Le vulnerabilità delle VPN ti preoccupano? Scopri come usufruire della nostra offerta per eliminare le VPN che include 60 giorni di prova gratuiti.

Parla con un esperto

Cosa sono gli attacchi ransomware?

Gli attacchi ransomware sono un tipo di attacco malware in cui gli autori delle minacce possono cifrare i file, esfiltrare (rubare) i dati e minacciare di pubblicarli, o tutte queste cose insieme, per costringere la vittima a effettuare un pagamento di riscatto che solitamente è richiesto in criptovaluta. Generalmente gli aggressori promettono di fornire le chiavi di decifrazione e/o di eliminare i dati rubati una volta pagato il riscatto. Il ransomware è diventato un mezzo di estorsione molto popolare per i criminali informatici, in quanto i modelli di lavoro remoto e ibrido hanno esposto gli endpoint a nuove vulnerabilità.

Ricevi il report del 2023 di Zscaler ThreatLabz sui ransomware

Come funzionano gli attacchi ransomware?

Una tipica sequenza di attacco ransomware è simile a quella che segue:

Compromissione iniziale

Molti attacchi ransomware iniziano con la ricezione di e-mail di phishing spesso mascherate da messaggi provenienti da rivenditori, banche o altre entità affidabili in merito a ritardi nella consegna, acquisti fraudolenti, saldi di conto troppo bassi e così via. Queste e-mail includono file o link infetti che, una volta aperti, rilasciano un software dannoso sul computer o sul dispositivo mobile della vittima per lanciare un attacco.

Movimento laterale

Una volta che il malware infetta un dispositivo, l'attacco si diffonde. Se il dispositivo infetto si trova su una rete, il malware tenterà di compromettere un controller di dominio o di rubare in altro modo le credenziali che gli consentiranno di muoversi lateralmente attraverso la rete e infettare altri dispositivi.

Esecuzione

Una volta ottenuto un accesso sufficiente, il malware verrà eseguito ed esfiltrerà e/o ruberà i dati della vittima. Infine, quest'ultima riceverà una richiesta di riscatto, in genere riportante un limite di tempo decorso il quale i dati verranno venduti, divulgati o resi irrecuperabili. Se la vittima paga, dovrebbe ricevere una chiave di decifrazione che le consentirà di recuperare i dati, ma questo non accade sempre e, anche quando succede, non sempre la chiave funziona.

Le infezioni da ransomware vanno considerate come attacchi distruttivi, non come eventi in cui basta pagare degli utenti malintenzionati per riacquisire il controllo della rete.

Cybersecurity and Infrastructure Security Agency

Come si sono evoluti gli attacchi ransomware?

I ransomware sono nati nel 1989, quando i partecipanti a una conferenza internazionale sull'AIDS hanno ricevuto dei floppy disk su cui, invece di esserci informazioni sull'AIDS come riportato, era stato caricato un virus trojan. Dopo 90 riavvii del sistema su un sistema infetto, il trojan nascondeva tutte le directory, cifrava tutti i file sul disco rigido infetto e mostrava un messaggio di "PC Cyborg Corporation" che richiedeva un pagamento di 189 dollari a un indirizzo a Panama per ripristinare l'accesso.

La successiva ondata di attacchi informatici in stile ransomware è arrivata all'inizio degli anni '90 con gli "scareware", così denominati per l'uso di tecniche di ingegneria sociale basate sulla paura. I computer infetti visualizzavano un messaggio di errore seguito da un'offerta per acquistare e scaricare un software che avrebbe risolto il problema. Naturalmente, il software era in realtà un malware, spesso progettato per rubare i dati.

La pratica della condivisione dei file ha reso particolarmente diffusa una categoria di ransomware chiamata police locker, screen locker o semplicemente locker. Spesso nascosti su siti che ospitano download peer-to-peer o contenuti per adulti, i locker mostrano un messaggio che spiega che il sistema è stato bloccato (citando spesso la forze dell'ordine o agenzie governative come l'FBI, sospette attività illegali ecc.) e resterà in tale stato fino al pagamento di una sanzione da parte dell'utente. Molti locker limitano semplicemente il movimento del mouse, e il riavvio del sistema potrebbe sufficiente per ripristinarne il normale funzionamento, ma è la paura a spingere molte vittime a pagare.

Il legame tra ransomware e criptovaluta

All'inizio, venivano richiesti riscatti di qualche centinaio di dollari a singoli utenti. Inoltre, i pagamenti del riscatto venivano solitamente effettuati con normali carte di pagamento, rendendo le transazioni molto più facili da tracciare e gli autori delle minacce più facili da catturare.

Oggi però, le innovazioni nel campo della criminalità informatica e della tecnologia crittografica hanno contribuito a far esploderne la popolarità dei ransomware. In particolare, bitcoin e altre criptovalute, come valute digitali basate sull'anonimato e sulla crittografia, hanno consentito agli utenti malintenzionati di coprire le proprie tracce rendendo le transazioni praticamente irrintracciabili.

Ransomware as a Service (RaaS)

Gli strumenti RaaS (Ransomware as a Service), nati di conseguenza a tale crescente popolarità e successo, sono spesso basati su abbonamenti e poco costosi, proprio come le offerte SaaS legali. Molti sono facilmente reperibili sul dark web e consentono anche a persone senza competenze di programmazione di lanciare un attacco informatico e ottenere una parte dei guadagni.

Doppia estorsione

I miglioramenti nelle tecnologie di backup e di decifrazione dei dati hanno però iniziato a spostare l'ago della bilancia a favore delle vittime. In risposta, nel 2019 un gruppo criminale chiamato TA2102 ha perpetrato il primo attacco ransomware a doppia estorsione di alto profilo, cifrando ed esfiltrando i dati della vittima per poi minacciarne la divulgazione a meno che non fossero pagati 2,3 milioni di dollari in bitcoin. Così facendo, anche se la vittima fosse riuscita a ripristinare i propri dati, se avesse deciso di non pagare, avrebbe comunque subito una grave violazione dei dati.

Ransomware senza crittografia

Nel 2022 e nel 2023, è emersa una tendenza insidiosa che ha ridefinito il ransomware. Gli attacchi ransomware senza crittografia sono un'evoluzione, ma anche una sorta di regressione, in quanto non i file delle vittime non vengono cifrati. Gli aggressori si concentrano quindi solo sull'esfiltrazione dei dati sensibili, in modo da fare pressione per l'estorsione.

Le vittime di questi attacchi tendono a operare in settori che gestiscono informazioni personali altamente sensibili, come il settore legale e quello sanitario. Dato che la loro preoccupazione principale è di impedire la fuga dei propri dati, molte organizzazioni pagheranno il riscatto indipendentemente dalla cifratura. Siccome i dati non sono cifrati, è più semplice e veloce recuperarli, e questo spesso si traduce in pagamenti più rapidi del riscatto.

Scopri di più sui ransomware senza crittografia e sulle altre tendenze nel Report del 2023 sui ransomware di Zscaler ThreatLabz.

Tipi/esempi di attacchi ransomware

Tra le varie tipologie di ransomware e di gruppi di ransomware, alcuni dei più comuni e conosciuti sono:

  • CryptoLocker: questo ransomware, caratterizzato da una potente crittografia e da una massiccia botnet, ha avuto molto successo nel 2013 e nel 2014, e continua a ispirare attacchi che ne imitano la tecnica.
  • Dridex: si tratta di un importante trojan noto per rubare le credenziali bancarie tramite e-mail di phishing, ed è associato a tipi di ransomware come WastedLocker, BitPaymer e DoppelPaymer.
  • WannaCry: un criptoworm che prende di mira il sistema operativo Microsoft Windows e che dal suo rilascio nel 2017 ha colpito più di 300.000 sistemi in tutto il mondo (un numero che continua a crescere).
  • NotPetya: emerso subito dopo WannaCry, NotPetya inizialmente sembrava un ransomware, ma in realtà era un "destructionware" violento attribuito al gruppo di hacker russo Sandworm.
  • Ryuk: questo ceppo di ransomware è stato collegato a una serie di gruppi che hanno colpito settori come la sanità, la pubblica amministrazione e l'istruzione, in particolare i sistemi scolastici statunitensi.
  • REvil: noto per le violazioni nei settori legale, dell'intrattenimento e pubblico, REvil ha lanciato una raffica di attacchi tra maggio 2020 e ottobre 2021, incluso l'attacco a Kaseya VSA.
  • DarkSide: questa variante, responsabile dell'attacco a Colonial Pipeline del 2021, è uno degli esempi più famosi di ransomware a doppia estorsione, un particolare tipo di attacco che tipicamente è fornito come servizio.
  • GandCrab: il report del 2021 "Ransomware in a Global Context " di VirusTotal ha citato GandCrab come l'attacco ransomware più diffuso, rappresentando il 78,5% dei campioni prelevati.

Sei davvero al sicuro dagli attacchi ransomware? Per scoprirlo, esegui un'analisi gratuita dell'esposizione alle minacce di Internet.

Quali sono i 7 vettori principali di attacco ransomware?

Gli aggressori che lanciano attacchi ransomware sono sempre al lavoro per innovare le proprie tecniche, con diverse strategie che si contraddistinguono per essere i mezzi più diffusi (ed efficaci) per infiltrarsi nei sistemi. Ecco i vettori di attacco ransomware più comuni:

  • Phishing: e-mail o messaggi ingannevoli analoghi solitamente contenenti link o allegati infetti che inducono gli utenti a consentire l'ingresso di ransomware nel proprio sistema.
  • Download drive-by: gli aggressori sfruttano le vulnerabilità presenti nei software, nel sistema operativo o nel browser per consentire download furtivi di ransomware quando la vittima interagisce con siti web o collegamenti compromessi.
  • Vulnerabilità dei software: gli aggressori sfruttano i punti deboli nelle applicazioni o nei sistemi che forniscono punti di ingresso in una rete da cui riescono a distribuire direttamente il ransomware.
  • Siti web dannosi: gli aggressori creano siti falsi o imitazioni di siti reali che gli utenti scambiano per legittimi; questi siti ospitano ransomware e inducono i visitatori a scaricarli con falsi pretesti.
  • Attacchi watering hole: gli aggressori compromettono siti web legittimi utilizzati dalle vittime e utilizzano l'ingegneria sociale per indurre i visitatori a scaricare il ransomware.
  • Attacchi RDP (Remote Desktop Protocol): gli hacker ottengono l'accesso illecito alle connessioni RDP, generalmente violando o rubando le credenziali di accesso per distribuire il ransomware direttamente su una rete target designata.
  • Malvertising (pubblicità dannosa): gli aggressori inseriscono annunci infetti su siti web altrimenti legittimi, che infettano i sistemi con ransomware quando le vittime interagiscono con l'annuncio.

Il riscatto va pagato?

La domanda più difficile che si pongono molte vittime dei ransomware è: "Bisogna pagare o no?"

Molte organizzazioni sono disposte a pagare per proteggere i propri dati, ma è davvero la decisione giusta? Numerosi report dal 2021 hanno rilevato che circa l'80% delle organizzazioni che lo fanno subiscono comunque attacchi ripetuti. Oltre a ciò, come ha affermato Brad Moldenhauer, CISO di Zscaler: "C'è un aspetto importante che va sottolineato: il pagamento dei riscatti digitali potrebbe favorire il terrorismo. Questo è certamente il caso per il crimine informatico".

Ci sono anche altri aspetti da considerare:

  • Non esiste alcuna garanzia per recuperare i dati, sempre presupponendo che questo fosse l'intento dell'aggressore sin da principio (leggi di più su NotPetya).
  • In alcune circostanze e ordinamenti, il pagamento di un riscatto è illegale. Leggi di più.
  • Nel caso della doppia estorsione, anche se le attività nel processo di correzione consentono di recuperare i dati, scegliere di non pagare significa lasciare che gli autori delle minacce espongano i dati a tutti.

Spesso la scelta dipende dalle circostanze specifiche dell'organizzazione, considerando anche il modo in cui le operazioni, gli utenti e i clienti possono essere influenzati da una violazione e dalla possibilità che i dati non vengano recuperati.

Quali sono gli effetti dei ransomware sulle aziende?

I ransomware stanno colpendo organizzazioni di tutti i tipi e in tutto il mondo, e gli attacchi crescono di numero ogni anno portando a effetti potenzialmente negativi su entrate, reputazione e altro.

Fatturato e/o dati persi

Scegliere tra perdere dati e perdere denaro è un dilemma pericoloso, in particolare nei settori che gestiscono i dati sensibili. Se si ignorano le richieste di riscatto, si rischia di perdere i dati, ma anche nel caso in cui si decidesse di pagare, non c'è alcuna garanzia di riottenere dei dati.

Danno alla reputazione

Che si paghi o meno, si è comunque obbligati a denunciare il crimine, e questo può portare alla copertura mediatica. Se gli attacchi fanno notizia, le organizzazioni vittime rischiano di subire perdite in affari, fiducia da parte dei clienti o entrambi, anche se le organizzazioni stesse non hanno colpe.

Ripercussioni legali

In un numero crescente di stati degli Stati Uniti, il pagamento di un riscatto è nella maggior parte dei casi illegale, e altri ordinamenti in tutto il mondo stanno prendendo in considerazione di adottare misure analoghe. Inoltre, una violazione può comportare un ulteriore controllo normativo, che può portare a sua volta a sanzioni e altre spese legali.

I passaggi da seguire per rimuovere i ransomware

I ransomware possono essere sconfitti, ma bisogna farlo un passo alla volta:

Passaggio 1: è necessario isolare i dispositivi infetti scollegandoli da qualsiasi connessione cablata o wireless e, se necessario, anche dall'alimentazione CA, per prevenire la diffusione dell'infezione ransomware. Se si rileva un ransomware prima che venga eseguito, potrebbe essere possibile rimuoverlo dal sistema prima che l'aggressore possa presentare la richiesta di riscatto.

Passaggio 2: è necessario comprendere cosa si sta affrontando e se esiste uno strumento di decifrazione che può aiutare a recuperare i dati cifrati, anche se non si dovrebbe fare affidamento solo su quest'ultimo. I decryptor sono spesso inefficaci contro i ransomware più sofisticati, e non sono di grande aiuto nel caso della doppia estorsione.

Passaggio 3: è necessario recuperare i dati persi, e questo solitamente si può fare ripristinandoli tramite un backup. Effettuare backup periodici è l'unico modo per assicurarsi di poter recuperare i dati una volta cifrati. Se per un qualsiasi motivo recuperare i dati è impossibile, prima di accettare una qualsiasi richiesta di riscatto, vanno considerate attentamente le potenziali conseguenze legali e finanziarie.

Passaggio 4: rimuovere il ransomware con l'aiuto di un professionista della sicurezza, che dovrebbe condurre un'indagine approfondita sulla causa radice per determinare la vulnerabilità che ha consentito l'attacco.

Passaggio 5: bisogna valutare la causa dell'infezione e adottare misure per rafforzare le difese dove hanno fallito, che si tratti dell'exploit di una backdoor, un difetto nel filtraggio della posta elettronica, una mancanza di formazione sufficiente per gli utenti o altro. Gli attacchi ripetuti accadono e possono sempre accadere, ed è importante farsi trovare preparati.

La prevenzione dei ransomware è fondamentale

La realtà è che, una volta che i dati vengono cifrati o esfiltrati, la partita è persa. Ecco perché la prevenzione è la vera chiave per difendersi dai ransomware.

È impossibile fermare tutti gli attacchi ransomware che arrivano, ma con la due diligence, una formazione che sensibilizzi sulla tematica della sicurezza informatica e la giusta tecnologia, è possibile ridurre al minimo i rischi. È necessario adottare una strategia anti-ransomware efficace che includa principi e strumenti in grado di:

  • Ispezionare e mettere in quarantena i contenuti sospetti con una sandbox basata sull'intelligenza artificiale
  • Ispezionare tutto il traffico criptato con TLS/SSL
  • Implementare una protezione sempre attiva, seguendo le connessioni fuori dalla rete

Secondo le moderne best practice di sicurezza informatica, il modo migliore per proteggersi dai ransomware è quello di abbinare soluzioni moderne a un approccio difensivo proattivo.

Cosa può fare Zscaler

Zscaler offre una protezione dai ransomware nativa del cloud per proteggere le organizzazioni attraverso Zero Trust Exchange™, una piattaforma che:

Utilizzare la quarantena in sandbox basata sull'IA

Zscaler è in grado di mettere in quarantena e analizzare integralmente i file sospetti o sconosciuti prima della consegna, eliminando virtualmente il rischio di infezioni da paziente zero. A differenza degli approcci passthrough legacy, questi file non raggiungeranno mai l'ambiente, a meno che non siano ritenuti sicuri.

Una soluzione nativa del cloud e basata sull'intelligenza artificiale, come Zscaler Sandbox (parte di Zero Trust Exchange), offre vantaggi che vanno oltre quelli delle soluzioni antivirus/anti-malware di tipo legacy, tra cui:

  • Controllo completo sulle azioni di quarantena, con policy granulari definite in base a gruppi, utenti e tipo di contenuto
  • Valutazioni di sicurezza in tempo reale per i file sconosciuti, grazie al machine learning
  • Download dei file rapido e sicuro, dove ogni file considerato potenzialmente dannoso viene contrassegnato per la quarantena

Ispezionare tutto il traffico cifrato

Zscaler gestisce un'architettura proxy nativa del cloud che consente di eseguire l'ispezione TLS/SSL completa su larga scala senza preoccuparsi dei limiti prestazionali insiti negli apparecchi costosi. 

Utilizzando un cloud globale distribuito attraverso più di 150 data center in sei continenti, Zscaler è in grado di ispezionare scrupolosamente il traffico SSL alla ricerca di minacce ransomware nascoste senza cali delle prestazioni, anche se la larghezza di banda dell'utente dovesse aumentare drasticamente.

Seguire le connessioni fuori dalla rete

Zero Trust Exchange offre agli utenti il sandboxing basato sull'intelligenza artificiale e l'ispezione TLS/SSL ovunque e su qualsiasi dispositivo. Tutte le connessioni, su qualsiasi rete, ricevono una protezione identica, al fine di individuare e contrastare le minacce informatiche note e sconosciute preservando l'organizzazione dalle infezioni ransomware da paziente zero.

Questo approccio alla prevenzione dei ransomware inizia con la protezione delle connessioni degli utenti. Agli utenti fuori dalla rete basta aggiungere sui propri laptop o dispositivi mobili (con supporto per Android, iOS, macOS e Windows) Zscaler Client Connector, il nostro leggero agente endpoint, affinché possano usufruire degli stessi strumenti di protezione, dell'applicazione delle policy e dei controlli di accesso che avrebbero operando on-premise.

Una prevenzione efficace degli attacchi ransomware inizia con Zero Trust Exchange. Desideri saperne di più? Visita la pagina della nostra piattaforma o richiedi una dimostrazione personalizzata.

Risorse Suggerite

FAQs

Qual è il tipo più comune di attacco ransomware?

La maggior parte degli attacchi ransomware iniziano con il phishing. Gli autori delle minacce utilizzano spesso e-mail, messaggi o siti web ingannevoli per indurre gli utenti a scaricare malware o fornire le proprie credenziali di accesso. Queste tecniche risultano efficaci perché sfruttano le vulnerabilità umane, non quelle tecnologiche; sono quindi difficili da rilevare attraverso le misure di sicurezza tradizionali.

Come viene solitamente distribuito un ransomware?

Il ransomware può essere distribuito attraverso vari vettori, il più comune dei quali è il phishing. Un altro metodo, chiamato download drive-by, scarica automaticamente il ransomware sul sistema della vittima quando quest'ultima visita un sito web compromesso o dannoso. Gli aggressori possono poi utilizzare kit di exploit che prendono di mira le vulnerabilità note dei software per diffondere ransomware. Per attirare le vittime, alcuni utenti malintenzionati utilizzano addirittura annunci fraudolenti, anche su siti web legittimi.

Come inizia un attacco ransomware?

Solitamente, gli attacchi ransomware iniziano quando una vittima interagisce con un link, un sito web o un file dannoso o cede informazioni riservate tramite phishing. Una volta installato sul sistema, il ransomware esfiltrerà e/o cifrerà i file, quindi invierà una richiesta di riscatto promettendo la chiave di decifrazione o la restituzione dei dati rubati.

Come si riesce a sapere se si è stati colpiti da un attacco ransomware?

Sono diversi i segnali rivelatori che possono indicare un attacco un ransomware. I più evidenti sono l'improvvisa incapacità di accedere ai file o la ricezione di un messaggio di riscatto. Alcuni segnali meno evidenti potrebbero essere le modifiche alle estensioni dei file, la visualizzazione di file aggiuntivi nel sistema o eventuali anomalie nel traffico di rete o nell'attività di crittografia. Se si nota uno qualsiasi di questi segnali, è necessario disconnettersi da Internet e consultare immediatamente il team IT o della sicurezza.

Cosa fare se si ritiene che il sistema sia stato infettato da un ransomware?

Se si sospetta di essere stati colpiti da un ransomware, è necessario adottare immediatamente alcune misure per prevenire la diffusione dell'infezione. Innanzitutto, bisogna isolare i dispositivi infetti disconnettendoli da Internet e dalla rete e, se necessario, spegnendoli. Successivamente, è necessario contattare il team IT o della sicurezza, o in alternativa un altro professionista fidato, che può aiutare a determinare se è possibile effettuare la decifrazione, ripristinare i dati da un backup e potenzialmente rimuovere il ransomware. Infine, l'organizzazione dovrà capire cosa ha portato all'infezione ransomware per rafforzare le difese.

Come si misura la gravità di un attacco ransomware?

Tutte le organizzazioni dovrebbero considerare grave un attacco ransomware, in particolare se l'organizzazione stessa, i suoi clienti o i suoi dipendenti hanno qualcosa da perdere. Quando un ransomware viene eseguito in un ambiente, sia il denaro che i dati sono a rischio e, a seconda della risposta, si potrebbero dover affrontare danni alla reputazione, ripercussioni legali, multe, sanzioni e altro.

Qual è un esempio di attacco ransomware?

Esistono molte famiglie di ransomware e attacchi ransomware ben conosciuti. Ad esempio, il ransomware Ryuk ha preso di mira organizzazioni sanitarie, del settore pubblico e dell'istruzione in tutto il mondo. Consegnato tramite e-mail di phishing, Ryuk cifra i file delle vittime e richiede un riscatto in cambio della chiave di decifrazione. Sebbene non sia noto per aver lanciato attacchi massicci come NotPetya e WannaCry, Ryuk ha comunque riscontrato un grande successo nell'estorsione di pagamenti alle sue vittime.

Qual è stato l'attacco ransomware più grave?

Uno degli attacchi ransomware più dannosi della storia è stato l'attacco WannaCry di maggio del 2017. Ha colpito centinaia di migliaia di computer in più di 150 Paesi, prendendo di mira infrastrutture critiche in diversi settori: assistenza sanitaria, agenzie governative e altre aziende. WannaCry cifrava i file e richiedeva riscatti in bitcoin. Pur non essendo il primo attacco ransomware a essere stato diffuso, è stato il primo a raggiungere una portata globale così devastante.