Risorse > Glossario dei termini sulla sicurezza > Cosa sono gli attacchi ransomware?

Cosa sono gli attacchi ransomware?

Cosa sono gli attacchi ransomware?

Il ransomware è una tipologia di malware (software dannoso) che blocca un sistema o cripta i file, rendendo i dati inaccessibili fino a quando la vittima non paga uno specifico importo in denaro, solitamente in criptovaluta. Una volta effettuato il pagamento del riscatto, la vittima dovrebbe ricevere una chiave di decriptazione per ottenere nuovamente l'accesso a file e sistemi.

Questi attacchi sono diventati rapidamente il metodo di estorsione preferito dai criminali informatici. Con le organizzazioni che conservano grandi quantità di dati sensibili e i modelli di lavoro da remoto e ibridi che espongono gli endpoint a nuove vulnerabilità, gli hacker riescono a sfruttare a loro vantaggio questa efficace tipologia di crimine informatico.

Gli attacchi ransomware sono ormai così diffusi che l'FBI è intervenuta per fornire indicazioni su come prevenirli. Il problema è che i ransomware e i gruppi che li utilizzano sono in costante evoluzione, e riescono a eludere sempre meglio i metodi di rilevamento più comuni, come antimalware e antivirus.

Come funzionano gli attacchi ransomware?

Un tipico attacco ransomware si svolge in quattro fasi.

  1. Consegna

La prima fase è la consegna, e avviene solitamente tramite un'e-mail di phishing che l'utente è invogliato ad aprire. Spesso, questa e-mail sembra provenire da una fonte attendibile, come un marchio noto. Società di spedizione, banche e grandi rivenditori vengono generalmente "emulati" nelle e-mail di phishing con messaggi che riguardano ritardi nelle consegne, acquisti fraudolenti, conti dal saldo troppo basso e così via.

Queste e-mail sono state progettate affinché sembrino provenire da mittenti familiari, ma includono dei file dannosi, come PDF o link di Google Drive. Questi file contengono dei loader di malware che, una volta aperto il file, rilasciano il contenuto dannoso nel sistema della vittima e preparano l'attacco.

     2. Sfruttamento

La fase successiva è lo sfruttamento, che prevede la diffusione dell'attacco dopo il caricamento del malware. In genere, questa fase inizia dopo che il destinatario apre un allegato di un'e-mail che trasmette il malware a un dispositivo.

Se il dispositivo infetto si trova in una rete, il malware identifica il controller di dominio con cui il dispositivo sta comunicando. Una volta identificato, ruba le credenziali, in modo da potersi spostare all'interno della rete e infettare altri dispositivi.

     3. Callback

La fase successiva è il callback, in cui il payload del malware tenta di comunicare con i suoi server di comando e controllo (C&C), a cui vengono inviati i dati rubati.

     4. Detonazione

I server di C&C inviano al payload le istruzioni su come eseguire la fase finale: la detonazione. Durante questa fase, il malware ruba i dati e installa il ransomware, criptando e bloccando il sistema o i dati in modo che un individuo o un'azienda non possano accedervi. La vittima ha in genere un tempo limitato per pagare il riscatto prima che i dati vadano persi per sempre e, a volte, le richieste di riscatto aumentano nelle ore che precedono la scadenza del pagamento.

Se il riscatto viene pagato, le vittime dovrebbero ottenere una chiave di decriptazione per recuperare i dati, ma non sempre la ricevono, e quando lo fanno, non sempre funziona.

Negli attacchi recenti, alcuni criminali hanno iniziato a rubare i dati prima di criptarli, minacciando poi di renderli pubblici. In questo modo, anche se le vittime dispongono di buoni backup, le probabilità che paghino il riscatto aumentano.

 

Come si sono evoluti gli attacchi ransomware?

Il ransomware è forse lo strumento preferito dai criminali informatici di oggi, ma in realtà è presente in varie forme ormai da decenni.

  • Il primo ransomware noto è stato introdotto nel 1989 dal dott. Joseph Popp, il quale inviò dei floppy disk intitolati "Dischetto introduttivo e informativo sull'AIDS" ai partecipanti alla conferenza sull'AIDS dell'OMS tenutasi a Stoccolma. Questi dischetti contenevano un codice dannoso che si installava sui sistemi MS-DOS e iniziava a contare il numero di volte in cui gli utenti avviavano i loro computer.
  • Alla 90° volta, il Trojan del dott. Popp nascondeva tutte le directory e criptava tutti i file sull'unità, rendendoli inutilizzabili. Le vittime ricevevano poi una nota, apparentemente proveniente da PC Cyborg Corporation, che indicava che il contratto di licenza del software del proprietario era scaduto e che andavano inviati 189 dollari a un indirizzo di Panama per riottenere l'accesso.
  • La successiva ondata di attacchi informatici di tipo ransomware è stata battezzata "scareware". Gli utenti ricevevano un avviso relativo a un errore catastrofico sul proprio computer, seguito dall'ordine di pagare e scaricare un software per pulire o riparare il dispositivo. Ovviamente, il software era semplicemente un altro malware progettato per rubare informazioni dal computer.
  • Man mano che la condivisione di file è diventata più popolare, si è sviluppata un'altra forma comune di ransomware, chiamata attacco Police Locker. Spesso nascosto su siti di download peer-to-peer o siti web che ospitano materiale pirata o per adulti, questo attacco modificava il desktop dell'utente affinché mostrasse una nota con l'informazione che le forze dell'ordine avevano bloccato il computer a causa di attività illegali sospette. La paura spingeva molte vittime a pagare qualche centinaio di dollari per farsi sbloccare il computer. Tuttavia, in molti di questi attacchi, il locker poteva essere rimosso semplicemente riavviando il sistema.

Le infezioni da ransomware vanno considerate come attacchi distruttivi, non come eventi in cui basta pagare degli utenti malintenzionati per riacquisire il controllo della rete.

Cybersecurity and Infrastructure Security Agency

Tipi/esempi di attacchi ransomware

Tra le varie tipologie e i vari gruppi di ransomware, alcuni dei più comuni e conosciuti sono:

  • GandCrab: secondo il report di VirusTotal Ransomware in Global Context, dal 2020 questa famiglia è la più diffusa tra gli attacchi ransomware, e ne fa parte il 78,5% dei campioni che sono stati considerati per il report.
  • REvil: questo gruppo è noto per aver rubato grandi quantità di informazioni nel settore legale, dell'intrattenimento e nel settore pubblico. Ha fatto notizia per la prima volta a maggio del 2020, per poi lanciare degli attacchi ogni mese, da marzo a ottobre del 2021, incluso l'attacco a Kaseya VSA.
  • WannaCry: un cryptoworm ransomware destinato al sistema operativo Microsoft Windows, dal suo rilascio, nel 2017, ha colpito oltre 300.000 sistemi in tutto il mondo, e la cifra continua ad aumentare.
  • Ryuk: questo ceppo di ransomware è stato ricondotto a una serie di gruppi che hanno colpito settori come la sanità, il settore pubblico e l'istruzione, in particolare i sistemi scolastici statunitensi.
  • DarkSide: associato al gruppo di ransomware DarkSide, questa variante è stata responsabile dell'attacco a Colonial Pipeline del 2021 ed è uno degli esempi di ransomware a doppia estorsione più degni di nota. Questo particolare attacco è tipicamente utilizzato come servizio (as a service).
  • Evil Corp: questo gruppo è responsabile di Dridex, un tipo di malware distribuito tramite e-mail di phishing, noto per il furto di credenziali bancarie. Da allora è stato associato ad altri tipi di ransomware, come WastedLocker, BitPaymer e DoppelPaymer.
  • Maze: questa variante è stata individuata per la prima volta a maggio del 2019 ed è stata utilizzata in un attacco ransomware a Cognizant, che ha causato interruzioni del servizio per alcuni dei suoi clienti.

E tu sei davvero al sicuro dagli attacchi ransomware? Esegui gratuitamente un'analisi dell'esposizione alle minacce di Internet per scoprirlo.

Il legame tra ransomware e criptovaluta

All'inizio, le richieste di riscatto ammontavano generalmente a poche centinaia di dollari, perché venivano presi di mira prevalentemente utenti privati. Le vittime dei ransomware pagavano con valute standard, quindi gli aggressori avevano maggiori possibilità di essere identificati.

Con la diffusione delle criptovalute, ovvero valute digitali basate sull'anonimato e sulla crittografia, si è vista un'inversione di tendenza per gli aggressori. Le criptovalute, come i bitcoin, fanno sì che le transazioni siano praticamente impossibili da tracciare, e questo consente agli utenti malintenzionati di coprire le proprie tracce.

In alcuni recenti attacchi ransomware, le organizzazioni hanno pagato ingenti somme di denaro agli aggressori, e questo può rappresentare uno dei motivi per cui questi attacchi diventano sempre più popolari.

Paul Webber, Senior Director Analyst, Gartner

Il pagamento di un riscatto non garantisce che i dati verranno decriptati o che i sistemi o i dati non verranno più compromessi

Cybersecurity and Infrastructure Security Agency

Ransomware as a Service (RaaS)

Il ransomware as a service è un prodotto della popolarità e del successo dei ransomware. Come per molte soluzioni SaaS legali, solitamente, gli strumenti RaaS sono basati su un abbonamento. Sono spesso economici e prontamente disponibili sul dark web, e forniscono a chiunque una piattaforma per lanciare un attacco, anche a coloro che non dispongono di competenze di programmazione. Se un attacco RaaS ha successo, il denaro incassato con il riscatto viene diviso tra il provider del servizio, il programmatore e l'abbonato.

 

Il riscatto va pagato?

Quando si parla di ransomware, l'annosa questione è questa: il riscatto va pagato, sì o no?

Naturalmente, a causa del rischio che i dati vengano esposti, molte organizzazioni sono disposte a pagare, ma questo è davvero il modo giusto per affrontare la situazione? Secondo i dati di Gartner, l'80% (delle organizzazioni che pagano) subisce un altro attacco ransomware. Forse pagare non è la soluzione migliore, ma qual è l'alternativa? Lasciare che gli utenti malintenzionati espongano i dati al mondo?

Purtroppo, non esiste una risposta corretta e assoluta. Secondo Paul Proctor, analista presso Gartner, la risposta dipende dall'azienda: “Dipende da quanto i risultati aziendali saranno influenzati dalla mancanza dei dati rubati. L'organizzazione deve valutare se la perdita di fatturato vale il rischio di effettuare il pagamento".

 

Quali sono gli effetti dei ransomware sulle aziende?

Basta dare un'occhiata alle notizie per capire in che modo i ransomware colpiscono le aziende di tutti i settori. Tuttavia, nel caso in cui abbia vissuto su Marte fino ad oggi e non abbia mai visto una notizia del genere, ecco alcuni dei modi in cui un ransomware può danneggiare il bilancio aziendale:

  • Perdita di denaro (e/o dati)

Il problema più evidente dei ransomware è che chi li distribuisce cerca di tenere in ostaggio i dati ("ransom" significa infatti "riscatto") fino a quando non si paga una somma di denaro per la restituzione. Questo fattore alimenta un pericoloso circolo vizioso per l'azienda, in particolare se questa opera nel settore sanitario, pubblico, finanziario o in altri settori che ospitano elevate quantità di dati sensibili.

Se si ignorano le richieste degli utenti malintenzionati, si rischia di esporre i dati al pubblico o, peggio, ad altri gruppi di minacce che pagheranno ingenti somme per accedervi. Tuttavia, anche se si paga il riscatto, c'è comunque la possibilità che i dati non vengano recuperati. Ecco perché è fondamentale mettere in atto tecniche di prevenzione.

  • Danneggiamento della reputazione

Che si scelga o meno di pagare il riscatto, si ha l'obbligo di segnalare il crimine, e questo significa che, prima o poi, l'organizzazione finirà sui titoli di giornale. Molti ne hanno già fatto le spese, e l'elenco delle organizzazioni continuerà ad aumentare finché i ransomware continueranno a evolversi e le aziende continueranno a non prepararsi per affrontarli nel modo adeguato.

Spesso, le aziende vittime di ransomware registrano perdite di fatturato a causa della perdita di fiducia da parte dei clienti. Anche se la responsabilità non è solo ed esclusivamente dell'azienda, è probabile che i clienti e i potenziali consumatori la pensino diversamente.

  • Ripercussioni legali

Sì, pagare il riscatto di un attacco ransomware è illegale. In una sentenza del 2020, l'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro statunitense e il Financial Crimes Enforcement Network (FinCEN) hanno dichiarato illegale il pagamento di un riscatto, nella maggior parte dei casi.

Se la perdita di dati e fatturato e il danno all'immagine pubblica non fossero sufficienti, anche le spese legali potrebbero rivelarsi costose.

 

Dati sugli attacchi criptati nel 2021

Scarica il resoconto
Scopri come gli attacchi ransomware vengono nascosti all'interno del traffico criptato.

Tre segreti per fermare il Ransomware

Guarda il webinar
Unisciti a noi in diretta: 3 segreti per fermare i ransomware

I ransomware nel 2022: cosa c'è da sapere e come prepararsi

Guarda il webinar
Unisciti a noi in diretta: 3 segreti per fermare i ransomware

Quali sono le prospettive?

Gartner ha indicato i "nuovi modelli di ransomware" come il principale rischio che le organizzazioni si trovano a dover affrontare. Secondo il suo report sul monitoraggio dei rischi emergenti, la preoccupazione per i ransomware ha addirittura superato quella per la pandemia.

Se non lo era prima, ora è chiaro: non basta sapere come prepararsi all'eventualità di subire un attacco ransomware; ciò che è fondamentale, è capire come prevenirlo.

Fermare tutti gli attacchi ransomware è impossibile, ma attraverso una rigorosa due diligence, una formazione che accresca la consapevolezza degli utenti e le giuste tecnologie, è possibile ridurre al minimo la minaccia che questi attacchi rappresentano per l'azienda.

 

I passaggi da seguire per rimuovere i ransomware

I ransomware possono essere eliminati, ma questa operazione deve essere svolta con attenzione e cautela, seguendo una procedura ben precisa.

1° passaggio: isolare il dispositivo infetto

Ciò significa scollegare il dispositivo da qualsiasi connessione cablata o wireless per mettere in quarantena il ransomware e impedirne la diffusione. Se non è ancora stato richiesto il riscatto, assicurati di rimuovere immediatamente il malware dal sistema.

2° passaggio: scoprire di che tipo di ransomware si tratta

Con l'aiuto di un professionista della sicurezza o di uno strumento, scopri quale ceppo di ransomware deve essere rimosso. In questo modo, otterrai una maggiore comprensione di come mitigare il ransomware che si sta diffondendo nel sistema.

3° passaggio: rimuovere il ransomware

Rimuovi l'infezione dal disco rigido con uno strumento di rimozione dei ransomware, l'aiuto di un professionista della sicurezza IT o tramite la tua procedura manuale. Utilizza quindi un decodificatore di ransomware o uno strumento di decodifica per recuperare i dati criptati tenuti in ostaggio.

4° passaggio: ripristinare il sistema con un backup

Utilizza un archivio di sistema o recupera i file dal sistema operativo compromesso. Nell'ambito di questa procedura, è importante che sia stato eseguito il backup, perché questo sarà l'unico modo per accedere ai dati una volta che ransomware li avrà criptati. Questa è una procedura consigliata sia per i ransomware che per le violazioni di dati.

 

Protezione dai ransomware

Per rimanere al passo con la costante minaccia dei ransomware, è necessario implementare un'efficace strategia anti-ransomware che includa principi e strumenti per:

  • Ispezionare e mettere in quarantena i contenuti sospetti con una sandbox basata sull'intelligenza artificiale
  • Ispezionare tutto il traffico criptato con TLS/SSL
  • Implementare una protezione sempre attiva, seguendo le connessioni fuori dalla rete

Secondo le moderne best practice di sicurezza informatica, il modo migliore per proteggersi dai ransomware è quello di abbinare soluzioni moderne a un approccio difensivo proattivo.

 

Cosa può fare Zscaler

Zscaler offre una protezione dai ransomware nativa del cloud per proteggere le organizzazioni dai ransomware attraverso Zero Trust Exchange™, una piattaforma che:
 

1. Utilizza la quarantena in sandbox basata sull'IA

Con una quarantena in sandbox basata su AI e integrata in un'architettura proxy nativa del cloud, i file possono essere messi in quarantena e analizzati completamente prima di essere consegnati, azzerando così il rischio di infezioni da paziente zero. A differenza degli approcci passthrough tradizionali, i file sospetti o sconosciuti saranno trattenuti per l'analisi e non raggiungeranno l'ambiente.

Una soluzione nativa del cloud e basata sull'IA, come Zscaler Cloud Sandbox (parte di Zero Trust Exchange) offre dei vantaggi che vanno ben oltre quelli delle soluzioni antimalware legacy, tra cui:

  • Controllo completo sulle azioni di quarantena, con una policy granulare definita in base a gruppi, utenti e tipo di contenuto
  • Valutazioni di sicurezza in tempo reale per i file sconosciuti, grazie al machine learning
  • Download rapidi e sicuri dei file, dove ogni file considerato dannoso viene contrassegnato per la quarantena
     

2. Ispeziona tutto il traffico criptato

Zscaler gestisce un'architettura proxy nativa del cloud, che consente di eseguire un'ispezione SSL completa su vasta scala, senza doversi preoccupare delle prestazioni o di espandere la potenza di elaborazione di costosi apparecchi fisici. 

Utilizzando un cloud globale distribuito in più di 150 data center in sei continenti, il traffico SSL può essere ispezionato scrupolosamente per scovare minacce ransomware nascoste, senza alcun calo delle prestazioni, anche se la larghezza di banda dell'utente dovesse aumentare drasticamente. 
 

3. Segue le connessioni fuori dalla rete

Zero Trust Exchange è in grado di fornire queste due strategie, la quarantena in sandbox basata sull'IA e l'ispezione SSL completa, a tutti gli utenti, indipendentemente dalla loro posizione o dispositivo. Tutte le connessioni, su qualsiasi rete, ricevono la stessa protezione, affinché sia possibile individuare e contrastare le minacce conosciute e quelle sconosciute e proteggere l'azienda dalle infezioni ransomware da paziente zero.

Questo approccio alla prevenzione dei ransomware inizia con la protezione delle connessioni degli utenti. Gli utenti al di fuori della rete devono solo aggiungere sui propri laptop o dispositivi mobili Zscaler Client Connector, il nostro agente leggero per endpoint (disponibile per Android, iOS, macOS e Windows), per ottenere la protezione offerta dagli stessi strumenti di sicurezza, policy e controlli di accesso di cui usufruirebbero nella sede centrale.

In poche parole, la prevenzione degli attacchi ransomware inizia con lo zero trust e con Zero Trust Exchange.