I ransomware: una piccola analisi

Famosissimi e temutissimi, cosa sono davvero e come possiamo difenderci? I ransomware sono una forma di malware che crittografa i file del sistema colpito. L’aggressore chiede un riscatto (via Bitcoin non tracciabili) per permettere alla vittima di riottenere l’accesso ai dati. Ma spesso pagare non basta, e i dati sono persi per sempre.

La via più comune per subire l’infezione da ransomware è la posta elettronica, tramite mail di phishing che spingono l’utente a scaricare file malevoli o forme di social engineering che inducono a consentire l’accesso amministrativo.
Rimangono attuali anche le infezioni tramite files scaricati da internet o software precedentemente infetti, scaricati da siti poco affidabili.

Chi è bersaglio del ransomware? Fino a qualche tempo fa gli aggressori studiavano le potenziali vittime, cercando di capire quali fossero i migliori bersagli (vulnerabili e remunerativi).
Al giorno d’oggi le cose sono cambiate, e la risposta è semplice: tutti.
La moda attuale da parte degli attaccanti è di infettare più sistemi possibili e poi “vendere” l’attacco al migliore offerente, spesso senza specificarne i dettagli, un po’ come se fosse una lotteria.

Come mai questo cambiamento? Non sapendo se gli attacchi saranno effettivamente remunerativi agli aggressori non conviene più andare sulla qualità ma sulla quantità. Questa è sia una buona notizia (perché significa che i ransomware ormai hanno raggiunto la maturità e li conosciamo) che cattiva, perché tutti i sistemi sono presi di mira (indifferentemente dal fatturato e dalla sensibilità dei dati).

I fantastici 4: i ransomware più famosi della storia

1. CryptoLocker, un attacco del 2013, ha lanciato la moderna era ransomware e infettato mezzo milione di macchine.
2. TeslaCrypt mirato ai dati di gioco di gioco e ha visto un costante miglioramento durante il suo regno di terrore.
3. Simplelocker è stato il primo attacco ransomware diffuso che si è concentrato sui dispositivi mobili.
4. WannaCry si diffonde autonomamente da computer a computer utilizzando EternalBlue, un exploit sviluppato dalla NSA e poi rubato dagli hacker.

I fake: ci sono anche nel ransomware

Avete mai ricevuto una mail in cui un hacker vi avvisa di avervi registrato in situazioni particolari?
O una in cui le forze dell’ordine vi minacciano con la scusa di aver rilevato materiale pornografico o pirata nel vostro PC?
In entrambi i casi viene richiesto pagamento immediato, pena la diffusione delle vostre registrazioni o l’arresto.

Ovviamente sono mail fasulle nel 99,9% dei casi, e fanno parte solo di campagne mail di spam o link cliccati per sbaglio.
Sono tentativi di estorsione basati sule debolezze dell’essere umano, che di informatico hanno poco: è più ingegneria sociale.

Come prevenire il ransomware

Ci sono una serie di misure difensive che si possono adottare per prevenire l’infezione da ransomware.
Questi passaggi sono naturalmente buone pratiche di sicurezza in generale, quindi seguirli migliora le difese contro tutti i tipi di attacchi.

 

 

• Avere un firewall hardware a monte per bloccare files e richieste dannose
• Mantenere il sistema operativo aggiornato
• Avere un software antivirus specializzato nella protezione da ransomware
• Non installare software poco affidabile (e non dargli in ogni caso privilegi amministrativi)
• Affidarsi noi di Vencato-ITC che conosciamo le criticità maggiormente presenti nelle aziende ;-)

Con i ransomware la prevenzione però non è sempre sufficiente: avere i backup è necessario, soprattutto immutabili e fuori dalla rete locale.
Per maggiori informazione sulla protezione dei dati e della rete (compresi firewall, antivirus e backup) abbiamo una pagina dedicata  alla sicurezza informatica su questo sito.

“Ransomware is more about manipulating vulnerabilities in human psychology than the adversary’s technological sophistication”
James Scott, Sr. Fellow, Institute for Critical Infrastructure Technology