Risorse > Glossario dei termini sulla sicurezza > Che cos'è il ransomware

Che cos'è il ransomware?

Il ransomware è un tipo di software dannoso, o malware, che ruba i dati, li cripta e li tiene in ostaggio, generalmente in cambio di pagamenti in criptovalute. Gli attacchi ransomware spesso impediscono l'accesso delle vittime ai propri dati a meno che non venga pagato un riscatto, generalmente entro una scadenza, dopo la quale i dati scompaiono per sempre. Il codice di decrittazione può avere un costo che si aggira tra centinaia e migliaia di dollari, o persino milioni in rari casi.

In passato, gli attacchi ransomware che bloccavano il computer o i file di un utente venivano facilmente annullati da esperti qualificati. Ma negli ultimi anni, gli attacchi ransomware sono diventati più sofisticati e, in molti casi, non hanno lasciato altra scelta alle vittime che pagare il riscatto o perdere i propri dati per sempre.

Un recente e notevole cambiamento in diverse varianti di ransomware è l'aggiunta di una funzione di esfiltrazione dei dati. Questa nuova funzione consente ai criminali informatici di esfiltrare dati sensibili dalle organizzazioni vittime prima di criptarli. I dati esfiltrati rappresentano una polizza di assicurazione per gli aggressori: anche se le vittime dispongono di ottimi backup, saranno probabilmente disposte a pagare il riscatto per evitare l'esposizione dei propri dati.

In un attacco del giugno 2020, una banda specializzata in ransomware è riuscita a infiltrarsi nella rete di una grande azienda americana, sorvegliarla, muoversi all'interno della rete ed eseguire il carico utile del ransomware su 30.000 computer. Prima di criptare i 30.000 sistemi, hanno esfiltrato oltre 2 terabyte di informazioni sensibili, minacciando di pubblicarle online. Alla fine, l'azienda ha pagato 4,5 milioni di dollari. Il carico utile era straordinariamente ampio, ma le tattiche utilizzate in questo attacco sono sempre più comuni.

Storia dei ransomware e aumento degli attacchi

Anche se i criminali informatici utilizzano gli attacchi ransomware da oltre 30 anni, negli ultimi hanno si è visto un aumento significativo. Secondo l'FBI, gli attacchi ransomware hanno cominciato ad aumentare nel 2012 e non mostrano nessuna intenzione di rallentare.

Un resoconto di ThreatLabz del 2020 mostra un aumento di oltre il 500% dei ransomware distribuiti su canali criptati tra marzo e settembre. Si stima che solamente nel 2020, il ransomware avrà provocato danni per oltre 20 miliardi di dollari in tutto il mondo.

Negli ultimi anni, gli obiettivi più comuni degli attacchi ransomware sono stati i governi municipali e le istituzioni accademiche, ma dall'inizio della pandemia del COVID-19, gli ospedali e i lavoratori in remoto sono entrati nel mirino delle bande specializzate in ransomware. Inoltre, nell'ultimo anno, è aumentata in modo significativo la segnalazione di ransomware distribuiti tramite traffico criptato. A causa delle limitazioni di capacità delle tecnologie di sicurezza obsolete, come i firewall di ultima generazione, la maggior parte delle organizzazioni non è in grado di ispezionare l'intero traffico criptato. Gli aggressori ne sono consapevoli, perciò utilizzano sempre più la crittografia per nascondere i propri link e allegati dannosi.

Il modo migliore per evitare l'esposizione ai ransomware, o a qualsiasi tipo di malware, è utilizzare il computer in modo cauto e responsabile. I distributori di malware sono sempre più esperti, perciò bisogna fare attenzione a ciò che si scarica e si apre con un clic.

U.S. Federal Bureau of Investigation (FBI)

Come funziona il ransomware

Il ransomware si diffonde più comunemente tramite il phishing delle e-mail e le pubblicità con link infetti o un sito web impiantato con malware integrato. Le e-mail di phishing sembrano spesso inviate da un'organizzazione legittima o da qualcuno che la vittima conosce (negli attacchi mirati), inducendo l'utente a cliccare su un link o aprire un allegato dannoso.

Negli attacchi ransomware diretti a un individuo, ad essere bloccati e tenuti in ostaggio sono più comunemente i documenti, le foto e le informazioni finanziarie. Mentre gli individui possono costituire un obiettivo facile, le corporazioni (in particolare le grandi organizzazioni) sono vittime molto più appetibili. Se gli aggressori riescono a far scaricare il malware anche a un solo lavoratore, sono in grado di diffonderlo da quel dispositivo alla rete, dove la posta in gioco è molto più alta. Un attacco non è solo in grado di interrompere un'attività, ma la minaccia della perdita o esposizione dei dati può essere devastante e rappresentare un costo per l'azienda in termini di denaro e reputazione aziendale.

Alcune organizzazioni investono in assicurazioni per la sicurezza informatica, per coprire i costi di un eventuale attacco informatico o violazione dei dati, ma la scelta migliore per contrastare i ransomware è la prevenzione.

Per proteggere la propria organizzazione dai ransomware, CISA, l'Agenzia per la sicurezza informatica e delle infrastrutture, e l'FBI consigliano quanto segue:

Effettuare il backup dei computer, per ripristinare il sistema allo stato precedente utilizzando i backup.
Archiviare i backup separatamente, come su un'unità disco fisso esterna o sul cloud, per renderli non accessibili dalla rete.
Installare aggiornamenti e patch sui computer, per evitare che le applicazioni e i sistemi operativi vulnerabili vengano presi di mira.
Formare i lavoratori con corsi continui e obbligatori sulla sicurezza informatica per garantire la conoscenza delle minacce attuali e delle migliori pratiche per la sicurezza. Far sì che prestino attenzione alle proprie e-mail, anche da mittenti conosciuti, verificandone la legittimità prima di aprire qualsiasi allegato o cliccare su qualsiasi link.
Creare un piano di continuità nel caso in cui la propria organizzazione sia vittima di un attacco ransomware.

Il ransomware può essere devastante sia per un individuo che per un'organizzazione. Chiunque abbia archiviato dati importanti sul proprio computer o rete è a rischio, compresi i governi, le forze dell'ordine e i sistemi sanitari, o altri enti critici per le infrastrutture.

U.S. Cybersecurity & Infrastructure Security Agency

Per quanto riguarda il ransomware, ciò che conta non è tanto la sofisticazione tecnologica, quanto lo sfruttamento dell'elemento umano. Semplicemente, è la versione digitale di un'antica tattica criminale.

Institute for Critical Infrastructure Technology

Prevenzione dagli attacchi ransomware

La moderna tecnologia di difesa dai ransomware non è solo altamente efficace, ma anche facile da distribuire. Una prevenzione sufficiente dai ransomware inizia con l'adozione di un profilo di sicurezza sviluppato in modo nativo sul cloud, per proteggere utenti, applicazioni e dati sensibili da tali attacchi, indipendentemente da dove si connettono gli utenti o dal dispositivo utilizzato.

Per stare al passo con le più comuni minacce attuali da ransomware, la strategia di prevenzione deve comprendere i seguenti principi e strumenti per evitare l'esposizione dei propri dati a causa di tali attacchi, l'interruzione della propria attività o un costo per l'organizzazione in termini di tempo e denaro:

Utilizzare la quarantena in una sandbox basata su IA per bloccare e ispezionare i contenuti sospetti, prima di consentirne il passaggio al ricevente
Ispezionare l'intero traffico criptato con SSL/TLS per garantire l'assenza di minacce nascoste
Implementare la protezione sempre attiva per gli utenti all'interno e al di fuori della rete

Nessuna azienda, di qualsiasi dimensione sia, è al sicuro dai ransomware senza un sistema dedicato per la difesa della sicurezza. Evita di diventare la prossima vittima dei ransomware, o la prossima organizzazione ad apparire nei notiziari a causa di un attacco. Scopri di più sulla Cloud Sandbox avanzata di Zscaler e la Prevenzione dai ransomware.