L'attacco ransomware inizia quando un software dannoso viene scaricato su un dispositivo come laptop, smartphone o computer desktop. Il software dannoso viene normalmente scaricato a causa di un errore dell'utente o a causa della mancanza di protocolli di sicurezza adeguati.
Negli ultimi anni, il mezzo privilegiato per la diffusione dei ransomware sono stati gli attacchi phishing che si verificano quando un cyber criminale allega un documento o un URL infetto a un'e-mail, mascherandolo come posta legittima, con la speranza che induca il destinatario ad aprirlo. Una volta aperto, il ransomware viene automaticamente installato sul dispositivo.
Un'altra tipologia diffusa utilizzata dagli hacker - il trojan horse - implica il camuffamento del ransomware come software "sicuro": con la sua installazione si avvia l'infezione dei dispositivi.
Una volta che il ransomware ha infettato un sistema, questo controllerà tutte le funzioni e i contenuti del dispositivo: cercherà file da crittografare, codificherà tutti i dati presenti o eliminerà i file che non può crittografare. Infetterà anche tutti i dispositivi esterni collegati alla macchina host. Il virus invierà inoltre segnali ad altri dispositivi sulla rete infetta per espandere l'infezione.
Esistono diverse varianti di ransomware, che mutano continuamente.
Tipi di ransomware più ricorrenti e famosi:
Phishing
Il sistema di consegna più comune per il ransomware è lo spam di phishing: allegati che arrivano nell'e-mail di una vittima, mascherati da file di cui possono fidarsi. Secondo una ricerca di una società di ricerca sulla sicurezza (Trend Micro), il 91% degli attacchi informatici e la conseguente violazione dei dati iniziano con un'e-mail di spear-phishing.
Una volta che l'allegato è stato scaricato e aperto, il malware può assumere il controllo del computer della vittima, crittografando alcuni file dell'utente. Quando ciò accade, l'unico modo in cui i file possono essere decrittografati è attraverso una chiave matematica conosciuta solo dall'aggressore.
Ci sono stati anche casi in cui il malware visualizza un messaggio in cui si afferma che "Windows" dell'utente è bloccato. L'utente è quindi incoraggiato a chiamare un numero di telefono "Microsoft" e immettere un codice a sei cifre per riattivare il sistema. Il messaggio afferma che la telefonata è gratuita, ma ciò non è vero. Mentre è al telefono chiamando il falso "Microsoft", l'utente accumula costi per le chiamate interurbane.
Doxware
Un altro tipo di malware è chiamato leakware o doxware. Con questo tipo di malware l'hacker minaccia di rilasciare dati sensibili salvati sull'hard disk della vittima a meno che non venga pagato un riscatto. Questi malware sono spesso utilizzati per colpire email e documenti word, ma ci sono stati anche casi di attacchi verso dispositivi mobile in cui sono stati resi noti messaggi privati, immagini ed elenchi di contatti dai telefoni degli utenti.
Doxware è riconosciuto come un malware più efficace del ransomware, in quanto alla possibilità di ottenere denaro dalla vittima. Nel caso di attacco ransomware, infatti, è possibile mantenere backup separati dei dati che non sono più accessibili. In caso di un attacco doxware, invece, una volta l'hacker ha ottenuto l'accesso a informazioni che la vittima non vuole che siano rese pubbliche, c'è poco da fare se non pagare.
Anatova
Una nuova forma di ransomware nata a inizio 2019 è Anatova. Questo nuovo tipo estremamente avanzato di ransomware si traveste da icona di un gioco o di un'applicazione per indurre l'utente a scaricarlo. Il malware adatta rapidamente e utilizza tecniche di evasione e diffusione per impedirne la scoperta. Grazie al suo design modulare, può incorporare funzionalità aggiuntive che gli consentono di contrastare i cosiddetti metodi anti-ransomware. Fortunatamente, il team di McAfee Advanced Threat Research ha scoperto questa nuova famiglia di ransomware all'inizio del 2019 prima che diventasse una minaccia significativa.
Dharma
Nata come variante di CrySiS, il ransomware Dharma è in circolazione dal 2018, ma i criminali informatici continuano a rilasciarne nuove varianti, che sono impossibili da decifrare.
GandCrab
Questo ransomware utilizza la crittografia AES e rilascia un file chiamato "GandCrab.exe" nel sistema. GandCrab sceglie come bersaglio consumatori e aziende con PC che utilizzano Microsoft Windows. Il 31 maggio 2019, i cyber criminali dietro a GandCrab hanno comunicato che avrebbero interrotto i loro attacchi GandCrab sostenendo di aver ricevuto oltre $2 miliardi di riscatti e preferendo quindi mandare il ransomware "in pensione".
Emotet
Dalla sua nascita nel 2014, Emotet ha preso di mira principalmente le banche: intrufolandosi nei computer delle vittime, ruba informazioni sensibili e private. Emotet è passato attraverso una varietà di versioni, evolvendosi in ransomware in grado di eludere il rilevamento anche da parte di alcuni sistemi anti-malware. Fin dal suo primo attacco, Emotet ha rubato accessi bancari, dati finanziari e portafogli Bitcoin a privati, aziende ed enti governativi in Europa e negli Stati Uniti.
Usando funzionalità simili a worm per diffondersi ad altri computer, gli hacker di solito introducono Emotet tramite e-mail di spam - fatte per sembrare legittime e con l'uso di un linguaggio allettante per indurre la vittima a fare clic sul collegamento.
Secondo il Dipartimento per la Sicurezza interna degli Stati Uniti, Emotet è uno dei malware più costosi e distruttivi. Il costo stimato dell'attacco Emotet medio è superiore a $1 milione per eliminarlo.
Ryuk
Ryuk si rivolge specificamente alle grandi organizzazioni per un elevato ritorno finanziario. Secondo CrowdStrike, tra agosto 2018 e gennaio 2019, Ryuk ha guadagnato oltre 705,80 bitcoin in 52 transazioni per un valore totale di $3.701.893,98. Il suo primo attacco risale al periodo natalizio del 2018 contro le operazioni di Tribune Publishing. All'inizio, la società pensava che l'attacco fosse solo un'interruzione del server, ma ben presto è stato chiaro che si trattava del ransomware Ryuk.
Una variante del ransomware Ryuk prende di mira le grandi imprese per un ROI elevato. Questi attacchi su larga scala implicano la personalizzazione dettagliata dei malware per adattarsi al meglio ai singoli bersagli, aumentando l'efficacia dell'attacco. La "caccia alla selvaggina grossa" richiede quindi molto più lavoro da parte dell'hacker. Normalmente questi attacchi vengono lanciati in più step: la prima fase potrebbe essere un attacco di phishing incentrato sull'infezione di una rete aziendale con malware per mappare il sistema e identificare le risorse cruciali da prendere di mira. Le fasi due e tre saranno invece una serie di estorsioni e attacchi / richieste di riscatto.
Sono un potenziale bersaglio per i ransomware?
Nessuno è al sicuro dagli effetti dei ransomware. Sfortunatamente, alcuni soggetti sono più esposti agli attacchi di altri.
Ci sono una serie di ragioni per questo:
- la tecnologia adottata
- le misure di sicurezza messe in atto
- i protocolli di sicurezza informatica generali
Leggendo le notizie, avrai notato che aziende di dimensioni e settori diversi sono state vittime di attacchi ransomware. Dall'assistenza sanitaria alle compagnie aeree, gli hacker non sembrano avere una preferenza sui bersagli che prendono di mira... o forse no?
Un utente malintenzionato normalmente sceglierà un'organizzazione da colpire in base a due variabili:
- Opportunità
- Potenziale guadagno finanziario
|
Opportunità
Se un'azienda dispone di poche risorse IT e molti dipendenti condividono gli stessi file, come nel caso di una università ad esempio, è più probabile che diventi un bersaglio facile per gli hacker.
Potenziale guadagno finanziario
Le aziende che necessitano di un accesso immediato ai propri file, come gli studi legali o le agenzie governative potrebbero essere più propensi a pagare rapidamente un riscatto. Le organizzazioni con dati sensibili potrebbero anche essere disposte a pagare per non dover rendere pubblico di essere state vittime di una violazione dei dati.
|
Devo pagare il riscatto del ransomware?
Se pensi che pagare un riscatto per ottenere l'accesso ai tuoi dati sia già abbastanza grave, ricorda che esistono anche altri costi da sostenere per i danni provocati da un attacco. Tra questi:
- Danno e distruzione (o perdita) dei dati
- Perdita di produttività
- Interruzione post-attacco del normale svolgimento dell'attività
- Indagini forensi
- Ripristino e cancellazione dei dati e dei sistemi degli ostaggi
- Danno alla reputazione
- Formazione dei dipendenti in risposta diretta agli attacchi
Se si tiene conto di quanto sopra, non c'è da meravigliarsi se si prevede che i danni da ransomware possano salire notevolmente e in modo progressivo nei prossimi anni.
Quando si parla con esperti di criminalità informatica, la maggior parte esorta a non pagare i riscatti poiché il finanziamento di attacchi di ransomware aiuterà solo a creare più ransomware.
Tuttavia, molte organizzazioni si oppongono a questo consiglio soppesando il costo dei dati crittografati rispetto al riscatto richiesto. Nel 2019, negli Stati Uniti, il 45% delle aziende colpite da ransomware ha pagato i propri aggressori.
Ma perché?!
Sebbene venga ampiamente suggerito di non pagare il riscatto, tale rifiuto potrebbe non essere il miglior modus operandi per l'azienda stessa. Ciò accade quando esiste la possibilità che l'azienda possa perdere in modo permanente l'accesso a dati vitali, incorrere in multe da parte delle autorità di regolamentazione o chiudere del tutto l'attività. La scelta tra pagare un riscatto relativamente modesto e restare in attività o rifiutarsi di pagare non è facile.
In alcuni casi di attacchi ransomware, il riscatto richiesto è spesso "conveniente" per entrambe le parti: abbastanza vantaggioso per l'hacker, abbastanza economico per la vittima rispetto a quanto dovrebbe pagare per ricostruire i propri dati persi. A volte vengono offerti sconti se la vittima paga entro un determinato periodo di tempo, ad es. 3 giorni.
Alcune aziende stanno accumulando riserve di Bitcoin appositamente per il pagamento dei riscatti. Ciò è particolarmente evidente nel Regno Unito, dove le organizzazioni sembrano più propense a pagare gli hacker. Secondo Gotham Sharma, amministratore delegato di Exeltek Consulting Group, "Circa un terzo delle aziende britanniche di medie dimensioni riferisce di avere a disposizione Bitcoin per rispondere alle emergenze di ransomware quando le altre opzioni non possono essere immediatamente esaurite".
Cosa fare in caso di attacco ransomware
Nel caso tu sia diventato bersaglio di un attacco ransomware, la prima cosa da fare è scoprire di che tipo di ransomware si tratta.
Se non riesci a cliccare nulla sullo schermo, probabilmente sei stato infettato da un ransomware che blocca lo schermo. Se riesci a sfogliare le tue app ma non riesci ad aprire file, film, ecc., allora è probabile che tu sia stato colpito da un ransomware di crittografia, il peggiore dei due. Se riesci a navigare nel tuo sistema e leggere tutti i tuoi file, probabilmente sei finito nel mirino di un falso ransomware che sta solo cercando di spaventarti e indurti a pagare.
Scopri come gestire il caso di attacco ransomware con blocco dello schermo e crittografia leggendo questo articolo.
Pur adottando tutte le migliori precauzioni e policy di sicurezza, potresti comunque subire un attacco. Nel caso in cui i tuoi dati siano tenuti in ostaggio da un ransomware, ti consigliamo di:
- Mantenere la calma. Le decisioni avventate potrebbero causare un'ulteriore perdita di dati. Ad esempio, se si scopre un'infezione e si interrompe improvvisamente l'alimentazione a un server, invece di spegnerlo correttamente, si potrebbero perdere dati oltre a quelli infetti.
- Non pagare mai il riscatto perché gli hacker potrebbero comunque non sbloccare i tuoi dati. Ci sono molti casi di vittime che pagano il riscatto richiesto e non ricevono in cambio i propri dati. Piuttosto che correre questo rischio, le aziende dovrebbero collaborare con esperti di recupero dati che potrebbero essere in grado di riottenere l'accesso ai dati eseguendo il reverse engineering del malware.
- Controlla il tuo set di backup più recente. Se sono intatti e aggiornati, il recupero dei dati e il loro ripristino su un sistema diverso diventa più semplice.
- Contatta un esperto per esplorare le opzioni di ripristino. Uno specialista di recupero dati esaminerà il tuo scenario per vedere se ha già una soluzione in atto; in caso contrario, dovrebbe essere in grado di svilupparne ad hoc.
Come prevenire un attacco ransomware
Le varianti di ransomware prendono di mira diverse realtà aziendali e di business. I bersagli con un più elevato rischio di attacco sono i sistemi di assistenza sanitaria, le istituzioni finanziarie e le agenzie governative. Coloro che sono a rischio dovrebbero prendere precauzioni per ridurre e diminuire gli effetti di un attacco.
Una delle policy di protezione più importanti che l'azienda dovrebbe mettere in atto è quella di disporre di un piano di disaster recovery. In sua assenza le conseguenze potrebbero essere molto gravi. Secondo la National Archives and Records Administration, il 93% delle aziende che subiscono perdite di dati e tempi di inattività per dieci o più giorni dichiarano bancarotta entro 12 mesi.
Un piano di disaster recovery descrive diverse attività da implementare per riprendere il lavoro rapidamente in caso di disastro, come ad esempio un attacco ransomware. Una parte fondamentale del piano di business continuity di un'azienda dovrebbe consentire un ripristino IT rapido ed efficace oltre alla prevenzione da possibili perdite di dati.
Di seguito alcuni suggerimenti:
-
Assicurati di disporre di backup aggiornati - in questo modo, se succede qualcosa, il ripristino dei file da un backup è il modo più veloce per riottenere l'accesso ai dati.
-
Preparati testando regolarmente i backup. Le organizzazioni devono avere familiarità con ciò che viene archiviato negli archivi di backup e garantire che i dati più critici siano accessibili nel caso in cui il ransomware miri ai backup stessi.
-
Implementa policy di sicurezza. Utilizza versioni software antivirus e antimalware e monitora costantemente per prevenire le infezioni.
-
Sviluppa criteri IT che limitino le infezioni su altre risorse connesse alla rete.Le aziende dovrebbero mettere in atto misure di sicurezza, di modo che se un dispositivo viene infettato da ransomware, questo non si espanda su tutta la rete.
-
Investi nella formazione degli utenti, in modo che tutti i dipendenti possano individuare un potenziale attacco. Assicurati che i dipendenti siano a conoscenza delle migliori pratiche per evitare di scaricare accidentalmente ransomware o aprire la rete a estranei.
-
Assicurati di attivare la scansione e i filtri dei contenuti sui tuoi server di posta : Scansiona ogni e-mail in entrata per minacce note e blocca tutti i tipi di allegati che potrebbero rappresentare una minaccia.
Ridurre le possibilità di attacco
Molto spesso le aziende non danno il giusto peso e la giusta considerazione alla gestione dei dati durante il loro ciclo di vita.
Non adottare alcuna strategia durante il ciclo di vita delle informazioni digitali, espone le aziende a gravi rischi e costi per la sicurezza. Oggi, il costo generati da una protezione inefficace dei dati è prezzo troppo alto da pagare.
|
Le imprese che non adottano policy di sicurezza, in caso di attacco, si ritroverebbero a gestire tutti potenziali rischi e problematiche legati alla violazione di dati, reputazione danneggiata, perdita di clienti, tempi di inattività e multe elevate.
Le aziende che invece investono tempo e denaro per una corretta gestione del ciclo di vita dei dati possono ridurre al minimo i rischi e i costi dei propri dati business-critical in tutte le fasi.
Scopri come Ontrack può aiutarti a gestire il ciclo di vita dei tuoi dati.
|
Il supporto di Ontrack alle aziende colpite da ransomware
In Ontrack, monitoriamo costantemente oltre 300 diversi tipi di ransomware. I ransomware cambiano e si sviluppano continuamente, quindi vogliamo essere sicuri di studiare al meglio tutte le loro evoluzioni. Conoscere i ransomware e le loro forme aumenta le possibilità di recuperare i dati persi a seguito di un attacco.
Al momento i nostri specialisti hanno la capacità di intervenire su oltre 130 tipi di ransomware. Solo un paio di anni fa questa cifra era pari a 6, quindi abbiamo fatto molta strada!
Quando si tratta di dati inaccessibili, è sempre meglio contattare un esperto. Se ti trovi sotto attacco ransomware, contatta un esperto come Ontrack che potenzialmente ha la capacità di aiutarti a darti la possibilità di accedere nuovamente ai tuoi dati.
Di seguito alcuni esempi di casi di recupero dati ransomware che abbiamo completato con successo.