: valuta regolarmente la tua postura di sicurezza attraverso audit completi, compresi dei test sandbox, e mantieni un piano di risposta agli incidenti ben studiato per affrontare le vulnerabilità e reagire efficacemente a potenziali violazioni.

· Formazione e sensibilizzazione continue: investi in programmi di formazione continua sulla sicurezza per il tuo team, per renderlo consapevole di campanelli d'allarme come il social engineering e i tentativi di phishing, e trasformarlo così in un ulteriore livello di difesa.

Incorporando questi approcci diversificati nella strategia di cybersecurity, la tua organizzazione sarà meglio attrezzata per mitigare i rischi posti da attacchi ransomware sempre più sofisticati.

Proteggi la tua organizzazione dagli attacchi ransomware

Tutti i suggerimenti e le misure descritte in precedenza possono fallire, ecco perché gli esperti suggeriscono agli utenti domestici e aziendali di utilizzare soluzioni avanzate di sicurezza aziendale. Bitdefender offre prodotti su misura premiati e ritenuti i migliori da test indipendenti sia per le esigenze consumer che aziendali.

Nel panorama aziendale, i prodotti GravityZone di Bitdefender offrono soluzioni adattabili dalle piccole alle grandi imprese. Si tratta di soluzioni che incorporano meccanismi di prevenzione avanzata, tra cui capacità di Endpoint Detection and Response (EDR), tecnologie di protezione multilivello contro phishing, ransomware e attacchi privi di file, nonché prevenzione avanzata con contesto e segnalazione delle minacce.

Integrando le soluzioni di sicurezza di Bitdefender nella tua rete, puoi aumentare l'efficacia delle misure di sicurezza esistenti, come firewall e sistemi di prevenzione delle intrusioni. Ciò si traduce in una difesa completa e resiliente contro le minacce malware, rendendo più difficile per gli aggressori penetrare nei sistemi.

Domande frequenti

I ransomware rubano dati?

I ransomware si concentrano principalmente sul crittografare i dati per renderli inaccessibili, piuttosto che sul rubarli.

Tuttavia, esistono nuove varianti di ransomware che si sono evolute finendo per includere tattiche come l'esfiltrazione dei dati e la minaccia di renderli pubblici a meno che non venga pagato un riscatto. Questo approccio viene talvolta definito "doppia estorsione".

Quindi, nonostante la funzione principale del ransomware sia quella di crittografare i dati, alcune varianti si dedicano al furto di dati come ulteriore tattica da usare a proprio vantaggio.

È possibile decrittare i ransomware?

La possibilità di decrittare i file colpiti da ransomware dipende da diversi fattori, tra cui la specifica variante di ransomware coinvolta e la disponibilità di strumenti per farlo.

Per alcuni ceppi di ransomware più risalenti o meno sofisticati, le aziende e i ricercatori di cybersecurity hanno sviluppato strumenti di decrittazione gratuiti che possono aiutare a recuperare i dati. Tuttavia, per varianti più recenti o più avanzate, può essere estremamente difficile o virtualmente impossibile decrittare i dati senza la chiave univoca in possesso degli aggressori.

Qui puoi trovare gli strumenti gratuiti di Bitdefender attualmente disponibili.

I ransomware possono prendere di mira archivi cloud?

Sì, i ransomware possono prendere di mira archivi cloud. Anche se i provider di questi servizi adottano robuste misure di sicurezza per proteggere i dati, non sono completamente immuni dagli attacchi ransomware. Se il dispositivo endpoint di un utente è compromesso e dispone di privilegi di sincronizzazione con l'archiviazione cloud, i file crittografati o compromessi possono sovrascrivere quelli integri presenti nel cloud.

Inoltre, alcune varianti avanzate di ransomware sono progettate per cercare e crittografare le unità di rete e le risorse di archiviazione cloud a cui il sistema infetto può accedere. Di conseguenza, affidarsi esclusivamente all'archiviazione cloud per difendersi dal ransomware non è una strategia infallibile: è indispensabile adottare anche ulteriori misure di protezione.