Gli attacchi di ransomware hanno un trend crescente motivato dalla alta disponibilità di tipi e vettori di attacco, dalla convenienza economica per gli attaccanti (con un basso investimenti ottengono margini significativi), ma anche dalla persistente condizione di vulnerabilità delle vittime, aziende e individui, pubblici e privati che non praticano prassi standard di sicurezza, come i back-up o il patching. Per difendersi è necessario sapere e conoscere come questi attacchi sono perpetrati e con quali modalità e tecniche, per poi passare ad una difesa attiva consistente in buone prassi periodiche da pianificare ed eseguire. Perché se i codici malevoli infettano come i virus in natura, un’adeguata cyber igiene può contribuire alla prevenzione e alla mitigazione degli effetti dannosi che solitamente si accompagnano agli attacchi di questo tipo.

Definizione di ransomware

La definizione più generale di ransomware lo caratterizza come “un tipo di malware che restringe l’accesso al sistema di un computer e chiede un riscatto da pagare al creatore del ransomware per eliminare questa restrizione” (da pubblicazione del Dipartimento di ingegneria dell’Università del Sannio, “Dissecting Ransomware: a structural and behavioural characterization” di Antonio Cocomazzi, Antonio Pirozzi, Corrado Aaron Visaggio). Il tipo di restrizione varia dal blocco del PC, al blocco dei dati per cifratura fino alla compromissione del Master boot record per mostrare il messaggio del riscatto all’avvio della macchina.

Quali sono le modalità di attacco?

Il ciclo di vita di un attacco ransomware è articolato in più fasi che prevedono gli step di infezione, scambio delle chiavi e crittografia dei dati, (blocco del desktop, altre parti del PC o del disco), richiesta di riscatto e l’eventuale sblocco (che non è sempre garantito dall’avvenuto pagamento). I vettori di attacco per avviare l’infezione sono costituiti da social media, e-mail di phishing, siti web compromessi e software leciti arricchiti del malware. Durante la fase di crittografia il ransomware resta silente e nascosto per non farsi accorgere dell’attività malevola in corso. Quando parte la richiesta di riscatto solitamente il danno è già stato effettuato con successo. Gli attacchi ransomware fanno anche un uso sofisticato delle tecniche di social engineering per mettere in difficoltà le vittime e costringerle a versare il riscatto (si ricorda che la legge non lo consente perché rappresenta sovvenzionare di criminali).

L’evoluzione storica e le campagne più famose

Il primo attacco ransomware è avvenuto 26 anni fa nel 1989, chiamato AIDS Trojan e diffuso tramite floppy ma con scarsi danni a causa dei pochi dati presenti sui PC delle vittime e della capacità di diffusione limitata del mezzo. Nel 2005 furono introdotte le misleading applications che tendevano a inventare o ingigantire problemi invece inesistenti sulle macchine infettate, chiedendo riscatti in dollari per la risoluzione. Tra il 2008 e il 2009 l’aggressività dei malware si è evoluta al punto da farsi scambiare per funzionalità di software di sicurezza legittime (fake antiVirus) mentre dal 2011 al 2012 l’inasprimento del ransomware li ha trasformati in minacce capaci di disabilitare l’accesso e il controllo della macchina bloccandone l’utilizzo. Dal 2013 sono i Crypto ransomware a imperversare, sostanzialmente inalterati se non per sofisticazioni della componente crittografica, l‘introduzione di timer e la specializzazione su un sempre maggior numero di sistemi operativi per PC e device mobili o l’arricchimenti di tecniche di autodiffusione mediante i contatti della vittima o via reti e server e piattaforme di e servizi di “ransomware-as-a-service”. Anche i pagamenti si sono evoluti: prima contanti, oggi bitcoin fino ad arrivare alla proposta di non pagare a patto di diffondere il malware (diventando complici di un atto criminoso).

Campagne famose di attacchi ransomware (2016) sono state quelle di LOCKY, PETYA/NOT PETYA, SAMSAM e la più famosa WANNACRY diffusa a Maggio 2016 e dagli effetti nefasti e protratti nei mesi a seguire.

Per il futuro i criminali informatici potrebbero colpire i sistemi di controllo industriale (ICS) e altre infrastrutture critiche quali sistemi robotici industriali, intere catene produttive o reti di IoT per paralizzare non solo le reti informatiche, ma estendersi a veri e propri ecosistemi con effetti a catena.

10 consigli per difendersi

Con oltre 1 milione di dispositivi infettati dai ransomware nel mondo è facile osservare come il fenomeno abbia pervasività transnazionale e globale. Per questo motivo chiunque può rientrare fra le vittime, sia se la campagna ha diffusione a carattere massivo, sia se di tipo targetizzato. È quindi necessario essere preparati e adottare tecniche di protezione specifiche. Per prevenire:

  1. Eseguire periodicamente il back up (su cloud e dischi rigidi) secondo la regola del 3-2-1 (creare 3 copie di backup su 2 supporti diversi con 1 backup in una posizione separata.)
  2. Impostare il sistema operativo per effettuare gli aggiornamenti automatici e in generale aggiornare regolarmente software, programmi e applicazioni per eliminare le vulnerabilità.
  3. Non consentire autorun di dispositivi USB
  4. Inserire nei preferiti i siti più frequentati per evitare di ritrovarsi su siti malevoli che ne copiano parte del nome
  5. Adottare servizi antispam per la mail per frenare il phishing, documentarsi su di esso e prestare attenzione alle mail per riconoscerne il carattere fraudolento o ingannevole.
  6. Adottare sistemi antivirus e aggiornarli puntualmente
  7. Evitare di aprire allegati o link da mittenti non conosciuti
  8. Non usare account con permessi da amministratore
  9. Non consentire esecuzione di macro dal pacchetto Windows Office
  10. Abilitare su S.O. Windows l’opzione di mostrare l’estensione dei nomi di file.

New call-to-action