Ransomware: per alcuni sembra ancora la trama di un thriller futuristico, ma sono finiti i tempi in cui il riscatto era tipicamente una richiesta di denaro fatta in cambio della sicurezza di una persona rapita (o di un animale domestico: cosa pagheresti per riavere il tuo Fido?). In questo nuovo mondo digitale è più probabile che siano i tuoi dati a essere a rischio. Quindi, cos’è esattamente questo strumento di rapina digitale, come funziona e, soprattutto, come ci si può proteggere? Inoltre, cosa ha a che fare con un certo biologo evoluzionista alla fine degli anni ’80? Noi abbiamo le risposte ai tuoi quesiti più preoccupanti in materia di ransomware.
Uno sguardo più da vicino: cos’è un ransomware?
Il ransomware è un tipo di malware che blocca l’accesso ai tuoi file o addirittura all’intero sistema operativo fino al pagamento di un riscatto. Blocca lo schermo del sistema o crittografa i file finché non fai quanto ti viene richiesto. Se ne sei vittima, una richiesta di riscatto ti informerà che dovrai pagare una certa somma di denaro, spesso in criptovaluta, per liberare il tuo sistema o i tuoi dati. In genere viene indicata una scadenza per completare il pagamento e se non la rispetti, i criminali informatici possono eliminare definitivamente i tuoi file o renderli pubblici. Purtroppo, anche se dovessi pagare il riscatto, non c’è alcuna garanzia che ti venga fornita la chiave di decrittografia per riottenere l’accesso ai tuoi dati. L’onestà non è sempre la migliore politica per i ladri…
Sapevi che il ransomware ha un padre fondatore? Il primo caso documentato è stato il Trojan AIDS del 1989. Il biologo evoluzionista Joseph L. Popp inviò 20.000 floppy disk etichettati “AIDS Information—Introductory Diskettes” ai partecipanti alla conferenza internazionale sull’AIDS dell’Organizzazione Mondiale della Sanità. Questi erano infettati da un Trojan che crittografava i file presenti nel computer e per riavere l’accesso l’utente doveva inviare 189 dollari a una casella postale di Panama. Il dottor Popp venne catturato ma, dopo che iniziò a indossare una scatola di cartone sulla testa, venne dichiarato incapace di sostenere il processo. Purtroppo, una scatola di cartone non è una difesa contro il ransomware: ne parleremo più avanti.
Cosa fa il ransomware e come si diffonde?
Tutti i ransomware si comportano in modo leggermente diverso, ma in linea di massima si dividono in due grandi categorie: ransomware bloccanti e ransomware crittografici. Come suggerisce il nome, il primo blocca il sistema operativo della vittima impedendole di accedere al desktop e a qualsiasi applicazione o file. L’altro tipo utilizza algoritmi di crittografia avanzati per bloccare i file di sistema ed è generalmente il più comune dei due, ma il risultato è lo stesso: la vittima non può accedere al computer e riceve una richiesta di riscatto per ottenere il rilascio del sistema o dei dati.
I seguenti metodi di infezione sono i più diffusi tra i criminali informatici. Ricorda: essi cercano le vie di accesso più facili tramite backdoor, o porte di servizio. Inoltre, prediligono gli utenti poco esperti di sicurezza informatica che li aiutano inconsapevolmente a raggiungere i loro obiettivi. Fai attenzione a:
- Allegati email: questi allegati dannosi inviati tramite email apparentemente innocenti possono essere recapitati in una varietà di formati, tra cui file ZIP, PDF, documenti Word, Excel e altri ancora. Una volta aperto l’allegato, il ransomware può diffondersi immediatamente. A volte, i criminali informatici aspettano giorni o anche di più, come nel caso degli attacchi Trickbot in cui il ransomware viene recapitato inizialmente da un trojan bancario. Queste email sono spesso create a regola d’arte, in modo da apparire quanto più possibile credibili. Dopo tutto, tanto più sembrano legittime, tanto più è probabile che l’allegato che contengono venga aperto.
Consideriamo lo scenario peggiore: un dipendente del Centro medico dell’Università del Vermont ha aperto un file infetto inviato tramite email che ha causato l’annullamento di interventi chirurgici e il ritardo di alcuni trattamenti antitumorali nel più grande ospedale dello Stato.
- URL dannosi: questi link vengono inseriti nelle email, nei post dei social media e persino in messaggi SMS. Per indurre il lettore all’azione, i messaggi di solito evocano un senso di indignazione, urgenza o mistero. È stato gettato un gattino in una discarica? Clicca sul link a tuo rischio e pericolo: si potrebbe attivare il download di un ransomware (ma fortunatamente non è stato fatto del male a nessun animale).
- Download drive-by: tutto ha inizio in modo apparentemente innocuo. Visiti un sito web affidabile, senza renderti conto che al suo interno è stato iniettato del codice dannoso che avvia la scansione del tuo dispositivo alla ricerca di vulnerabilità di sicurezza… e bam! Una volta individuato un punto debole, come un’app non aggiornata, si infiltra nel sistema e ne prende il controllo. Il danno è fatto.
- Malvertising: gli annunci pubblicitari online possono essere più che fastidiosi: possono ospitare codice dannoso, per gentile concessione di truffatori che acquistano spazi pubblicitari su siti web legittimi e poi inviano immagini infette. È difficile distinguere gli annunci buoni da quelli dannosi, quindi gli utenti non si accorgono di essere stati reindirizzati verso un sito dannoso una volta fatto clic sull’annuncio. Sul sito, il codice dannoso si introduce nel sistema.
- Exploit del Remote Desktop Protocol: se lavori da casa per un’azienda, è probabile che ti connetta da remoto tramite il portale aziendale. Questo protocollo di comunicazione si chiama RDP (Remote Desktop Protocol). I criminali informatici esplorano Internet alla ricerca di computer con porte (connessioni) esposte. Quindi cercano di accedere al tuo computer tramite le sue vulnerabilità della sicurezza o utilizzando attacchi di forza bruta per decifrare le credenziali di accesso.
- Chiavette USB: non essere tu quel membro del personale che inconsapevolmente inserisce un dispositivo USB infetto. Questo può far sì che il ransomware crittografi il tuo computer locale e potenzialmente si diffonda in tutta la rete. Mentre i ransomware più vecchi erano in grado di crittografare solo il singolo computer che infettavano, le varianti avanzate più recenti sono auto-propaganti, quindi possono spostarsi lateralmente su altri dispositivi della rete. Gli attacchi riusciti possono paralizzare intere organizzazioni, cosa che sicuramente non vuoi nel tuo curriculum professionale.
- Software pirata: i software privi di licenza sono in agguato ovunque, ma possono essere infarciti di ransomware, come nel caso della piaga STOP/Djvu, iniziata nel 2018 e che ora sta conoscendo una recrudescenza. A meno che tu non voglia rischiare di ricevere una richiesta di riscatto in Bitcoin per il rilascio dei tuoi file, scarica solo software pulito e autentico direttamente dal produttore.
Alla fine di questo blog troverai suggerimenti su come proteggerti da questo elenco di ransomware, quindi vai direttamente lì o continua a leggere…
Settori che i criminali informatici amano colpire e principali esempi di ransomware
I criminali informatici scelgono in genere gli obiettivi dai quali possono aspettarsi il massimo guadagno finanziario, ma se pensi che tu o la tua azienda siate troppo piccoli per essere importanti, ripensaci. Il ransomware può essere usato contro tutti i tipi di organizzazioni, sia nel settore privato che in quello pubblico, non solo contro le aziende con 50.000 persone. Questi settori sono in genere gli obiettivi principali: istruzione (comprese scuole, college e università), sanità, servizi commerciali e legali, commercio al dettaglio, pubblica amministrazione, IT, industria manifatturiera ed energia/utenze.
I dati riservati tendono a essere redditizi per gli hacker che diffondono ransomware perché le organizzazioni vogliono disperatamente riaverli. Ecco perché scuole e ospedali sono bersagli molto ambiti: raccolgono grandi quantità di dati sensibili. Pensa agli attacchi sferrati contro il servizio sanitario nazionale irlandese nel 2021. Una banda criminale, Wizard Spider, ha interrotto i servizi e ha chiesto 20 milioni di dollari (14 milioni di sterline) per ripristinarli. Il risultato è stato un blocco quasi totale delle reti e gli appuntamenti in alcune aree sono crollati fino all’80%.
Allo stesso modo, i servizi professionali, come quelli legali e di consulenza, tendono a contenere un tesoro di informazioni riservate. Inoltre, potrebbero non disporre di un’adeguata sicurezza informatica, il che li rende facili bersagli. Anche i giganti non sono immuni, come dimostra questo attacco informatico all’industria manifatturiera: nel 2021, la banda di ransomware REvil ha compromesso la rete del produttore di PC Acer con sede a Taiwan e ha presentato una delle più grandi richieste di riscatto mai registrate: 50 milioni di dollari. Non è noto se l’azienda abbia pagato il riscatto. Nel 2022, Toyota e il suo principale fornitore sono stati colpiti da attacchi informatici che pare abbiano causato un calo del 5% nella produzione mensile.
Un altro esempio è il governo del Costa Rica: è la prima volta che un Paese è stato costretto a dichiarare un’emergenza nazionale in risposta a un attacco informatico. Il gruppo di ransomware Conti ha chiesto 10 milioni di dollari (poi aumentati a 20), mandando in tilt il ministero delle finanze, il sistema sanitario e persino l’import/export del Paese. Alcuni esperti ritengono che questo attacco informatico potrebbe preannunciare l’inizio di una nuova era del ransomware.
Ora che ne sei a conoscenza, come puoi proteggerti dal ransomware?
Innanzitutto, esamina a fondo i tuoi dispositivi. Sono vecchi e utilizzano un software obsoleto? I browser e i sistemi operativi non sono aggiornati? Non hai un piano di backup? Se hai risposto affermativamente a una delle domande precedenti, potresti essere a rischio di cadere vittima di un ransomware. Con oltre 35 anni di esperienza nella sicurezza online, Avira può esserti di aiuto. Il software gratuito Software Updater è progettato per aggiornare software e driver e aiuta a garantire che tutti gli aggiornamenti siano puliti. Avira Free Antivirus è ricco di funzionalità di protezione dal ransomware. Inoltre, aiuta a proteggere il dispositivo e i dati da una serie di minacce online, tra cui adware, spyware, trojan e altro ancora. Assicurati sempre che i tuoi dati importanti siano salvati su un disco rigido esterno o con un software di backup sicuro e pulito.
Non dimenticare mai che è fondamentale l’adozione di misure adeguate da parte tua. Non essere il tuo peggior nemico!
- Non cliccare mai su link non sicuri nei messaggi, nei siti web o sui social media.
- Non aprire gli allegati di email se non hai la certezza che la fonte è affidabile. Controlla attentamente che l’indirizzo email del mittente sia corretto passandoci sopra il mouse.
- Non connettere mai al tuo dispositivo supporti come chiavette USB a meno che tu non ne conosca la provenienza.
- Scarica software o file multimediali solo da fonti verificate.
- Utilizza sempre una VPN come Avira Phantom VPN nelle reti Wi-Fi pubbliche. La VPN aiuta a crittografare le tue comunicazioni online per migliorare la privacy e la sicurezza online.
Per una maggiore tranquillità, Avira offre anche un’ampia gamma di funzionalità di sicurezza informatica in un comodo abbonamento mensile. Scopri di più sul servizio premium, Avira Prime, qui.
Pagare o non pagare? Cosa fare se sei vittima di un’infezione?
Oh, cielo. Siamo esseri umani e gli errori possono capitare. Il tuo dispositivo è stato infettato da un ransomware e i tuoi file sono stati crittografati… e adesso? Secondo gli esperti di No More Ransom Project, “Il consiglio generale è di non pagare il riscatto. Inviando il tuo denaro ai criminali informatici non farai altro che confermare l’efficacia del ransomware, senza alcuna garanzia di ottenere in cambio la chiave di decrittografia necessaria.” No More Ransom è un’iniziativa della National High Tech Crime Unit della polizia olandese, del Centro europeo per la criminalità informatica di Europol e dei fornitori di software per la sicurezza informatica. Il suo scopo è quello di aiutare le vittime di ransomware a recuperare i dati crittografati senza pagare i criminali.
Carica i tuoi file crittografati su questo sito web e fornisci i dettagli della richiesta di riscatto nell’apposito spazio. In bocca al lupo!
