Come si manifesta un ransomware sul vostro pc
I sintomi dell’infezione
Una delle maggiori sfide che affrontiamo quando si tratta di proteggere le nostre reti dagli attacchi ransomware è che ci sono pochissimi segnali di avvertimento a cui possiamo fare attenzione.
Un attacco tipico di tipo ransomware arriva a bordo device il più delle volte sotto forma di un allegato e-mail apparentemente lecito che, una volta aperto, avvierebbe l’installazione del software illecito che una volta attivo, inizierà a crittografare i file.
Ci sono, comunque, alcuni segnali ed eventi che possiamo esaminare, che ci aiuteranno ad identificare la presenza del malware o almeno, impedirgli di diffondersi.
Indice degli argomenti
Il ransomware è un tipo di software malevolo (malware) che minaccia di pubblicare e bloccare l’accesso ai dati o a un sistema informatico, di solito crittografandolo, fino a quando la vittima paga un riscatto all’attaccante.
In molti casi, la domanda di riscatto ha una scadenza. Se la vittima non paga in tempo, i dati spariscono per sempre o la somma aumenta.
Le tipologie di ransomware hanno molte forme, di seguito ecco riportati alcuni dei tipi più comuni:
Crypto ransomware o encryptor
sono una delle varianti più note e dannose.
Questo tipo di ransomware crittografa i file e i dati all’interno di un sistema, rendendo inaccessibile il contenuto senza una chiave di decrittografia. Per averla viene chiesto un riscatto alla vittima in cambio della chiave. Alcune varianti più recenti infettano anche unità condivise, in rete e cloud. Questa tipologia di ransomware si diffonde attraverso vari mezzi, tra cui e-mail, siti web e download.Locker
questo tipo di ransomware blocca completamente l’accesso ai sistemi informatici. Utilizza tecniche di ingegneria sociale per infiltrarsi nei sistemi. Una volta dentro, i cybercriminali impediscono agli utenti di accedere al sistema fino a quando non viene pagato un riscatto. Può apparire ad esempio un pop-up sullo schermo della vittima che dice che il computer è stato utilizzato per visitare siti web con contenuti illegali.
Scareware
è un software che mostra continui annunci dal contenuto fuorviante; la minaccia di questo malware intima gli utenti che sussiste una minaccia a bordo del loro device tale da indurli a installare o acquistare software non richiesti. Molti tra gli avvisi comunicano alla vittima di aver rilevato un virus o altro problema sul computer e indirizzano la navigazione ad un link in cui pagare per risolvere il problema. Alcuni tipi di scareware bloccano il computer, mentre altri semplicemente inondano lo schermo con avvisi pop-up senza effettivamente danneggiare i file.
Doxware o leakware
minacciano di distribuire informazioni sensibili personali o aziendali online; molte persone si fanno prendere dal panico e pagano il riscatto per impedire ai dati di cadere nelle mani sbagliate o di diventare dominio pubblico. Una variante è il ransomware della polizia, che afferma di essere le forze dell’ordine e avverte che è stata rilevata un’attività online illegale, ma la prigione può essere evitata pagando una multa.
Raas (Ransomware as a Service)
coinvolge utenti che prendono a noleggio il software di un ransomware da un gruppo di cybercriminali, che lo offrono come servizio pay-for-use.
I creatori di Raas vendono o affittano il ransomware sotto forma di abbonamento, proprio come un modello SaaS. Le commissioni dipendono dalla complessità e dalle caratteristiche del ransomware e, in generale, c’è una quota di iscrizione per diventare un membro affiliato. Una volta che i membri infettano i computer ed ottengono i pagamenti per il riscatto, una parte dell’introito viene pagata al produttore RAAS.
Attacchi ransomware as a service o attacchi diretti, due varianti della stessa minaccia
È importante capire che l’attacco ransomware generalmente rientra in due categorie: automatizzato e gestito dall’uomo.
Ransomware automatizzati
Le infezioni da ransomware automatizzate tendono a colpire una vasta porzione di utenti, proprio perché non sono mirati verso un obiettivo ben preciso. Questi tipi di attacchi sono puramente opportunistici e di solito seguono uno schema: l’utente scarica il file d’installazione ransomware tramite clic su un link o il download di un file allegato, quindi il ransomware crittografa i dati e trasmette un messaggio di riscatto.
Ransomware gestito dall’uomo
Il ransomware gestito dall’uomo è molto più sofisticato.
In questo caso, un ransomware troverà il modo per entrare in una rete aziendale sfruttando la presenza di vulnerabilità di sicurezza.
Una volta presente all’interno della rete, resterà silente per studiare la struttura della rete e colpire l’organizzazione nel momento più proficuo. Quando il malintenzionato emette la richiesta di riscatto, avrà acquisito una profonda conoscenza del funzionamento del perimetro aziendale. Settimane o addirittura mesi potrebbero trascorrere tra la violazione iniziale e l’emissione della domanda di riscatto.
A molte aziende mancano gli strumenti o le risorse del personale necessarie per rilevare e prevenire gli attacchi ransomware, proprio per questo è importante iniziare ad essere vigili e agire rapidamente.
Esistono una serie di segnali di avvertimento che dovrebbero mettere in allarme gli utenti e che segnalano la presenza di anomalie. Se il sistema riesce ad individuare questi indicatori e rilevare un attacco nelle sue fasi iniziali, è possibile riprendere il controllo e prevenire danni reali.
Fai attenzione a questi segnali di avvertimento:
Accesso negato ai file
Uno dei sintomi inequivocabili della presenza di un ransomware è l’inaccessibilità a file e cartelle perché tutti criptati. I file infetti normalmente cambiano nome e addirittura estensione a seconda del tipo di malware che li ha colpiti.
Sfondo del desktop che cambia
Un sintomo in aggiunta alla presenza dei file criptati potrebbe essere lo sfondo del desktop che viene sostituito con la ransomware note ovvero, la richiesta di riscatto del ransomware.
Il device è inaccessibile
Alcuni ransomware non solo criptano i file, ma addirittura bloccano l’accesso al computer o al device oggetto dell’attacco.
Presenza della ransomware note o nota di riscatto ransomware
La nota di riscatto del ransomware può apparire sotto forma di allegato .txt, o sotto forma di file .html e contiene precise iscrizioni relative a come pagare la somma di riscatto dovuta all’attaccante. I genere copre tutto lo schermo del device, in alcuni caso non è possibile rimpicciolirla o peggio, chiuderla.
Presenza di e-mail sospette
il phishing è uno dei metodi più comuni in cui inizia un attacco ransomware.
Gli hacker invieranno e-mail di ingegneria sociale, facendo in modo che il mittente sembri provenire da un’azienda legittima, con invece un allegato o un link dannoso. Una volta che gli utenti faranno clic su quell’allegato, gli hacker entreranno nella rete e inizieranno ad analizzarla.Scanner di rete inaspettati
diffidare degli scanner che compaiono sulla tua rete che non sono riconoscibili o non hanno alcuna utilità nella tua azienda, soprattutto se questi sono in grado di indicare la presenza di server o dispositivi vari. I criminali informatici spesso iniziano un attacco ransomware ottenendo l’accesso a un computer. Da lì, scaveranno un po’ nella tua rete e scopriranno informazioni private.
Per rimuovere il ransomware all’interno di una rete non è sufficiente affidarsi alla protezione di un antivirus.
La realtà è che molte organizzazioni non hanno la capacità per identificare tutti i segnali di avvertimento che un malware così avanzato lancia. O peggio, i moderni attacchi ransomware cercano di restare per quanto possibile silenti e invisibili per all’utente comune: solo un analista cybersecurity o un’azienda di specialisti di sicurezza informatica è in grado di identificare comportamenti anomali in rete.
Siate coscienti che l’attacco ransomware è tra le minacce più letali da sventare. La sua presenza mette a rischio l’intera struttura informatica, non solo bloccando l’accesso ai file, ma soprattutto rendendo vulnerabile qualsiasi dispositivo in rete.
Se tutta l’organizzazione manca di strumenti di sicurezza predittiva e difensiva, estirpare la minaccia può rivelarsi più ostico di quanto non si creda.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.