Approfondisci in modo semplice cos’è un attacco ransomware e come evitare di restarne vittima.

Il ransomware, noto anche come dirottamento digitale, è un attacco informatico in cui gli hacker limitano o impediscono l’accesso della vittima alle proprie informazioni contenute nei pc. Tuttavia, se sei a digiuno di sicurezza digitale, questo concetto può lasciarti grandi dubbi.

Cos’è questo attacco? Come proteggersi dai ransomware? Un utente privato o una piccola/media azienda devono preoccuparsi di questo cyber attacco, o sono solo problemi delle grandi aziende?

A queste e ad altre domande cercheremo di rispondere in questo post, sempre in modo comprensibile per tutti.

Cos’è il ransomware?

Per definizione, il ransomware è una categoria di malware che, una vota portato a termine l’attacco hacker, impedisce l’accesso ai dati contenuti nel pc o dei server, che saranno di nuovo disponibili solo con il pagamento di un riscatto.

Del resto, una sorta di traduzione del termine ransomware sarebbe “software di dirottamento”. Il temine malware invece è un qualsiasi tipo di software dannoso, cioè un programma, progettato per causare danni al pc dell’utente vittima del cyber attacco.

Per essere più chiari: immagina che un criminale informatico prenda tutte le informazioni contenute nel tuo computer e le metta in una cassaforte, praticamente impossibili da recuperare se non hai la chiave. Questo si traduce con una richiesta di riscatto in bitcoin.

I diversi modi con cui avviene un attacco ransomware

Il phishing è un tipo di frode in cui i criminali informatici inducono gli utenti ad agire, in genere fingendosi entità o persone fidate. Può essere fatto attraverso messaggi, collegamenti in e-mail, social network e siti Web dannosi.

I modi in cui i cyber attacchi vengono messi a segno avvengono in due modi sostanziali:

• In modo indiretto – Lo scopo è sfruttare la vulnerabilità di alcuni siti Web, e app per smartphone, che consentono ai criminali informatici di entrare nella rete o nel sistema;
• Accesso diretto, in cui i malintenzionati utilizzano alcuni dati, rubati in vari modi, per accedere ai tuoi account.

Attualmente, gli hacker tendono a rubare i dati dei malcapitati, che molto spesso vengono scambiate sul Deep Web e sul Dark Web per facilitare altri attacchi, come il ransomware. Una volta che l’attaccante li ha in suo possesso, il suo lavoro è molto più facile, in quanto ha solo bisogno di accedere e scatenare l’attacco.

Il ransomware è un virus informatico?

Questo è un dubbio molto comune e che causa molta confusione. La risposta è no, il ransomware non è un virus.

Sia i virus informatici che i ransomware rientrano nella categoria più ampia di malware, ma ognuno ha le sue caratteristiche esclusive. Il virus, o worm, si replica molto rapidamente, cosa che di solito non accade nel dirottamento digitale.

Quali sono i principali tipi di ransomware?

Oltre a far parte della categoria malware, il ransomware è anche una famiglia a sé stante, con diversi modelli che variano a seconda dell’attacco. I principali sono:

Il più usuale avviene alterando i dati presenti nel pc o nella rete aziendale, di solito agendo attraverso la crittografia. Conosciuto come ransomware crypter, è anche un cyber attacco più complesso da gestire, in quanto è molto difficile recuperare i dati.

Un’altra modalità è lo screen blocker, chiamato ransomware locker, che blocca l’accesso al dispositivo. È un modello poco utilizzato per un semplice motivo: se il computer è bloccato, è più difficile pagare il riscatto.

Un altro modello sono quelli che agiscono per “minaccia”: si visualizza un popup che informano che i tuoi dati sono compromessi, e saranno disponibili solo con il pagamento di un riscatto. In questo caso, i dati non sono effettivamente compromessi.

Ricapitolando i ransomware più noti sono:

CryptoLocker

Ransomexx

WannaCry

Petya ·

NotPetya

Locky

SimpleLocker

TeslaCrypt

REvil

Esiste un ransomware sul sistema Linux?

Un malinteso comune è credere che questo tipo attacco informatico avvenga solo sul sistema operativo Microsoft. Ad esempio, Tycoon è un ransomware molto noto che utilizza lo stesso codice per attaccare i computer che eseguono sia Windows che Linux.

Naturalmente gli attacchi a Windows sono più comuni, perché questo è il sistema operativo molto utilizzato da privati e aziende. Tuttavia, anche MacOS e Linux sono potenziali obiettivi. Ulteriormente, Android e iOS (iPhone) non possono stare tranquilli: gli attacchi sono troppo complessi per limitarsi a una singola piattaforma.

Come avviene un attacco ransomware?

Esistono numerosi modi in cui può verificarsi un attacco ransomware, ma è molto più complesso di quanto si possa pensare. Sostanzialmente il processo avviene in tre passaggi:

Il primo step del pirata informatico è quello di entrare nel pc o nella rete aziendale. In altre parole, cercano una qualche forma di accesso alla rete o al dispositivo di destinazione. Ad esempio, utilizzando campagne di phishing o accedendo con password deboli e utilizzate di frequente.

Il secondo step dopo aver ottenuto l’accesso è la preparazione all’attacco ransomware. Per fare questo, vengono infettati, in modo non visibile, il maggior numero possibile di pc, mappando tutto ciò che è associato: periferiche, soluzioni di difesa e i backup. Questo processo può richiedere alcune ore o addirittura mesi, a seconda se è un privato o una rete aziendale.

Il terzo e ultimo step comprende l’attacco vero e proprio, in cui i dati vengono crittografati e viene effettuata la richiesta di riscatto.

Cosa significa questo tipo di attacco per la sicurezza digitale?

Prima di tutto, i backup perdono molto del loro effetto. Dopotutto, l’attacco avviene solo quando vengono eliminati. Inoltre, il valore stesso dei riscatti cambia.

In genere le piccole imprese sono i bersagli più esposti agli attacchi ransomware. Gli hacker sono intelligenti e sanno che è inutile richiedere 1 milione di euro a una piccola impresa che non sarà in grado di permetterselo. Una cosa che dovete comprende bene è che parte della decisione di attacco comporta la conoscenza della vittima.

Tuttavia, non solo Amazon e le grandi aziende che i criminali informatici attaccano. Anche molti privati cittadini e medie imprese sono bersagli di questo tipo di criminalità informatica.

Questo processo significa che i criminali informatici possono conoscere il numero di dipendenti e possibilmente anche la fatturazione. Ecco perché richiedono un riscatto congruo, poiché questo non solo aumenta le possibilità di pagamento, ma consente anche un nuovo attacco in futuro.

Un’altra tattica comune è quella di offrire sconti o aumentare l’importo richiesto nel tempo, per portare urgenza. Pertanto, il riscatto viene pagato senza che la vittima si fermi a pensare o chiedere aiuto a un esperto di sicurezza digitale.

Come evitare un ransomware?

Per fortuna, ci sono alcuni modi per evitare il sequestro dei dati digitali.

Fate attenzione al nome e alle estensioni dei file

Un attacco ransomware in qualche modo modifica i tuoi file. Questo significa cambiare il nome o la sua estensione. Ad esempio, un file immagine con estensione .jpg potrebbe avere una nuova estensione, ad esempio, .crypt. Lo stesso vale per il nome. Può essere rinominato in qualcosa di completamente diverso.

Attenzione ai file aggiunti

Abbiamo visto nel ciclo ransomware che e-mail e social network sono alcuni dei principali modi in cui queste minacce si diffondono. Quindi fai molta attenzione a qualsiasi file che ti arriva, soprattutto se non te lo aspetti.

Naturalmente dovresti essere a conoscenza di fonti sospette, ma anche i file che sembrano affidabili possono contenere una minaccia. Questo è il principio del phishing.

Monitorare le password

È ormai risaputo che le password sono un’enorme vulnerabilità. Pertanto, è fondamentale crearne di complesse e non comuni utilizzando un programma di gestione delle password.

Consigli su come creare una password efficace:

Seguirà articolo dedicato

Come evitare un ransomware?

Per fortuna, ci sono alcuni modi per evitare il sequestro dei dati digitali.

Fate attenzione al nome e alle estensioni dei file

Un attacco ransomware in qualche modo modifica i tuoi file. Questo significa cambiare il nome o la sua estensione. Ad esempio, un file immagine con estensione .jpg potrebbe avere una nuova estensione, ad esempio, .crypt. Lo stesso vale per il nome. Può essere rinominato in qualcosa di completamente diverso.

Attenzione ai file aggiunti

Abbiamo visto nel ciclo ransomware che e-mail e social network sono alcuni dei principali modi in cui queste minacce si diffondono. Quindi fai molta attenzione a qualsiasi file che ti arriva, soprattutto se non te lo aspetti.

Naturalmente dovresti essere a conoscenza di fonti sospette, ma anche i file che sembrano affidabili possono contenere una minaccia. Questo è il principio del phishing.

Monitorare le password

È ormai risaputo che le password sono un’enorme vulnerabilità. Pertanto, è fondamentale crearne di complesse e non comuni utilizzando un programma di gestione delle password.

Consigli su come creare una password efficace:

Sarà pubblicato un post dedicato

Raccomandazioni varie di prevenzione ransomware

• Non annotare le password in documenti come Word, Google Documenti o blocco note e anche in spazi fisici come i post-it;
• Non ripetere le password in più di un servizio e non riutilizzare le vecchie password;
• Cambia immediatamente le password se hai il minimo dubbio che siano state violate.
• In molti casi, il malware accede alla rete per comunicare con l’utente malintenzionato: se ci fosse qualche strana comunicazione, potrebbe essere un segno di un attacco in corso.
• I processi eseguiti da ransomware tendono ad essere leggeri, ma è possibile che ci sarà un aumento dell’utilizzo della CPU o una perdita di memoria. Il malware agisce in background, ma questa può essere una variazione notevole;
• Un modo in cui i criminali informatici irrompono nel tuo pc è attraverso le vulnerabilità nei siti Web, del sistema operativo o dei programmi. Ecco perché è così importante mantenere aggiornato tutti questi sistemi in modo che queste vulnerabilità vengano risolte dai fornitori.
• Il backup in rete non risolve il problema, tuttavia questa è ancora un’ottima pratica di sicurezza, poiché il criminale non può accedervi. Questo determina più lavoro per i criminali informatici per trovarli e corromperli, in modo che l’attacco abbia successo. Più barriere metti tra l’inizio e la fine dell’attacco, meglio è, poiché hai più tempo per rilevarlo.
• Conserva i backup dei dati archiviati offline, in posizioni inaccessibili a qualsiasi computer potenzialmente infetto.
• Utilizzare software antivirus e anti malware o altri criteri di sicurezza per bloccare l’avvio automatico dei file.
• Installare gli aggiornamenti della protezione più recenti rilasciati dai fornitori del sistema operativo e del software applicativo.
• Pratica la pulizia informatica, ad esempio facendo attenzione quando apri gli allegati e-mail.
• Segmenta le reti per mantenere isolati i computer critici e prevenire la diffusione di malware in caso di attacco.
• Disabilitare i diritti di amministratore per gli utenti che non ne hanno bisogno.
• Limitare il più possibile le autorizzazioni di scrittura sui file server.

Le soluzioni di sicurezza informatica preventiva

Questo è senza dubbio il modo migliore per affrontare un attacco ransomware. Qualsiasi dispositivo dotato di software di sicurezza è molto più protetto da un attacco come questo.

Un antivirus tradizionale utilizza le firme per riconoscere il malware. In pratica, l’antivirus funziona come il nostro sistema immunitario e i vaccini: hanno pezzi dell’infezione, ma non ti fanno del male, quindi puoi riconoscerli e combatterli se necessario.

Il problema è che questo è ottimo per catturare virus più semplici, ma gli attacchi attuali sono più complessi. Sanno nascondersi molto bene, mascherando queste caratteristiche in modo da non essere rilevate.

Come affrontare il ransomware?

Se hai subito un attacco, ci sono varie opzioni. Nel caso del blocco schermo, la soluzione potrebbe essere più semplice. Puoi provare ad avviare il dispositivo in modalità provvisoria, poiché è improbabile che il ransomware inizi in questo modo. Quindi puoi trovare ed eliminare malware con un antivirus.

Nel caso dell’attacco di crittografia, il processo è un po’ più complesso. Esistono strumenti in grado di invertire la crittografia dei dati, ma questo non è affatto semplice e senza garanzia di successo. Inoltre, può richiedere molto tempo, il che significa che il tuo sistema può rimanere compromesso a lungo.

Avere un backup è un’ottima pratica di sicurezza e qualcosa che tutti dovranno fare, ma non risolvono il problema al 100%. Come abbiamo visto sopra, gli hacker distruggono i backup prima di diffondere l’attacco.

Il ripristino del sistema operativo è una risposta comune, ma potrebbe anche non avere molto seguito. In tal modo, vengono ripristinati solo i file di sistema, con un effetto molto minimo o nullo sui dati crittografati.

Come rimuovere ransomware?

Annullare un attacco ransomware non è sempre possibile, e quando lo è, non è affatto facile. Per avere qualche possibilità di successo, ci sono quattro passaggi che puoi intraprendere:

Disconnetti tutto dalla rete internet, non solo il dispositivo infetto:  in questo modo è possibile impedire la diffusione della minaccia;

Identifica il ransomware e il suo tipo in base agli elenchi sopra menzionati.

Prova a rimuoverlo con un programma adatto, noto come decryptor ransomware;

Dopo averlo eliminato, recuperare i file con il backup.

Il grosso problema è che gli hacker conoscono questi passaggi e creano barriere per ciascuno di essi. Ad esempio, i file di installazione di malware possono essere eliminati autonomamente, rendendo difficile identificarli. Inoltre, quando i file sono crittografati, è praticamente impossibile invertire il processo.

A peggiorare le cose, l’utilizzo di programmi di crittografia può rappresentare un rischio, in quanto non si ha alcuna garanzia che la versione utilizzata sia compatibile con la minaccia. Il risultato potrebbe essere che i file sono impossibili da recuperare, anche con la chiave giusta.

Vale la pena pagare il riscatto?

Tutte le raccomandazioni internazionali, compreso l’FBI, indicano di non pagare il riscatto. Innanzitutto, non vi è alcuna garanzia che se si paga i dati verranno nuovamente in nostro possesso.

Inoltre, c’è la possibilità che il criminale venda i dati in suo possesso sul Deep Web o sul Dark Web. Quindi vince due volte. Infine, pagare il riscatto è anche un incentivo per questo tipo di attacco informatico a continuare, possibilmente anche con te.

Ecco perché un attacco ransomware è così pericoloso, dal momento che non esiste un modo efficiente per affrontarlo una volta iniziato. Il più raccomandato in ogni situazione è di non pagare il riscatto e contattare immediatamente un professionista della sicurezza informatica per impostare il percorso migliore in ogni caso.

La prevenzione è il metodo migliore per proteggersi. Gli attacchi sono estremamente sofisticati e, poiché sono fatti dall’intelligenza artificiale, non si fermano. L’unica misura ragionevole è utilizzare l’intelligenza artificiale per difendersi. Dopotutto, l’hacker deve colpire solo una volta, mentre la sua difesa deve essere preparata tutto il tempo.