Che cosa sono gli attacchi ransomware e come prevenirli?

Written By: Ontrack

Date Published: 26/03/20 0.00

Che cosa sono gli attacchi ransomware e come prevenirli?

Di anno in anno, il numero di attacchi ransomware aumenta ad un ritmo allarmante. Sfortunatamente, l'ascesa della tecnologia va di pari passo con l’aumento del crimine informatico. Ma quanto sai della minaccia ransomware in continua evoluzione? E sai quali misure adottare per prevenire un attacco?

Un rischio in costante crescita

La sicurezza informatica deve essere una priorità assoluta per le aziende di qualsiasi dimensione per proteggere la rete da minacce in continua evoluzione. Secondo lo studio "State of Enterprise Risk Management 2020" di ISACA, CMMI e Infosecurity Group, il 53% degli intervistati ha dichiarato di aver visto un aumento del rischio per la propria organizzazione negli ultimi 12 mesi.

Inoltre, il 29% ha riscontrato che la sicurezza informatica è la categoria di rischio più critica per le aziende di oggi e il 33% ritiene che la minaccia informatica sarà la categoria di rischio più cruciale per la propria organizzazione nei prossimi 18-24 mesi.

Che cos’è un ransomware

Il ransomware è una forma di software dannoso progettato per bloccare l'accesso a un sistema informatico o per pubblicare online i dati della vittima. Una volta sferrato l’attacco, l’hacker chiede un riscatto alla vittima, promettendo - non sempre in modo veritiero - di ripristinare l'accesso ai dati una volta ricevuto il pagamento.

A partire dagli anni '80 si sono susseguite diverse varianti di Trojan, ma l’elemento che ha scatenato questa nuova ondata di attacchi è collegata all'introduzione dei Bitcoin. Questa criptovaluta consente agli hacker di raccogliere facilmente denaro dalle loro vittime senza passare attraverso i canali tradizionali.

Chi si nasconde dietro i ransomware?

Quelli che si celano dietro agli attacchi ransomware sono di solito truffatori altamente competenti con grande esperienza nella programmazione informatica. In genere, il ransomware infetta il computer tramite un allegato e-mail, una rete o un browser infetto.

Come funzionano i ransomware?

Phishing

Il sistema di consegna più comune per i ransomware è tramite spamming phishing: allegati che arrivano nell'e-mail della vittima, mascherati da file di cui si possono fidare. Secondo una ricerca condotta da una società di software di sicurezza, Trend Micro, il 91% degli attacchi informatici e la conseguente violazione dei dati iniziano con un'e-mail di spear-phishing.

Una volta scaricato e aperto l'allegato, il malware prende il controllo del computer, crittografando alcuni o tutti i file. Quando ciò accade, l'unico modo per decrittografare i dati è tramite una chiave matematica nota solo all'hacker

Ci sono anche casi in cui il malware mostra un messaggio in cui si afferma che il sistema "Windows" dell'utente è bloccato. L'utente è quindi invitato a chiamare un numero di telefono "Microsoft" e inserire un codice di sei cifre per riattivare il sistema. Il messaggio sostiene che la telefonata è gratuita, ma questo non è vero. Mentre è al telefono chiamando il falso "Microsoft", l'utente accumula addebiti per chiamate interurbane.

Doxware

Un altra tipologia di malware è chiamata leakware o doxware; in questo caso l’hacker minaccia la vittima di rendere noti i suoi dati più riservati a meno che non paghi un riscatto. Questi malware sono spesso indirizzati a e-mail e documenti, ma ci sono stati anche casi di varianti mobile in cui sono stati pubblicati i messaggi privati, le immagini e la lista di contatti della vittima.

Il doxware è noto per essere più efficace del ransomware per gli hacker in quanto le vittime sono più propense a pagare il riscatto richiesto. Con il ransomware, è possibile mantenere i backup dei dati non più accessibili separati tra loro. In caso di attacco doxware, una volta che l’hacker ha avuto accesso alle informazioni che la vittima non vuole che vengano rese pubbliche, c'è poco da fare oltre a pagare.

Quali danni può provocare un ransomware?

Potresti pensare che il pagamento di un riscatto per ottenere l'accesso ai tuoi dati sia già un fatto abbastanza grave, ma questo è nulla in confronto ai costi effettivi dei danni provocati da questo attacco.

Gli attacchi ransomware possono causare:

  • danneggiamento e distruzione (o perdita) dei dati
  • perdita di produttività
  • interruzione dello svolgimento dell'attività
  • indagine forense
  • ripristino e la cancellazione dei dati e dei sistemi attaccati
  • danno alla reputazione dell’azienda
  • necessità di formazione dei dipendenti in risposta diretta agli attacchi

Devo pagare il riscatto?

Quando parli con gli esperti di crimine informatico, la maggior parte ti esorta a non pagare il riscatto poiché finanziare gli hacker aiuterà solo a incrementare gli attacchi ransomware.

Tuttavia, molte organizzazioni non attuano questo consiglio, valutando il valore dei dati crittografati più alto rispetto al riscatto. Il 2018 ha visto il 45% delle aziende statunitensi colpite da ransomware pagare i propri aggressori.

Ma perché?!

Il consiglio generale è di non pagare il riscatto. Tuttavia, decidere di non  pagare quanto richiesto potrebbe non essere la migliore soluzione per molte aziende, soprattutto quando esiste la possibilità che la società possa perdere definitivamente l'accesso ai dati vitali, incorrere in multe da parte delle autorità di controllo o chiudere definitivamente la propria attività. Per molte aziende, la scelta tra pagare un riscatto relativamente modesto o rimanere in affari non è un gioco da ragazzi.

In alcuni casi di ransomware, l'hacker fa di tutto per far credere alla vittima che valga la pena pagare il riscatto, facendogli credere che l’importo richiesto sia abbastanza basso e sicuramente più economico rispetto a ricostruire i dati persi. Gli hacker a volte offrono sconti se la loro vittima paga entro un periodo di tempo specifico, ad es. tre giorni.

Alcune aziende stanno effettivamente accumulando riserve di Bitcoin appositamente per i pagamenti di riscatto. Questo accade principalmente nel Regno Unito, dove le organizzazioni sembrano più propense a pagare i riscatti. Secondo Gotham Sharma, amministratore delegato di Exeltek Consulting Group, "Circa un terzo delle aziende britanniche di medie dimensioni riferisce di avere Bitcoin a disposizione per rispondere alle emergenze di attacchi ransomware quando non è possibile ricorrere ad altre soluzioni".

Come bloccare i ransomware

Se sei vittima di un attacco ransomware, la prima cosa da fare è scoprire di che tipo di ransomware si tratta.

Se non riesci a superare il messaggio del ransomware sullo schermo, probabilmente sei stato infettato da uno screen-locking ransomware, un virus che blocca lo schermo. Se riesci a sfogliare le tue app ma non riesci ad aprire file, film ecc., è probabile che tua sia stato colpito da da un encrypting ransomware. Se riesci a navigare nella tua rete e a leggere tutti i tuoi file, probabilmente è un “falso” attacco ransomware che sta solo cercando di spaventarti a pagare.

Per saperne di più su come gestire gli attacchi screen-locking ed encrypting ransowmare, ti consigliamo di leggere questo articolo.

Come prevenire i ransomware

  • Assicurati di avere una copia aggiornata di backup di tutti i tuoi file. In questo modo se succede qualcosa, il ripristino dei tuoi file da un backup è il modo più veloce per riottenere l'accesso ai tuoi dati.
  • Quando si risponde a e-mail, telefonate indesiderate, messaggi di testo o messaggi istantanei non fornire alcuna informazione personale. I phisher cercano di ingannare i dipendenti affermando di essere qualcuno del dipartimento IT.
  • Assicurati di avere un software antivirus e un firewell affidabili. Esistono molti software malevoli sul mercato, quindi l'antivirus e il firewall devono essere abbastanza solidi per garantire la sicurezza dei dati.
  • Assicurati di avere la scansione e il filtro dei contenuti sui tuoi server di posta. Ogni e-mail in entrata deve essere sottoposta a scansione per individuare minacce note e bloccare eventuali tipi di allegati che potrebbero costituire una minaccia.
  • Se sei in viaggio per lavoro, assicurati di informare in anticipo il tuo dipartimento IT, soprattutto se pensi di poter utilizzare punti Internet wireless pubblici. Assicurati di avere una rete privata virtuale (VPN) affidabile quando accedi a qualsiasi spazio Wi-Fi pubblico.
  • Assicurati che tutti i tuoi software siano aggiornati; questo include il sistema operativo, il browser e tutti i plug-in della barra degli strumenti che usi.

Leggi il nostro articolo precedente su come proteggere la tua azienda dal crimine informatico.

Scopri di più sulle nuove famiglie di ransomware

Clicca sui collegamenti qui sotto per saperne di più dei tipi di ransomware più diffusi.

  • Anatova
  • Dharma 
  • GandCrab
  • Ryuk 
  • Emotet 

Ontrack e i ransomware

In Ontrack, monitoriamo costantemente 271 diversi tipi di ransomware.

I ransomware cambiano e si sviluppano in continuazione, pertanto vogliamo essere sicuri di osservare e studiare le modifiche e i cambiamenti più recenti.

Lo studio dei ransomware e delle loro forme in continua evoluzione ci mette in condizione di avere maggiori probabilità di recuperare i dati che sono andati perduti in conseguenza di un attacco .

Attualmente, siamo in grado di gestire 138 tipi di ransomware. Un paio di anni fa ne potevamo gestire soltanto 6: abbiamo fatto molta strada da allora!

Quando si tratta di dati inaccessibili, è sempre meglio contattare un esperto di recupero dati come Ontrack, che può aiutarti ad accedere ai tuoi dati dopo un attacco ransomware.

Offriamo i nostri servizi di recupero dati nelle maggiori città come Milano, Roma, Napoli, Torino e sul tutto il territorio nazionale tramite corriere espresso gratuito.

Iscriviti

KLDiscovery Ontrack Srl, Via Marsala 34/A, Torre/A, 21013, Gallarate (VA), Italia (Mostra tutte le sedi)