Che cos'è il ransomware?

Il ransomware è disponibile in due forme principali: ransomware crittografico e ransomware locker, che sono ulteriormente suddivisi in diversi sottotipi.

Crypto ransomware
In un attacco ransomware crittografico, l'utente malintenzionato crittografa i dati o i file sensibili di una vittima in modo che non possa accedervi a meno che non paghi un riscatto richiesto. In teoria, una volta che la vittima paga, l'utente malintenzionato passa una chiave di decrittografia che gli consente di accedere ai file o ai dati, ma non esiste alcuna garanzia. Molte organizzazioni hanno perso definitivamente l'accesso ai file anche dopo aver pagato il riscatto.

Locker ransomware
Nel ransomware locker, gli utenti malintenzionati bloccano una vittima dal dispositivo e gli presentano una richiesta di riscatto su schermo con istruzioni su come pagarlo per ottenere nuovamente l'accesso. Questa forma di ransomware in genere non prevede la crittografia, quindi una volta che la vittima riottiene l'accesso al proprio dispositivo, tutti i file e i dati sensibili sono preservati. Il ransomware locker viene comunemente usato nei dispositivi mobili.

Queste due forme principali di ransomware rientrano nei sottotipi seguenti:

Scareware
Il malware usa la paura per fare in modo che le persone paghino un riscatto. In questi tipi di cyberattacchi, gli utenti malintenzionati si comportano come forze dell'ordine e inviano un messaggio alla vittima che li minaccia di un delitto e richiedono un'azione legale.

Doxware
In Doxware, gli utenti malintenzionati rubano informazioni personali e minacciano di rivelarle pubblicamente se non viene pagato un riscatto.

Ransomwar a doppia estorsione
Nel ransomware a doppia estorsione, gli utenti malintenzionati non solo crittografano i file, ma rubano anche i dati sensibili e minacciano di rilasciarli pubblicamente se il riscatto non viene pagato.

Wiper
I wiper minacciano di eliminare i dati della vittima se non paga il riscatto.

La maggior parte degli attacchi ransomware segue un processo in tre passaggi.

1. Ottenere l'accesso
Gli utenti malintenzionati usano vari metodi per ottenere l'accesso ai dati sensibili di un'azienda. Uno dei più comuni è il phishing, ovvero quando i criminali informatici usano posta elettronica, SMS o telefonate per indurre le persone a fornire le proprie credenziali o a scaricare malware. Gli utenti malintenzionati prendono di mira anche i dipendenti e altri utenti utilizzando siti Web dannosi che usano un kit di exploit per scaricare e installare automaticamente malware nel dispositivo della vittima.

2. Crittografare i dati
Una volta che gli utenti malintenzionati ottengono l'accesso ai dati sensibili, copiano e distruggono il file originale insieme ai backup a cui hanno fatto accesso. Crittografano quindi la copia e creano una chiave di decrittografia.

3. Richiedere un riscatto
Dopo aver reso i dati inaccessibili, il ransomware recapita un messaggio tramite una casella di avviso che spiega che i dati sono stati crittografati e viene richiesta una somma di denaro, in genere in criptovaluta, in cambio della chiave di decrittografia. Gli utenti malintenzionati dietro questi attacchi potrebbero anche minacciare di rilasciare i dati al pubblico se la vittima rifiuta di pagare.

Oltre all'interruzione immediata delle operazioni, le conseguenze di un attacco ransomware possono includere perdite finanziarie significative, danni alla reputazione e sfide operative a lungo termine.

Implicazioni finanziarie
Il costo del pagamento di un riscatto può essere notevole, spesso raggiungendo i milioni di dollari e non c'è garanzia che gli utenti malintenzionati forniscano la chiave di decrittografia o che funzioni correttamente.

Anche quando le organizzazioni rifiutano di pagare il riscatto, possono comunque verificarsi costi finanziari elevati. L'interruzione causata da un attacco ransomware può causare tempi di inattività prolungati, che influiscono sulla produttività e potrebbero comportare una perdita di ricavi. Il ripristino da un attacco comporta spese aggiuntive, tra cui il costo di indagini forensi, spese legali e investimenti in misure di sicurezza migliorate.

Danni alla reputazione
Clienti e partner potrebbero perdere la fiducia in un'azienda compromessa, causando un calo della fedeltà dei clienti e una potenziale perdita di attività future. Gli attacchi di alto profilo spesso attraggono l'attenzione dei media, il che può danneggiare la reputazione e l'immagine del marchio di un'azienda.

Problemi operativi
Anche con i backup, esiste il rischio di perdita o danneggiamento dei dati, che può influire sulla continuità aziendale e sull'efficienza operativa. Le aziende potrebbero anche subire penali legali e normative per il mancato rispetto della protezione dei dati sensibili, soprattutto se sono soggette a normative sulla protezione dei dati come le Regolamento generale sulla protezione dei dati nell'Unione Europea o il California Consumer Privacy Act.

Molti degli attacchi ransomware gestiti dall'uomo più di alto profilo sono condotti da gruppi ransomware, che operano usando un modello di business ransomware come servizio.

 

• Dopo la sua comparsa nel 2019, LockBit ha preso di mira diversi settori, tra cui servizi finanziari, assistenza sanitaria e produzione. Questo ransomware è noto per la sua capacità di auto-propagarsi all'interno delle reti, rendendolo particolarmente pericoloso. Le consociate di LockBit sono state responsabili di numerosi attacchi di alto profilo, usando tecniche sofisticate per crittografare i dati e richiedere riscatti. 
• Gli attacchi di BlackBytecomportano spesso una doppia estorsione, in cui i criminali informatici crittografano ed esfiltrano i dati, minacciando di pubblicare i dati rubati se il riscatto non viene pagato. Questo ransomware è stato usato per indirizzare i settori critici dell'infrastruttura, inclusi i servizi pubblici e finanziari.
• Il gruppo dietro il ransomware Hive attivo tra giugno 2021 e gennaio 2023, utilizzava una doppia estorsione e in generale ha colpito principalmente gli istituti pubblici e infrastrutture critiche, incluse le strutture sanitarie. Nel 2022, l'FBI si è infiltrata nella rete Hive, acquisendo le chiavi di decrittografia e impedendo oltre 130 milioni di USD di richieste di riscatto. 
• Il ransomware Akira è un malware sofisticato attivo dall'inizio del 2023 e destinato a sistemi Windows e Linux. Gli utenti malintenzionati usano Akira per ottenere l'accesso iniziale tramite vulnerabilità nei servizi VPN, in particolare quelli senza autenticazione a più fattori. Dopo la sua comparsa, Akira ha avuto un impatto su più di 250 organizzazioni e ha richiesto circa 42 milioni di USD in proventi ransomware.

 

Se sei vittima di un attacco ransomware, esistono diverse opzioni per risolverlo e rimuoverlo.

Isola i dati infetti
Non appena possibile, isola i dati compromessi per evitare che il ransomware si diffonda ad altre aree della rete.

Esegui un programma antimalware
Dopo aver isolato tutti i sistemi infetti, usa un programma antimalware per rimuovere il ransomware.

Decrittografare i file o ripristinare i backup
Se possibile, usa gli strumenti di decrittografia forniti dalle forze dell'ordine o dai ricercatori della sicurezza per decrittografare i file senza pagare il riscatto. Se la decrittografia non è possibile, ripristina i file dai backup.

Segnala l'attacco
Contatta le forze dell'ordine locali o federali per segnalare l'attacco. Nel Stati Uniti, si tratta dell'ufficio sul campo locale dell'FBI, dell'IC3 o dei Servizi segreti. Sebbene questo passaggio probabilmente non porrà fine alle tue preoccupazioni più pressanti, è importante perché tali autorità tracciano e monitorano attivamente diversi attacchi. Fornire loro informazioni dettagliate sulla tua esperienza può essere utile per trovare e compromettere un criminale informatico o un gruppo di loro.

Rifletti bene prima di pagare il riscatto
Anche se pagare il riscatto potrebbe sembrare la soluzione ideale, non vi è alcuna garanzia che i criminali informatici manterranno la parola data e ti concederanno l'accesso ai tuoi dati. Gli esperti di sicurezza e le forze dell'ordine raccomandano alle vittime di attacchi ransomware di non pagare i riscatti richiesti, perché ciò potrebbe lasciarle vulnerabili a minacce future e sosterrebbe attivamente un meccanismo criminale.

I ricercatori della sicurezza si aspettano che il ransomware continui a crescere in frequenza e complessità nei prossimi anni. I progressi nell'intelligenza artificiale rendono più semplice per i criminali informatici automatizzare e migliorare rapidamente il ransomware. Un maggior numero di persone con competenze tecniche limitate entra nel gioco perché possono acquistare strumenti ransomware basati sull'intelligenza artificiale sul Dark Web o collaborare con un'organizzazione ransomware distribuita come servizio.

Anche le organizzazioni criminali informatiche più grandi e più sofisticate, inclusi gli attori dello stato nazionale, si occupano sempre più spesso dell'infrastruttura critica e delle catene di approvvigionamento, causando interruzioni significative delle operazioni commerciali e locali. Queste entità sono spesso destinate a enti pubblici, sistemi di trasporto e organizzazioni sanitarie con l'obiettivo di paralizzare i servizi.

Per contrastare queste minacce in continua evoluzione, le organizzazioni stanno adottando l'intelligenza artificiale per la sicurezza informatica per aiutarli a rilevare e rispondere agli attacchi ransomware in modo rapido ed efficace. Queste tecnologie analizzano grandi quantità di dati per identificare modelli e anomalie che potrebbero indicare un attacco ransomware. Molte di queste soluzioni possono anche rispondere automaticamente alle minacce rilevate, riducendo il tempo necessario per mitigare un attacco.

Il modello di sicurezza Zero-Trust sta anche ottenendo successo per migliorare la sicurezza informatica e limitare la diffusione di ransomware e altre attività dannose.