Che cos’è un ransomware?
Ci sono molti tipi di malware in circolazione, uno dei quali è il ransomware.
Il ransomware è un programma informatico dannoso (malware) che può “infettare” un dispositivo (PC, tablet, smartphone, ecc.), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file e così via)
Gli autori dell’attacco informatico richiedono un riscatto (in inglese appunto “ransom”) da pagare per ottenere la chiave di decrittazione digitale necessaria per l’accesso.
Come si diffondono i ransomware
Il ransomware può accedere al vostro computer utilizzando una delle tecniche più comuni.
- Scaricando illegalmente musica e film: spesso i download sono contaminati da malware.
- E-mail di phishing: e-mail truffaldine che cercano di indurre la vittima a visitare un sito web fraudolento o ad aprire un allegato dannoso e infetto.
- Sfruttamento le debolezze del sistema: ad esempio, il Remote Desktop Protocol (RDP) è una tecnologia che consente ai dipendenti di un’azienda di accedere alle strutture informatiche dell’ufficio quando sono a casa o in viaggio. In passato sono sono emerse diverse vulnerabilità nell’implementazione di RDP, che sono state debitamente sfruttate e utilizzate per diffondere ransomware.
Come funziona un ransomware?
Tutti i ransomware causano (o simulano) un problema e richiedono un pagamento per eliminarlo. Come per tutte le minacce informatiche, questa tipologia di malware presenta diversi livelli di sofisticazione.
Ci sono diversi tipi di ransomware, ma i più diffusi sono:
Scareware
Lo scareware utilizza po-pup di avviso che segnalano la presenza di virus fasulli e tattiche di social engineering per indurre l’utente a pensare che ci sia qualcosa che non va nel suo computer.
L’obiettivo è manipolare le vittime per spingerle a pagare per un software inutile che può rivelarsi un malware a tutti gli effetti.
Screen Locker
Questo tipo di attacco visualizza una finestra a schermo intero che non è possibile aggirare o chiudere. Il messaggio visualizzato è una variazione di alcuni temi comuni.
– Siete stati colpiti da un ransomware, pagate il riscatto per eliminarlo.
– L’FBI o un’altra autorità di polizia ha rilevato download illegali, software pirata, pornografia criminale, ecc. sul vostro computer. Pagate la multa per ripristinare le condizioni di funzionamento del vostro computer.
Naturalmente, se una di queste ipotesi fosse vera, si seguirebbe il giusto processo e si riceverebbe un avviso ufficiale o la visita di un agente, non un messaggio sul portatile.
Ransomware di crittografia
Si tratta di una nuova temibile evoluzione del ransomware che utilizza programmi in grado di crittografare i vostri file.
Spesso rimangono nella rete per settimane prima di attivarsi, in modo da essere sicuri di aver infettato il maggior numero possibile di computer.
Inoltre, dal momento che questi ransomware infettano anche i backup, se si decide di ripristinare il sistema anziché pagare il riscatto, insieme ai dati si riattiva anche l’infezione.
Chi sono i bersagli più comuni del ransomware?
Alcuni attacchi sono mirati, altri sono infezioni casuali provenienti da e-mail di phishing inviate a milioni di indirizzi per infettare il maggior numero possibile di computer.
- Gli attacchi del 2019 ai servizi essenziali di città come Baltimora, MD, Riviera Beach, FL, Wilmer, TX, e New Bedford, MA, sono stati mirati, studiati e progettati per avere il massimo impatto possibile.
- Le strutture ospedaliere sono spesso prese di mira perché, con le vite in gioco, i riscatti vengono subito pagati per ripristinare i sistemi il più rapidamente possibile.
- Un altro settore comunemente preso di mira è quello finanziario, semplicemente perché ha i fondi necessari per pagare riscatti enormi.
Tuttavia, la maggior parte degli attacchi colpisce vittime di cui i cybercriminali non conoscono nemmeno l’esistenza, fino a quando il ransomware non si attiva.
Come proteggersi dal Ransomware
Di seguito elenchiamo le migliori pratiche di sicurezza informatica che dovrebbero essere adottate e seguite per proteggersi dagli attacchi ransmware.
- Mantenete tutti i sistemi operativi delle vostre postazioni di lavoro, dei vostri laptop e dei vostri server aggiornati con patch. In questo modo si riduce il numero di vulnerabilità dei sistemi. Minori sono le vulnerabilità, minori sono i possibili attacchi informatici.
- Non utilizzate i permessi di amministrazione per scopi diversi dall’amministrazione.
- Installate un software di protezione degli end-point gestito centralmente, che includa funzionalità antivirus e antimalware, e tenetelo aggiornato.
- Eseguite frequenti backup su supporti diversi, compresi quelli fuori sede. Questo non impedirà l’infezione, ma favorirà il ripristino del sistema. Verificate regolarmente i vostri backup.
- Creare un piano di disaster recovery, ottenere il consenso dei dirigenti e implementare tutto ciò che è possibile per aumentare la capacità di funzionamento dell’azienda in caso di attacco.
- Create una policy per la gestione degli attacchi informatici e provatela.
- Fornite una formazione informatica aggiornata al vostro personale.
Dovreste pagare il riscatto?
La maggior parte delle forze dell’ordine e delle agenzie governative che si occupano di sicurezza informatica consiglia di non pagare il riscatto e di segnalare l’attacco.
Pagare il riscatto significa incoraggiare i criminali informatici a perpetrare i loro attacchi. Se nessuno paga, secondo la logica, il ransomware sarà inutile e si estinguerà.
Nella foga del momento, quando si cerca di soppesare il costo del riscatto rispetto ai costi associati al mancato pagamento, la decisione è difficile. Bisogna considerare il prezzo complessivo per la pulizia o la sostituzione delle apparecchiature, la ricostruzione e il ripristino dei sistemi aziendali e la perdita di fatturato.
A volte è la paura – e il costo – del danno alla reputazione che spinge le aziende a pagare il riscatto. Le aziende vogliono proteggere la loro posizione agli occhi dei clienti e del mercato in generale, attribuendo la breve interruzione a problemi tecnici.
Vale la pena sottolineare che ci sono casi in cui il riscatto è stato pagato, ma c’è voluto più di un mese perché la chiave venisse consegnata alla vittima. In questi casi, è difficile tenere nascosto l’attacco ransomware.
Anche se è difficile fare una stima, il 65% circa degli attacchi ransomware non viene denunciato e i riscatti vengono pagati.
In alcuni casi, i cybercriminali hanno chiesto pagamenti di oltre 5 milioni di dollari, ma in genere i riscatti sono molto più bassi. Questo li rende accessibili alle PMI medie e più economici dei costi associati al mancato pagamento.
Alcuni ransomware tengono conto anche della posizione geografica e adattano il prezzo in base all’economia del Paese della vittima.
Ma la domanda principale è: si riavranno i propri dati?
Secondo le stime, nel 65-70% dei casi i dati vengono decifrati con successo, ma non è raro che gli autori dell’attacco scappino con il maltolto.
In fondo si tratta pur sempre di criminali, ma è chiaro che questi comportamenti sono controproducenti perché una volta che si viene a sapere che non si riavranno i propri dati, nessuno pagherà il riscatto. Quindi, per i cybercriminali è economicamente sensato decriptare i file della vittima ogni volta che possono.
A volte può però capitare che le routine di decriptazione semplicemente non funzionino.
È facile fare la morale e dire di non pagare, altra cosa è trovarsi nel bel mezzo di un incidente che potrebbe far fallire la propria azienda.
Come dice il proverbio: non sono un medico, ma so che prevenire è meglio che curare.