Il fenomeno dei ransomware ha assunto dimensioni preoccupanti, colpendo indiscriminatamente aziende, enti governativi e utenti singoli negli ultimi anni.
Questi tipi di malware criptano i dati presenti sui dispositivi, rendendoli inaccessibili e richiedendo un riscatto, spesso in criptovaluta, per il loro recupero. Questa pratica criminale non solo mette a rischio dati sensibili e operatività aziendale ma, pagando il riscatto, si finanzia ulteriormente l’attività senza alcuna garanzia di recupero dei dati.
Definizione breve di ransomware
Il ransomware è un software malevolo che, una volta infiltrato in un dispositivo (un computer, un tablet o uno smartphone) cripta i dati che vi trova all’interno (documenti, immagini, video, ecc.), rendendoli inaccessibili.
Successivamente, il malware minaccia l’utente di non restituire il bottino o peggio, di renderlo pubblico a meno che questo non accetti di pagare un riscatto, di solito in criptovaluta, così da ricevere la chiave di decrittazione e recuperare l’accesso ai file.
La richiesta di pagamento viene solitamente presentata attraverso un messaggio che appare automaticamente sullo schermo del dispositivo compromesso o viene allegata tramite file di testo tra i file criptati, indicando un termine entro il quale effettuare il pagamento per evitare la perdita permanente dei dati.
Come avviene l’infezione?
I ransomware possono infiltrarsi nei sistemi informatici attraverso varie metodologie:
- Email di phishing
sfruttando tecniche di social engineering, gli attaccanti inviano email che sembrano legittime, invitando gli utenti a cliccare su link o allegati infetti. - Navigazione web a rischio
siti web infetti possono ospitare vulnerabilità che consentono alle cybergang di sfruttarle per installare ransomware ai bordo dei dispositivi degli utenti che visitano la pagina. - Software piratato
il download di software pirata spesso è portatore di componenti malevole che possono consentire di attivare il ransomware. - Attacchi RDP
gli aggressori utilizzano tecniche brute force per ottenere accesso remoto ai sistemi e inserire il malware.
I sintomi dei dispositivi attaccati da un ransomware
I sintomi di un attacco ransomware includono:
I documenti, le immagini, i video e tutti i file non si aprono o presentano estensioni sconosciute.
Ad esempio: .locky, .wannacry, .badrabbit, .ryuk, .notpetya, ecc
Messaggi che richiedono un pagamento per recuperare l’accesso ai dati appaiono sullo schermo o compaiono all’interno delle cartelle dei file infetti.
Ad esempio, potreste ritrovarvi con alcuni file così rinominati: README.txt, HOW_TO_DECRYPT_FILES.txt, YOUR_FILES_ARE_ENCRYPTED.txt, !!!READ_ME!!!.txt, #DECRYPT_MY_FILES#.txt, ecc.
Il computer o dispositivo potrebbe diventare insolitamente lento a causa dell’attività del ransomware in background.
Alcuni file potrebbero sparire o essere rinominati.
Ad esempio: 6A0200000F0200000000340928020F00.locky, foto_vacanze.jpg.id[12345678], xClvHJH-cHJ.xxxx, 1xQHJgozZM.cerber, ecc.
Messaggi insoliti o programmi sconosciuti che si avviano automaticamente al boot del sistema.
E infine, l’aumento inaspettato del traffico di rete può indicare che il ransomware sta comunicando con i server degli attaccanti.
Risposta agli attacchi ransomware
Nel caso di infezione, è importante mantenere la calma e seguire un protocollo di risposta.
Se non avete a che fare con un consulente di sicurezza informatico esperto nella risposta agli attacchi informatici vi consigliamo di iniziare a contenere i rischi partendo con queste poche e semplici azioni:
- Disconnettere immediatamente il dispositivo infetto dalla rete per prevenire la diffusione del ransomware.
- Raccogliere informazioni sull’attacco per comprendere l’estensione dell’infezione e il tipo di ransomware (all’interno della richiesta di riscatto potete individuare il nome del gruppo di attaccanti).
- Comunicate quanto sta accadendo ai vostri dipendenti e fate in modo che tutto il team sia allineato dal momento che l’infezione si palesa.
- Rivolgetevi immediatamente ad un professionista preparato in grado di offrirvi soluzioni immediate.
Si possono rimuovere gli effetti di un attacco ransomware in corso?
Purtroppo, rimuovere un attacco ransomware può essere difficile, ma non sempre impossibile.
La chiave per il recupero dei dati criptati dipende dalla disponibilità di strumenti di decrittazione specifici per la variante di ransomware incontrata.
Tuttavia, è importante assicurarsi che il malware sia stato completamente eliminato dal sistema per evitare ulteriori criptazioni.
La procedura corretta, ad ogni modo, vuole che l’organizzazione colpita si rivolga il prima possibile al supporto di un red team preparato.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.