Che cos'è il ransomware?

Il ransomware è un tipo di malware che crittografa i file sul dispositivo di un utente o sui dispositivi di archiviazione di una rete. Per recuperare l'accesso ai file crittografati, l'utente deve pagare un "riscatto" ai criminali informatici, generalmente tramite un metodo di pagamento elettronico difficile da rintracciare, ad esempio Bitcoin. Anche se i ricercatori nel campo della sicurezza hanno individuato il modo per mappare i flussi di traffico di transazioni in Bitcoin, identificare la persona (o le persone) titolare dell'account Bitcoin è estremamente difficile.

Come viene diffuso il ransomware?

Il ransomware viene quasi sempre distribuito attraverso attacchi di spamming. L'e-mail di spamming contiene un allegato mascherato da file legittimo oppure include un collegamento URL nel testo del messaggio. Quando si utilizza il primo metodo, il programma ransomware si attiva non appena il destinatario apre l'allegato e, nel giro di pochi secondi, inizia a crittografare i file sul dispositivo. Se il vettore dell'attacco è un collegamento, quando l'utente vi fa clic sopra, viene reindirizzato a una pagina web in cui il ransomware viene installato sul dispositivo senza che l'utente se ne accorga. I programmi o i siti malevoli spesso utilizzano kit di exploit per individuare eventuali vulnerabilità del sistema operativo o delle applicazioni del dispositivo, che possono essere sfruttate per introdurre e attivare il ransomware. Inoltre, i criminali informatici possono utilizzare exploit esistenti, come è accaduto nel recente attacco WannaCry, che sfruttano una ben nota vulnerabilità di Windows, conosciuta con il nome di EternalBlue.

La proliferazione del ransomware

Negli ultimi anni, si è assistito a un notevole aumento nel numero di attacchi ransomware su vasta scala contro aziende portati a termine con successo. Cybersecurity Ventures prevede che il costo complessivo causato dai ransomware supererà nel 2017 i 5 miliardi di dollari, cifra 15 volte superiore rispetto al 2015.1 Allo stesso tempo, il numero di varianti di ransomware è cresciuto di trenta volte.2

Ransomware Stats

Gli effetti su un'organizzazione provocati da un attacco ransomware vanno ben al di là del costo pagato per sbloccare i file. Le aziende, infatti, devono sommare a questo i costi associati a perdita di dati, riduzione o perdita di produttività, indagini, ripristino di dati e sistemi, perdita di profitti e danni alla reputazione. Ad esempio, una società leader globale del settore prodotti sanitari e beni di consumo ha dichiarato di aver registrato una riduzione del 2% nella crescita trimestrale dei ricavi imputabile agli effetti del recente ransomware Petya, che ne ha compromesso le funzionalità di fatturazione e spedizione dei prodotti ai propri clienti.3

CryptoLocker, comparsa nel 2013, è stata una delle prime famiglie di ransomware utilizzati su vasta scala. Il malware veniva per lo più inviato come allegato e-mail nascosto o installato su un dispositivo che era già stato compromesso. Una volta attivato, il malware crittografava specifici file di dati sulle unità locali e di rete. La vittima doveva pagare un riscatto di $ 400 o una somma equivalente in Bitcoin entro una certa scadenza, altrimenti la chiave di decrittazione sarebbe stata cancellata. Non sorprende che in molti casi, anche dopo che il riscatto era stato pagato, la chiave di decrittazione non venisse mai fornita. Il botnet Gameover Zeus utilizzato per distribuire il ransomware venne eliminato grazie a una iniziativa nata dalla collaborazione tra settore, forze dell'ordine ed enti governativi denominata Operation Tovar.

Non sorprende che in molti casi, anche dopo che il riscatto era stato pagato, la chiave di decrittazione non venisse mai fornita.

Attacchi ransomware di alto profilo

CryptoWall è una variante più recente di CryptoLocker che funziona allo stesso modo. L'attacco più grave si è avuto in Australia alla fine del 2014, quando vennero utilizzate e-mail di phishing apparentemente provenienti da un mittente governativo e contenenti collegamenti malevoli per distribuire il malware.4 Per evitare di essere bloccato da programmi per la sicurezza, i malfattori utilizzavano un form con un captcha prima che il malware venisse scaricato.

Locky fece la sua comparsa all'inizio del 2016 e veniva solitamente distribuito tramite e-mail contenenti una "fattura" in allegato. Quando il destinatario apriva il file Word o Excel, veniva invitato ad attivare le macro per visualizzare la fattura. Attivando le macro, veniva eseguito un file .exe che scaricava il ransomware vero e proprio. I file locali e sulla rete venivano crittografati e rinominati con l'estensione .locky. Per sbloccare i file le vittime dell'attacco dovevano visitare un sito web e scaricare un browser da utilizzare per accedere al sito web da cui effettuare il pagamento a favore del malfattore. Il pagamento ammontava in genere a 0,5-1 Bitcoin. Locky è stato uno dei primi attacchi ransomware a ottenere grande risonanza sui media poiché un ospedale americano fu vittima dell'attacco e fu costretto a pagare per recuperare i file con i dati dei pazienti che erano stati crittografati.5

L'attacco WannaCry è salito alla ribalta nel 2017 colpendo 400.000 computer in tutto il mondo.6 Organizzazioni sia pubbliche che private subirono pesanti conseguenze e, tra di esse, il servizio sanitario nazionale del Regno Unito, un'azienda di telecomunicazioni spagnola e un'importante banca tedesca. Fortunatamente, grazie ai ricercatori nel campo della sicurezza che scoprirono un kill switch nel malware, l'attacco venne bloccato nel giro di qualche giorno. L'attacco fu lanciato e si diffuse attraverso una vulnerabilità nota di Windows (EternalBlue). Anche se una patch di sicurezza era stata rilasciata già da alcuni mesi, molte organizzazioni non l'avevano ancora installata.

L'attacco WannaCry è salito alla ribalta nel mese di maggio del 2017, colpendo 400.000 computer in tutto il mondo.

NotPetya, una variante del ransomware Petya, seguì immediatamente WannaCry nel giugno 2017 facendo la sua prima apparizione in Ucraina. Distribuito come allegato e-mail PDF, il malware si diffondeva utilizzando la stessa vulnerabilità EternalBlue già sfruttata da WannaCry. Anche in questo caso, vennero colpite organizzazioni pubbliche e private in tutto il mondo, tra le quali un'importante società farmaceutica statunitense, uno studio legale multinazionale e la più grande agenzia pubblicitaria del Regno Unito. A differenza di altri ransomware, Petya infetta la tabella dei file master del computer. Secondo alcuni, questo attacco è stato sferrato allo scopo di provocare il caos in Ucraina piuttosto che per motivi puramente economici.7

Ridurre il rischio che i ransomware danneggino la vostra azienda

Istruite l'anello più debole della catena. Per attivare il payload, la maggior parte dei ransomware richiede un'azione da parte dell'utente. Istruire i dipendenti a riconoscere e a difendersi dagli attacchi informatici è essenziale. Molti attacchi utilizzano e-mail e tecniche di social engineering per indurre il dipendente a scaricare malware o a rivelare i propri nome utente e password. In quest'ottica, la formazione dovrebbe concentrarsi su questi comuni vettori di attacchi. Esercitazioni in cui ai dipendenti vengono inviate finte e-mail di phishing sono efficaci per abituare gli utenti a distinguere tra comunicazioni ufficiali dei fornitori e e-mail di phishing con oggetto "Fattura in allegato - aprire".

Patch, patch, patch. E ancora patch. Come dimostrato dai recenti attacchi WannaCry e Petya, se non si segue un approccio rigoroso all'applicazione delle patch che risolvono vulnerabilità di protezione note, l'azienda può essere esposta a seri rischi. Anche mesi dopo aver sfruttato la vulnerabilità EternalBlue per gli attacchi dei ransomware WannaCry e NotPetya, si calcola che almeno 38 milioni di PC siano rimasti privi di patch.8 È relativamente semplice per i criminali informatici identificare dispositivi e software privi di patch su una rete aziendale e, una volta individuati, sfruttare le vulnerabilità note.

Si calcola che almeno 38 milioni di PC siano rimasti privi di patch.

Eseguite il backup dei dati e un backup del backup. Per alcuni quest'affermazione può sembrare ovvia, ma i ransomware possono crittografare i backup archiviati sui server di rete. Di conseguenza, le aziende devono rivedere l'approccio seguito attualmente per i backup. I dipendenti eseguono il backup di file importanti su un'unità di rete? I backup eseguiti da questi dispositivi e dai file server vengono quindi replicati su un servizio di backup nel cloud? Verificate che all'occorrenza i backup possano essere ripristinati? In questo modo, qualora un ransomware esegua la crittografia di tutti i file e i backup locali, l'azienda potrà ancora ripristinarli velocemente, riducendo al minimo l'impatto sulle attività aziendali.

Affidarsi a un unico livello di sicurezza per proteggersi da questi attacchi sempre più elaborati non è la strada migliore da seguire.

Rendete difficile la vita ai malfattori implementando più livelli di protezione. I criminali informatici investono moltissimo tempo e denaro nello sviluppo di forme sempre più sofisticate di malware avanzati, progettati per aggirare i sistemi di sicurezza di un'azienda. Affidarsi a un unico livello di sicurezza per proteggersi da questi attacchi sempre più elaborati non è la strada migliore da seguire. Utilizzare più livelli di sicurezza significa che se un livello non riesce a bloccare un attacco, sono presenti altri livelli che possono mitigare la minaccia. Quali livelli di sicurezza sono attualmente implementati nella vostra azienda? Utilizzate diverse soluzioni di protezione per mitigare i rischi durante tutte le fasi di un attacco? Attualmente, ci sono falle nella sicurezza che utenti malintenzionati potrebbero sfruttare?


1 http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
2 https://www.proofpoint.com/sites/default/files/q4_threat-summary-final-cm-16217.pdf
3 http://www.zdnet.com/article/petya-ransomware-companies-count-the-cost-of-massive-cyber-attack/
4 https://www.communications.gov.au/what-we-do/internet/stay-smart-online/alert-service/fake-auspost-phishing-emails-lead-ransomware
5 http://www.bbc.com/news/technology-35880610
6 https://blog.barkly.com/wannacry-ransomware-statistics-2017
7 https://www.theverge.com/2017/6/28/15888632/petya-goldeneye-ransomware-cyberattack-ukraine-russia
8 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
9 https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
10FBI, giugno 2016, https://www.justice.gov/criminal-ccips/file/872771/download
11PhishMe Q3 2016 Review
12https://securelist.com/it-threat-evolution-q1-2017-statistics/78475/13https://blog.barkly.com/ransomware-statistics-2017