In questo articolo ci occuperemo degli attacchi ransomware, virus informatici sempre più diffusi e che prendono di mira aziende di ogni tipo e dimensione, bloccandone le attività, previo garantirne il ripristino dietro pagamento di un riscatto. Al fine di proteggere e garantire la sicurezza dei dati aziendali, è fondamentale capire come funziona il ransomware, cosa fare se si subisce un attacco e, soprattutto, quali sono le buone pratiche da adottare per prevenire l’attacco.
Ransomware: che cos’è
Il ransomware è un malware (ovvero un software dannoso) attraverso il quale gli hacker criptano file informatici, bloccandone l’accesso, e chiedendo alla vittima di pagare un riscatto per decriptare tali file, rendendoli nuovamente accessibili.
Per com’è concepito, il ransomware è quindi definibile come una forma di estorsione digitale.
Ransomware: significato
Il termine “ransomware” deriva dal vocabolo inglese “ransom”, che vuol dire “riscatto”.
Qual è l’obiettivo di un attacco ransomware
Come già spiegato, attraverso un attacco ransomware, gli hacker cercano di estorcere denaro (di solito in cripto valute) dalla vittima, mettendo in atto un vero e proprio ricatto. Le cifre richieste sono spesso molto alte: dalle iniziali centinaia di dollari, oggi le cifre sono salite a milioni di dollari.
Ransomware: le tipologie
Esistono due tipologie principali di ransomware:
crittografico
locker
Ransomware crittografico o Crypto ransomware
Il criminale informatico crittografa i dati o i file sensibili della vittima designata, così che quest’ultima non vi possa accedere, se non avendo a disposizione un codice per decrittografare il file, codice ottenibile solo dietro pagamento di un riscatto in denaro.
Ransomware locker
Spesso utilizzata per i dispositivi mobili, questa forma di ransomware non prevede la crittografia. Il cyber criminale blocca la vittima dal dispositivo e gli invia una richiesta di riscatto su schermo affinché possa ottenere di nuovo l’accesso.
A loro volta, queste 2 tipologie di ransomware sono suddivise in altre sottocategorie.
Leakware o Doxware: una forma di ransomware a doppia estorsione in cui, oltre a crittografare i file, i criminali informatici rubano i dati sensibili della vittima, minacciandola di renderli pubblici in caso di mancato pagamento del riscatto
Scareware: i cybercriminali, facendo leva sulla manipolazione psicologica e sulla mancata conoscenza tecnologica, inviano alla vittima un messaggio in cui la stessa viene avvisata del fatto che il dispositivo è infetto da malware o presenta vulnerabilità. Ovviamente, per “risolvere” tali presunti problemi, viene richiesto un pagamento
Wiper: la forma più distruttiva di ransomware, dal momento che i malintenzionati, anziché crittografare i file, minacciano l’eliminazione o la corruzione permanente dei dati della vittima se non viene pagato il riscatto
Ransomware mobile: ransomware che attaccano i dispositivi mobili, diffondendo app dannose o messaggi di phishing che bloccano il dispositivo e visualizzano i messaggi di riscatto
Ransomware: come funziona
Vediamo i principali passaggi di un attacco ransomware.
1 – Accesso
Per prima cosa, i criminali informatici devono trovare il modo per accedere ai dati sensibili di un’azienda. Il metodo più diffuso ed utilizzato è il phishing. In pratica, quindi, gli hacker utilizzano una mail o un SMS per indurre la vittima a scaricare un malware, cliccando su un link o scaricando un allegato.
2 – Crittografia dei dati
Una volta che la vittima ha scaricato il ransomware, questo analizza i sistemi di archiviazione locali e di rete, andando a cercare file che si ritengono importanti per l’azienda, compresi i file di backup, essenziali per recuperare le informazioni. Di solito, il ransomware va a colpire tipi di file, quali:
Microsoft Office (.docx,.xlsx, .pptx e le versioni più vecchie)
Immagini (.jpeg, .png, .gif)
Video: (.mp4, .avi, .m4a)
Dati: (.sql e .ai)
Una volta individuati tali file, li crittografa, e crea una chiave di decrittografia.
3 – Richiesta di riscatto
A questo punto, il ransomware invia un messaggio alla vittima, in cui spiega che i dati dei suoi file sono stati crittografati e quindi ormai non più utilizzabili. Per avere il codice di decrittografia richiede il pagamento di un riscatto (in genere in criptovaluta). Se il pagamento non viene eseguito in tempi rapidi, il gestore del malware aumenta la cifra del riscatto. È bene sapere che spesso, anche se l’azienda caduta vittima della truffa paga il riscatto, il cyber criminale non invia comunque il codice per la decriptazione.
Ransomware: come si prende
Ci sono vari modi per prendere questo tipo di virus informatico.
Mail di phishing: la modalità più diffusa (oltre il 75%), che consiste nell’invio di un messaggio, in cui si invita il destinatario a scaricare un allegato o a cliccare su un link. Spesso, per trarre in inganno la vittima, viene fatto in modo che il messaggio di posta elettronica sia inviato da un mittente noto e fidato
Java o altri sistemi operativi: in questo caso, il ransomware si propaga autonomamente senza bisogno che l’utente compia alcun tipo di azione
Drive-by download: la navigazione su siti compromessi, all’interno dei quali i software malevoli sono stati introdotti, ad esempio sotto forma di banner pubblicitari o pulsanti che invitano a cliccarci sopra, e che poi indirizzano su siti malevoli, dove avviene il download del malware
Baiting: il software malevolo è contenuto all’interno di un supporto rimovibile (come ad es. una chiavetta USB) “casualmente dimenticato” in un luogo di passaggio, in modo che attiri l’attenzione di chi si aggira in zona
Bundle: il ransomware è nascosto all’interno di altri software che vengono scaricati per ottenere un vantaggio; il caso più classico è quello dei programmi gratuiti che promettono di “crackare” software costosi, per poterli così utilizzare gratuitamente
Ransomware: le conseguenze di un attacco
Un attacco ransomware può provocare gravi conseguenze di vario tipo.
Blocco dell’accesso ai propri file che sono stati colpiti
Interruzione immediata delle operazioni
Inattività anche per periodi di tempo prolungati, che vanno ad influire negativamente sulla produttività dell’azienda
Danni economici, sia per il pagamento di riscatto che per la perdita di ricavi causata dal periodo di inattività
Danni reputazionali, a causa della perdita di fiducia che l’immagine dell’azienda può subire, agli occhi di clienti e partner
Attacco ransomware: cosa fare se si è subito un attacco
Se si è caduti vittima di un attacco ransomware, per prima cosa è fondamentale avvertire immediatamente il proprio tecnico e consulente informatico di fiducia, il quale valuterà la possibilità di fornire una prima assistenza anche da remoto.
In ogni caso, ecco le operazioni da eseguire.
Isolare i dati compromessi, provvedendo immediatamente a scollegare i sistemi infettati dalla rete staccando il cavo di rete dal computer, così da evitare che il ransomware possa diffondersi ad altre aree della rete
Rimuovere il ransomware con un programma antimalware
Decrittografare i file (se possibile) o, in alternativa, ripristinare i file dai backup
Segnalare l’attacco alle forze dell’ordine locali
In ogni caso, MAI pagare il riscatto, anche perché non vi è alcuna garanzia del rilascio della chiave di decrittografia a seguito del pagamento di riscatto. Inoltre, pagare il riscatto è segno di vulnerabilità e si rischia di essere presi di mira per attacchi futuri.
Come prevenire i ransomware
Gli attacchi ransomware sono molto comuni e, per giunta, gli autori sanno sempre escogitare nuove tecniche per aggirare le misure di cybersecurity. In ogni caso, è sempre bene proteggere i propri dati mettendo a punto alcune strategie per ridurre il rischio di essere infettati da questi virus.
Firewall
I firewall sono uno strumento molto potente: in base alle impostazioni, prima di aprire un software sospetto, chiede il permesso all’utente per potersi connettere a Internet.
Monitoraggio di rete ed endpoint
Attraverso il monitoraggio vigile è possibile registrare il traffico in entrata e in uscita, e scansionare i file sospetti ricercando prove di attacco.
Aggiornamenti antivirus frequenti
Per proteggere i propri dispositivi è importante aggiornarli periodicamente con adeguate protezioni antivirus efficaci contro nuove minacce informatiche. È importante programmare gli aggiornamenti automatici e fare attenzione agli avvisi di aggiornamento.
Backup
Di per sé, il backup non può prevenire gli attacchi; tuttavia, è l’unico strumento che permette di salvare i dati e averne una copia. Periodicamente, è quindi molto importante eseguire un backup completo, salvando i dati su un supporto esterno.
Corsi di formazione per i dipendenti
I dipendenti di un’azienda devono essere adeguatamente istruiti e dotati delle giuste conoscenze per prevenire gli attacchi ransomware, insegnando loro a riconoscere i segnali di phishing e altri attacchi ransomware.
Honeypot
Honeypot funziona come una esca: si tratta di falsi repository di file progettati in modo tale da attirare i cybercriminali. Tuttavia, se un hacker ransomware segue il tuo honeypot, questo ti permette di rilevarlo e bloccare l’attacco.
Ed infine, ecco altre raccomandazioni da tenere presenti nell’utilizzo quotidiano del computer.
Fare attenzione alle email sospette, anche se provengono da indirizzi noti
Mai aprire gli allegati inclusi in una email dalla provenienza dubbia
Configurare le impostazioni delle e-mail per impedire che le e-mail dannose entrino nelle caselle di posta in arrivo
Essere molto cauti prima di cliccare su banner o finestre pop-up che compaiono all’interno di siti non sicuri
Configurare Office per non consentire l’esecuzione di macro nei suoi applicativi (Word, Excel e PowerPoint)
Abilitare l’opzione “Mostra estensioni nomi file”: i file potenzialmente pericolosi hanno estensione .exe, .jar, .zip, .scr, .js…
Se possibile, evitare l’inserimento di chiavette USB, CD/DVD o altri supporti esterni nel proprio computer, se tali supporti sono di provenienza dubbia. Alcune aziende hanno disattivato l’accesso alla porta USB dai computer dei dipendenti se questi non sono correttamente formati su un uso attento e consapevole dei supporti rimovibili
Installare servizi Antispam efficaci ed evoluti
Implementare soluzioni UBA (User Behavior Analytics) con sistemi IDS, IPS ed EDR utili per rilevare eventi “anomali” (ad es. l’accesso ad indirizzi IP classificati come malevoli, un traffico dati insolitamente superiore…) e bloccare l’eventuale attacco
Implementare l’utilizzo di Sandboxing, che analizzano i file sospetti in entrata
Evitare l’utilizzo del Remote Desktop Protocol o, perlomeno, proteggere l’accesso impostando password forti, meglio se con sistema di doppia autenticazione
Proteggiti dagli attacchi ransomware | Affidati a CIP Informatica
Come detto fin dall’inizio, il ransomware è la forma di attacco informatico più diffusa, e i ricercatori della sicurezza prevedono che nei prossimi anni – complice anche l’avanzare dell’intelligenza artificiale – continuerà a crescere, sia in frequenza che in complessità.
Uno specialista IT è in grado di identificare, individuare ed eliminare il ransomware. Per questo, per la sicurezza del tuo sistema informatico aziendale, è importante affidarsi ad un tecnico competente ed affidabile come Gianpaolo Minardi della CIP – Consulenza Informatica e Progettazione, azienda specializzata in consulenza e assistenza informatica.
Contatta la CIP – Consulenza Informatica e Progettazione compilando l’apposito modulo dei contatti e sarai ricontattato in breve tempo per fissare un appuntamento.
Dopo aver eseguito un check up analitico della tua rete IT, Gianpaolo Minardi offre una consulenza personalizzata, comprensiva della valutazione dei rischi, per individuare la strategia di cybersecurity più efficace, utile a garantire la sicurezza dei dati sensibili della tua realtà aziendale, salvaguardando così il tuo business.