Il termine “ransomware” si riferisce a una particolare tipologia di software malevolo, o “malware”, che, a meno che la vittima non paghi un riscatto all’autore dell’attacco, riceve la minaccia di pubblicare dati scomodi o impedisce l’accesso ai dati o a un sistema informatico, spesso criptando il materiale in questione.
In molti casi, la richiesta di riscatto in seguito all’attacco Ransomware include un termine specifico. Se la vittima non paga il riscatto entro il termine stabilito, i dati vengono eliminati in modo permanente o l’importo del riscatto aumenta.
Gli attacchi tramite ransomware hanno raggiunto un livello di diffusione allarmante. Le grandi aziende di tutto il mondo, comprese quelle del Nord America e dell’Europa, ne sono state colpite. I criminali che operano online prendono di mira qualsiasi cliente o azienda di qualsiasi settore per i loro attacchi.
Il pagamento del riscatto è sconsigliato dal No More Ransom Project e da numerosi altri enti governativi, tra cui l’FBI, per evitare di contribuire al perpetuarsi del ciclo del ransomware. Inoltre, è probabile che il cinquanta per cento delle vittime che pagano la somma richiesta subisca ripetuti attacchi di ransomware, soprattutto se il malware non viene rimosso dal sistema.
Table of Contents
Come sono nati e come si stanno sviluppando gli attacchi ransomware
Il primo caso noto di ransomware risale al 1989, quando il cosiddetto “virus dell’AIDS” fu utilizzato per ricattare le vittime di ransomware affinché pagassero. Dopo che i pagamenti per quell’attacco furono consegnati a Panama, una chiave di decrittazione fu fornita all’individuo che aveva iniziato l’attacco.
Il concetto di ransomware, noto anche come “estorsione criptovirale”, è stato proposto per la prima volta nel 1996 da Moti Yung e Adam Young della Columbia University. Questa idea, nata nel mondo accademico, esemplificava lo sviluppo, la forza e l’innovazione delle attuali tecnologie crittografiche. Alla Conferenza IEEE sulla sicurezza e la privacy del 1996, Young e Yung hanno presentato il primo attacco crittovirologico. Questo attacco è stato realizzato da Young e Yung. I dati della vittima sono stati crittografati utilizzando la chiave pubblica dell’attaccante, memorizzata nel loro malware.
Il software malevolo chiedeva poi alla vittima di fornire un testo cifrato asimmetrico all’aggressore, che lo avrebbe successivamente decifrato e, in cambio di un pagamento, avrebbe restituito la chiave di decifrazione.
Nel corso degli anni gli aggressori sono diventati più inventivi e ora chiedono spesso pagamenti che sono praticamente difficili da rintracciare. Ciò consente ai criminali informatici di mantenere l’anonimato. Ad esempio, il noto ransomware per dispositivi mobili noto come Fusob richiede che le vittime paghino il riscatto sotto forma di carte regalo per Apple iTunes piuttosto che di valute convenzionali come i dollari.
Il ruolo delle criptovalute nel pagamento dei riscatti dei ransomware
La proliferazione di criptovalute come il Bitcoin e le controparti ancora più sicure in termini di non tracciabilità come Monero (XMR) e Zcash (ZEC), ha portato a un aumento del numero di attacchi ransomware. Una criptovaluta è una forma di denaro digitale che utilizza metodi di crittografia per verificare e proteggere le transazioni finanziarie e controllare la produzione di unità aggiuntive. Oltre al Bitcoin, altre note criptovalute, come Ethereum (ETH), Litecoin (LTC) e Ripple (XRP), sono spesso consigliate dai criminali informatici alle vittime come alternative al Bitcoin.
Gli attacchi al Presbyterian Memorial Hospital sono uno degli esempi più noti di ransomware per l’ampiezza dei settori presi di mira. Questo attacco, che ha colpito laboratori, farmacie e centri di emergenza, dimostra i danni potenziali che possono essere causati dal ransomware e i rischi che esso comporta.
Gli aggressori che utilizzano l’ingegneria sociale sono diventati sempre più creativi nel corso del tempo. L’articolo pubblicato su The Guardian descrive uno scenario in cui alle nuove vittime del ransomware è stato chiesto di far installare il malware a due altri utenti e di pagare un riscatto per poter decriptare i loro file.
Quali tipi di Ransomware esistono e come riconoscerli
Esistono diversi tipi di ransoware, per potersi difendere adeguatamente, è importante conoscere almeno le dinamiche di base. I principali sono:
- Lo scareware è una forma prevalente di ransomware che inganna gli utenti mostrando un falso messaggio di avvertimento che afferma falsamente che è stato trovato del malware sul computer della vittima. Questo tipo di ransomware viene utilizzato per estorcere denaro alle vittime. Questi attacchi assumono spesso la forma di un programma antivirus che richiede denaro per ripulire il computer da malware inesistente.
- I blocchi dello schermo sono applicazioni software che, una volta eseguite, bloccano l’utente dal computer e gli impediscono di accedere a qualsiasi file o dato memorizzato sul dispositivo. Nella maggior parte dei casi, viene visualizzata una notifica che richiede un pagamento per accedere alla funzione.
- Ransomware crittografico. Questo tipo prevalente di ransomware, talvolta noto come “crypto-ransomware”, cripta i dati della vittima e chiede un pagamento in cambio di una chiave di decriptazione.
- Estorsione DDoS. Un’estorsione DDoS (Distributed Denial of Service) si verifica quando l’autore minaccia di condurre un assalto DDoS contro il sito web o la rete della vittima fino al pagamento di un riscatto.
- Il ransomware mobile è un malware che, come indica il nome, prende di mira dispositivi mobili come smartphone e tablet e li tiene in ostaggio, chiedendo denaro per sbloccare il dispositivo o decriptare i dati.
- Il doxware è una forma sofisticata di ransomware che, sebbene meno diffusa, minaccia di diffondere materiale sensibile, esplicito o segreto prelevato dal computer della vittima a meno che non venga pagato un riscatto.
- Ransomware-as-a-Service, spesso noto come RaaS, è il caso in cui i criminali informatici mettono a disposizione di altri cyberattaccanti o hacker programmi ransomware che possono essere utilizzati per colpire le vittime.
Gli esempi qui riportati sono solo alcune delle forme più diffuse di ransomware. Man mano che i metodi di sicurezza informatica diventano più sofisticati, i criminali informatici escogitano sempre nuovi approcci creativi per attaccare le falle dei sistemi informatici e penetrarvi.
Alcuni esempi di attacchi ransomware
Le organizzazioni potranno comprendere molto meglio le strategie, gli exploit e le caratteristiche degli attacchi ransomware se familiarizzeranno con gli attacchi ransomware significativi accaduti in passato, che andiamo a elencare tra poco. Anche se i programmi, gli obiettivi e le funzionalità del ransomware cambiano continuamente, l’innovazione degli attacchi è spesso evolutiva piuttosto che rivoluzionaria. Ecco alcuni celebri attacchi ransoware da cui possiamo imparare:
- WannaCry.
Una potente vulnerabilità di Microsoft è stata utilizzata per generare un worm ransomware a livello mondiale che ha infettato più di 250.000 dispositivi prima che venisse attivato un kill switch per fermarne la diffusione. Il malware richiedeva il pagamento di un riscatto in cambio della decriptazione dei file. Proofpoint è stata coinvolta sia nel processo di determinazione del campione utilizzato per individuare il kill switch sia nel processo di decostruzione del malware. Per saperne di più su come Proofpoint ha contribuito a sventare l’attacco ransomware WannaCry. - CryptoLocker.
Il ranmsonware CryptoLocker è stato un primo appartenente alla generazione attuale. Bloccava il disco rigido dell’utente e le unità di rete associate, richiedendo il pagamento sotto forma di Bitcoin. Il ransomware CryptoLocker veniva distribuito utilizzando allegati di posta elettronica che sembravano essere avvisi di tracking di FedEx e UPS. Nel 2014 è stato reso disponibile uno strumento di decriptazione. Tuttavia, in base a diverse fonti, sembra che CryptoLocker sia riuscito a ottenere pagamenti per un totale di oltre 27 milioni di dollari. - NotPetya.
Notpwtya è considerato uno degli attacchi ransomware più gravi, NotPetya ha utilizzato i metodi del suo omonimo, Petya, come l‘infezione e la crittografia del master boot record di un sistema basato su Microsoft Windows. Inoltre, NotPetya ha richiesto il pagamento di un riscatto sotto forma di criptovaluta bitcoin. NotPetya ha utilizzato la stessa vulnerabilità sfruttata da WannaCrypt per distribuire rapidamente richieste di pagamento in Bitcoin per cancellare le alterazioni. Poiché NotPetya non può invertire le modifiche apportate al master boot record, alcuni lo definiscono un wiper. Questo perché rende il sistema che infetta completamente irrecuperabile. - Bad Rabbit.
Il ransomware noto come Bad Rabbit è ritenuto un parente del virus NotPetya perché utilizza codice e vulnerabilità molto simili a quelli utilizzati da NotPetya. Bad Rabbit sembra prendere di mira le aziende del settore dei media sia in Russia che in Ucraina. Bad Rabbit, a differenza di NotPetya, ha offerto un’opzione di decriptazione in cambio del pagamento richiesto. La maggior parte degli incidenti ha indicato come vettore di propagazione la distribuzione di un aggiornamento fasullo di Flash Player, con i consumatori vittime di un attacco drive-by. - REvil.
Gli autori di REvil sono una banda di aggressori motivati dal guadagno finanziario. Dopo l’esfiltrazione dei dati, REvil cripta i dati, ma se le vittime non pagano il riscatto, le ricatta. All’origine dell’attacco c’è un software di gestione IT insicuro che veniva utilizzato per applicare patch alle infrastrutture Windows e Mac. Il software Kaseya, utilizzato per iniettare il ransomware REvil nelle reti aziendali, è stato sfruttato dagli aggressori e violato. - Ryuk.
Ryukè un programma ransomware che viene consegnato manualmente ed è utilizzato soprattutto negli attacchi di spear-phishing. Utilizzando la ricognizione, gli obiettivi vengono selezionati con grande attenzione. Dopo l’invio di messaggi e-mail criptati agli obiettivi dell’attacco, il computer infetto cripta tutti i suoi dati locali.
Esistono statistiche sugli attacchi ransomware?
Nonostante il numero di attacchi ransomware sia diminuito nel corso degli anni, questo tipo di attacco informatico continua a essere una delle minacce più diffuse e costose per le aziende. I dati preoccupanti sugli attacchi ransomware sono un campanello d’allarme per le imprese, che devono rafforzare le procedure di sicurezza informatica e aumentare la formazione sulla sicurezza.
Gli attacchi ransomware colpiranno il 66% delle aziende nel 2021, come afferma la ricerca “The State of Ransomware 2022” di Sophos. Ciò rappresenta un significativo aumento del 78% rispetto al 2020.
Secondo i risultati della ricerca di Proofpoint sullo Stato del Phish 2023, il 64% delle aziende intervistate ha dichiarato di essere stato colpito da ransomware nel 2022, e più di due terzi di queste organizzazioni hanno riferito di aver subito diversi attacchi. D’altra parte, gli specialisti ritengono che il numero reale di eventi e di perdite correlate nell’anno precedente sia stato di gran lunga superiore a quello riportato.
Gli attacchi ransomware continuano a essere maggiormente diffusi nel settore sanitario, che registra la percentuale più alta di pagamenti di riscatti, pari all’85%. Secondo il Ransomware Report 2022 di BlackFog, tuttavia, le istituzioni scolastiche hanno registrato il maggior incremento nel numero di attacchi ransomware (un aumento del 28% nel 2021).
Secondo il servizio VirusTotal offerto da Google, gli attacchi ransomware sono stati condotti su sistemi operativi Windows nel 95% dei casi. Questo rappresenta la grande maggioranza dei computer compromessi.
Secondo Cybersecurity Ventures, gli attacchi ransomware causeranno alle vittime perdite annuali per un totale di oltre 265 miliardi di dollari entro il 2031.