Cos'è il ransomware? Ecco tutto ciò che devi sapere

Il ransomware è uno dei maggiori problemi di sicurezza su Internet e una delle più grandi forme di crimine informatico che le organizzazioni devono affrontare oggi. Il ransomware è una forma di software dannoso, il malware, che crittografa file e documenti su qualsiasi cosa da un singolo PC fino a un'intera rete, inclusi i server. Le vittime possono spesso essere lasciate con poche scelte; possono riottenere l'accesso alla loro rete crittografata pagando un riscatto ai criminali informatici, oppure eseguire il ripristino dai backup o sperare che ci sia una chiave di decrittazione liberamente disponibile. Alcune infezioni ransomware iniziano con qualcuno all'interno di un'organizzazione che fa clic su quello che sembra un allegato innocente che, una volta aperto, scarica il payload dannoso e crittografa la rete.

Altre campagne di ransomware molto più grandi utilizzano exploit e vulnerabilità del software, password violate e altre vulnerabilità per ottenere l'accesso alle organizzazioni che utilizzano punti deboli come server con connessione Internet o accessi desktop remoto per ottenere l'accesso. Gli aggressori cercheranno segretamente attraverso la rete finché non controlleranno il più possibile, prima di crittografare tutto ciò che possono.

Può essere un problema vitale per le aziende di tutte le dimensioni se file e documenti vitali, reti o server vengono improvvisamente crittografati e inaccessibili. Ancora peggio, dopo che sei stato attaccato con ransomware di crittografia dei file, i criminali annunceranno sfacciatamente che stanno tenendo in ostaggio i tuoi dati aziendali finché non pagherai un riscatto per riaverli. Potrebbe sembrare troppo semplice, ma funziona, a tal punto che il direttore dell'agenzia di intelligence britannica GCHQ Jeremy Fleming ha avvertito che la minaccia del ransomware "sta crescendo a un ritmo allarmante".

Come si sono evoluti ?

Prima di iniziare a utilizzare la crittografia avanzata per prendere di mira le reti aziendali, gli hacker prendevano di mira gli utenti Internet generici con ransomware base. Una delle varianti di maggior successo è stata "ransomware della polizia", che ha cercato di estorcere le vittime sostenendo che il PC era stato crittografato dalle forze dell'ordine. Ha bloccato lo schermo con una richiesta di riscatto che avverte l'utente di aver commesso attività online illegali, il che potrebbe portarlo in prigione. Tuttavia, se la vittima pagasse una multa, la "polizia" lascerebbe scorrere la violazione e ripristinerebbe l'accesso al computer consegnando la chiave di decrittazione. Ovviamente, questo non aveva niente a che fare con le forze dell'ordine. Sebbene abbia avuto un po’ di successo, queste forma di ransomware spesso si sovrapponeva semplicemente al messaggio di "avviso" sul display dell'utente e il riavvio della macchina poteva eliminare il problema e ripristinare l'accesso a file che non erano mai stati realmente crittografati. I criminali hanno imparato da questo e ora la maggior parte degli schemi di ransomware utilizza la crittografia avanzata per bloccare veramente un PC infetto e i file su di esso.

Quali sono i principali tipi di ransomware ?

Il ransomware è in continua evoluzione, con nuove varianti che appaiono continuamente in circolazione e rappresentano nuove minacce per le aziende. Tuttavia, ci sono alcuni tipi di ransomware che hanno avuto molto più successo di altri. La famiglia di ransomware più prolifica nel corso del 2021 finora è Sodinokibi, che ha afflitto organizzazioni in tutto il mondo da quando è emerso nell'aprile 2019. Conosciuto anche come REvil, questo ransomware è stato responsabile della crittografia delle reti di un gran numero di organizzazioni di alto profilo. La banda dietro Sodinokibi dedica molto tempo a gettare le basi per un attacco, muovendosi furtivamente attraverso la rete compromessa per garantire che tutto il possibile possa essere crittografato prima che l'attacco ransomware venga lanciato. Nuove famiglie di ransomware stanno emergendo continuamente mentre altre scompaiono improvvisamente o passano di moda, con nuove varianti che emergono costantemente nei forum clandestini.

Poi è stata la volta di Cerber: nell'aprile 2017 è diventato la forma più dominante di ransomware, rappresentando il 90% degli attacchi su Windows. Uno dei motivi per cui Cerber è diventato così popolare è stato il modo in cui è stato distribuito come 'ransomware-as-a -service ', che consente agli utenti senza conoscenze tecniche di condurre attacchi in cambio di una parte dei profitti che torna agli autori originali. Un'altra forma di ransomware di successo nel 2017 e nel 2018 è stata SamSam, che è diventata uno dei primi a diventare famoso non solo per aver addebitato un riscatto di decine di migliaia di dollari per la chiave di decrittazione, ma sfruttando sistemi non protetti con connessione a Internet come mezzo di infezione e diffusione laterale attraverso le reti.

Per tutto il 2018 e il 2019, un'altra famiglia di ransomware che si è rivelata problematica sia per le aziende che per gli utenti domestici è stata GandCrab, che Europol ha descritto come "una delle forme più aggressive di ransomware" all'epoca. GandCrab operava "as-a-service" e riceveva aggiornamenti regolari, il che significa che anche quando i ricercatori della sicurezza lo hanno crackato e sono stati in grado di rilasciare una chiave di decrittazione, una nuova versione del ransomware con un nuovo metodo di crittografia sarebbe apparsa subito dopo.

Nel frattempo, una delle famiglie di ransomware di maggior successo nel 2020 è stata Maze ransomware, che combinava aggiornamenti regolari al codice malware con minacce di far trapelare informazioni rubate se un riscatto a sei cifre non fosse stato pagato. Il gruppo si è `` ritirato '' alla fine del 2020, ma si sospetta che alcuni di coloro che stanno dietro al successo di Maze siano passati a lavorare con altre operazioni criminali di ransomware. Le maggiori organizazioni di cybersecurity del mondo, entità assolutamente vendor-indipendent, concordano sulla efficacia della difesa attraverso l’approccio ZTNA – Zero Trust Network Access, che presenta soluzioni innovative in grado di disinnescare anche attacchi zero-day oltre che i classici phising via email.