Go to Top

Attacchi ransomware: tutto quello che devi sapere

Attacchi ransomware, tutto ciò che devi sapere

Negli ultimi anni, il tasso di criminalità informatica è cresciuto a ritmi allarmanti. Sfortunatamente, l’avanzare della tecnologia va di pari passo con il diffondersi del crimine informatico.

Secondo il Cyber Security Breaches Survey, il 43% delle società è stato vittima di qualche forma di violazione della sicurezza informatica nel 2018. Nell’anno precedente, invece, lo stato della California ha perso più di $ 214 milioni a causa del crimine informatico.

Solo poche settimane fa si parlava dell’attacco che ha riempito i titoli dei giornali, Collection #1. Pur avendo le stime relative solo all’ultimo anno, possiamo dire che il crimine informatico ha generato almeno 1,5 trilioni di dollari: non c’è da stupirsi che la situazione stia generando delle preoccupazioni.

Ci sono molte forme di crimine informatico, dai phishing scam, alle frodi via Internet al cyberstalking. In questo blog ci concentreremo sui ransomware.

Cosa sono i ransomware?

Il ransomware è una forma di software dannoso, ideato per bloccare l’accesso a un computer o per pubblicare online i dati personali di una vittima. L’hacker chiede un riscatto alla vittima, promettendo – non sempre con sincerità – di ripristinare l’accesso ai dati dopo il pagamento.

Sul finire degli anni 80, sono spuntati vari ransomware Trojan, ma le opportunità per gli hacker sono aumentate notevolmente con l’introduzione dei Bitcoin. Questa criptovaluta consente agli hacker di ottenere facilmente denaro dalle proprie vittime senza dover passare dai canali tradizionali.

Da dove provengono i ransomware?

I ransomware sono stati creati da scammer molto esperti nella programmazione informatica. Il ransomware può penetrare nel computer attraverso un allegato e-mail, tramite la rete o attraverso il browser se si visita un sito web infettato con questo tipo di malware.

Come funziona il ransomware?

Phishing

Il sistema di diffusione più comune per i ransomware è rappresentato dal phishing spam: allegati che arrivano nella posta elettronica della vittima, sotto forma di file affidabile. Secondo le ricerche effettuate da Trend Micro, una società di sicurezza software, il 91% degli attacchi informatici e relative violazioni inizia con un’e-mail di phishing.

Una volta che l’allegato è stato scaricato e aperto, il malware può assumere il controllo del computer della vittima, criptando alcuni file dell’utente. Quando ciò accade, l’unico modo per decriptare i file è quello di utilizzare una chiave matematica nota solo all’hacker.

Si sono verificati anche dei casi in cui il malware mostra un messaggio in cui afferma che il sistema ‘Windows’ dell’utente è bloccato. L’utente è quindi incoraggiato a chiamare un numero di telefono “Microsoft” e a inserire un codice a sei cifre al fine di riattivare il sistema. Secondo il messaggio la telefonata è gratuita, ma non è vero: mentre chiama la finta “Microsoft”, l’utente accumula spese come se stesse effettuando una telefonata interurbana.

comcast-phishing_email
(Esempio di e-mail phishing – http://www.malwarehelp.org/screenshots-of-phishing-email-messages.html)

Doxware

Un altro malware è chiamato leakware o doxware.

In questo caso l’hacker minaccia di divulgare i dati sensibili presenti sul disco rigido della vittima a meno che non venga pagato un riscatto. Spesso il target sono le e-mail e i documenti Word, ma si sono verificati anche casi in cui sono stati divulgati i messaggi privati, le immagini e le rubriche dei telefoni degli utenti.

Doxware è noto per essere più efficace dei ransomware in relazione al pagamento del riscatto da parte della vittima. Con i ransomware, si possono conservare backup separati dei dati cui non è più possibile accedere, ma con doxware, una volta che un hacker è entrato in possesso delle informazioni che la vittima non intende rendere pubbliche, non resta molto altro da fare che pagare.

Non è solo il riscatto a essere costoso!

Saresti probabilmente portato a pensare che pagare un riscatto per avere accesso ai tuoi dati sia già abbastanza irritante, ma potrebbe essere niente in confronto all’importo dei danni effettivi derivanti da un attacco.

Tra questi ultimi si potrebbero includere:

  • Danni e distruzione (o perdita) di dati
  • Mancata produttività
  • Interruzione post-attacco del normale corso del business
  • Indagini forensi
  • Ripristino e cancellazione dei dati e dei sistemi presi in ostaggio
  • Danno alla reputazione
  • Formazione dei dipendenti in risposta agli attacchi

Se si prende in considerazione quanto esposto in precedenza, non c’è da stupirsi che, secondo le previsioni, i danni derivanti da ransomware potranno arrivare a un importo di $ 11,5 miliardi quest’anno e, inoltre, si verificheranno attacchi ogni 14 secondi entro la fine di quest’anno, rispetto alla frequenza di un attacco ogni 40 secondi dello scorso anno.

Pagare o non pagare

Quando parli con gli esperti di crimine informatico, la maggior parte ti sollecita a non pagare i riscatti perché finanziare gli hacker potrà solo contribuire a creare più ransomware.

Tuttavia, molte aziende non seguono questo consiglio dopo aver messo a confronto il costo di avere dei dati criptati con il pagamento richiesto. L’anno scorso, negli Stati Uniti, il 45% delle aziende colpite da ransomware ha pagato gli hacker.

Ma perché?!

Anche se si consiglia alla comunità, nel suo senso più ampio, di non pagare i riscatti dei ransomware, il rifiuto di pagare potrebbe non essere la migliore soluzione per il business stesso. In particolare quando c’è la possibilità che il business possa perdere in maniera permanente l’accesso a dati vitali, incappare in sanzioni da parte delle autorità o dover abbandonare del tutto l’attività. Per molti è quasi scontata la scelta tra pagare un riscatto relativamente modesto e rimanere in affari oppure rifiutare di pagare per aiutare la comunità.

In alcuni casi di attacco con ransomware, il riscatto richiesto ammonta spesso a una cifra che ha comunque un valore per l’hacker, ma, allo stesso tempo, è sufficientemente bassa da risultare più conveniente per una vittima rispetto ai costi da sostenere per ricostruire i dati perduti. Talvolta sono anche offerti degli sconti se la vittima paga entro un certo periodo di tempo, per esempio 3 giorni.

A questo riguardo, alcune aziende stanno in effetti mettendo da parte delle riserve di Bitcoin proprio per pagare eventuali riscatti. Ciò si sta verificando in particolare nel Regno Unito, dove le organizzazioni sembrano più propense a pagare i riscatti. Secondo Gotham Sharma, managing director di Exeltek Consulting Group, “circa un terzo delle società inglesi di medie dimensioni riferisce di avere a disposizione dei Bitcoin per affrontare eventuali emergenze relative ai ransomware nel caso in cui non siano immediatamente percorribili altre strade.”

Cosa fare in caso di infezione da ransomware

Se sei stato infettato da un ransomware, per prima cosa devi cercare di scoprire quale tipo di ransomware.

Se non riesci a eliminare un messaggio ransomware dallo schermo, probabilmente sei stato colpito da uno screen-locking ransomware.
Se navighi tra le app ma non riesci ad aprire i file, i video ecc. sei stato colpito da un encrypting ransomware, il peggiore.
Se puoi navigare nel tuo sistema e leggere tutti i file, allora sei stato probabilmente colpito da un fake che sta semplicemente cercando di spaventarti per indurti a pagare.

Per consultare un blog che entra nei dettagli riguardo a ciò che occorre fare quando si è colpiti da uno screen-locking o da un encrypting ransomware fai clic qui.

Come prevenire i ransomware?

  1. Assicurati di avere il backup di tutti i tuoi file. In questo modo, nel caso accada qualcosa, il ripristino dei file da un backup è il modo più veloce per riottenere l’accesso ai tuoi dati.
  2. Quando rispondi a e-mail, telefonate indesiderate, messaggi di testo o chat, non fornire informazioni personali. I phisher possono indurre i dipendenti a installare dei malware o ottenere informazioni affermando di essere del reparto IT.
  3. Assicurati di avere un software antivirus affidabile e un firewall. Ci sono molti software poco efficaci sul mercato, pertanto è fondamentale che l’antivirus e il firewall siano adeguati per garantirti la sicurezza contro le minacce malware.
  4. Assicurati che i contenuti siano verificati e filtrati sul mail server. Ogni e-mail in entrata dovrebbe essere verificata per le minacce conosciute mentre le tipologie di allegati che potrebbero rappresentare una minaccia dovrebbero essere bloccati.
  5. Se sei in viaggio per lavoro, assicurati di informare in anticipo il reparto IT, in particolare nel caso ti sia possibile utilizzare reti Internet wireless pubbliche. Assicurati di avere una Virtual Private Network (VPN) affidabile quando accedi agli spot Wi-Fi pubblici.
  6. Assicurati che tutti i software del tuo computer siano aggiornati, inclusi il sistema operativo, il browser e qualsiasi plug-in in uso.

Leggi i precedenti articoli del nostro blog per sapere come proteggere la tua azienda dal crimine informatico.

Ontrack e ransomware

In Ontrack tracciamo costantemente 271 tipi differenti di Ransomware. I ransomware cambiano e si sviluppano in continuazione, pertanto vogliamo essere sicuri di osservare e studiare le modifiche e i cambiamenti più recenti.

Lo studio dei ransomware e delle loro forme in continua evoluzione ci mette in condizione di avere maggiori probabilità di recuperare i dati che sono andati perduti in conseguenza di un attacco.

Attualmente, siamo in grado di gestire 138 tipi di ransomware. Un paio di anni fa ne potevamo gestire soltanto 6: abbiamo fatto molta strada da allora!

Quando si ha a che fare con dati inaccessibili, è sempre bene contattare un esperto. Se sei sotto attacco da parte di un ransomware, contatta una società esperta come Ontrack, che ha potenzialmente la capacità di aiutarti a riottenere l’accesso ai tuoi dati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *