Sebbene ci siano più di 1 miliardo di programmi maligni (malware) su Internet in cerca di vittime da infettare, una particolare classe di malware infligge da anni perdite finanziarie e problemi di sicurezza: Il ransomware. Il suo unico scopo è bloccare l'accesso ai sistemi informatici o ai file finché la vittima non paga un riscatto. Le richieste di riscatto variano enormemente, dall'equivalente di un paio di centinaia di dollari a diverse centinaia di migliaia.
Che cos'è un Ransomware?
Il ransomware è una categoria di software dannoso progettato per bloccare l'accesso a un sistema informatico fino al pagamento di una somma di denaro. Il pagamento viene solitamente richiesto in criptovalute come Bitcoin o Monero. Alle vittime viene chiesto di acquistare questi beni digitali e di trasferirli agli aggressori. Il ransomware si è evoluto nell'ultimo decennio nel tentativo di colpire un maggior numero di vittime, generare enormi profitti per i criminali informatici e rendere quasi impossibile il recupero dei dati a meno che la vittima non paghi il riscatto o li recuperi dai backup.
Sebbene la crittografia sia considerata un potente strumento per garantire la privacy online, consentendo a tutti di comunicare senza timore di intercettazioni, gli sviluppatori di ransomware hanno utilizzato la crittografia per assicurarsi che i file colpiti non possano essere utilizzati. Alcuni meccanismi di crittografia rendono impossibile il recupero dei dati a meno che gli aggressori non accettino di inviare alle vittime la chiave di decrittazione, sbloccando l'accesso al sistema colpito dopo il pagamento del riscatto. Immaginate che qualcuno si introduca in casa vostra, trovi i vostri gioielli, li chiuda in un caveau impenetrabile al centro dell'abitazione e se ne vada con la chiave dopo aver messo una richiesta di riscatto. Se contattate il ladro e pagate il riscatto, vi darà la chiave per aprire il caveau e raggiungere i vostri gioielli. Altrimenti, dovrete rompere il caveau da soli. Sapete che tutti i vostri oggetti di valore sono lì, ma non potete usarli. Il ransomware agisce in modo simile, solo che mira ai vostri file e dati.
Ad oggi esistono 3 diversi tipi di ransomware:
1. Blocco dello schermo
Il più "blando" di tutti i ransomware è lo screen-locker: si limita a impedire all'utente di accedere al proprio dispositivo bloccando l'accesso al desktop o alla schermata iniziale nel caso degli smartphone. Pur essendo fastidiosi, i blocchi dello schermo possono essere aggirati senza pagare l'aggressore se si ha sufficiente esperienza tecnica.
2. Crypto ransomware
Mentre i primi ceppi di ransomware meno maligni si sono dimostrati inefficaci per fare soldi, in quanto si concentravano sull'impedire agli utenti di accedere ai loro dispositivi utilizzando i blocchi dello schermo (senza criptare i dati), le versioni successive hanno iniziato a utilizzare la crittografia nota come crypto-ransomware. Il crypto-ransomware è estremamente efficace in quanto cripta specifiche informazioni memorizzate localmente e talvolta anche i backup nel cloud e si offre di decriptarle in cambio di una tariffa che varia da 300 a 900 dollari. Poiché il crypto-ransomware utilizza la stessa tecnologia che protegge le nostre conversazioni online, le transazioni bancarie e le comunicazioni militari, i file criptati non possono essere recuperati senza pagare il riscatto. Le famiglie di crypto-ransomware sono responsabili di aver sottratto alle vittime oltre un miliardo di dollari all'anno. Alcune famiglie di crypto-ransomware, come GandCrab, hanno addirittura generato l'equivalente di oltre 2 miliardi di dollari di riscatti pagati in meno di due anni di attività.
Altre famiglie di ransomware hanno iniziato ad adottare l'estorsione come ulteriore tattica intimidatoria per spaventare le vittime e indurle a pagare. Ad esempio, prima di criptare effettivamente i dati privati, gli aggressori li sottraggono alle vittime e minacciano di esporli online come parte di una campagna di vergogna pubblica se non viene pagato il riscatto.
3. Crittografo del disco
Infine, le forme di ransomware più dannose sono i cosiddetti disk encryptor. A differenza dei crittografi di file, i crittografi di dischi impediscono agli utenti di avviare l'intero sistema operativo, poiché il ransomware tiene in "ostaggio" l'intera unità disco.
Come si diffonde un Ransomware?
Le e-mail sono uno dei meccanismi più utilizzati per la diffusione dei ransomware. Le e-mail di spam contribuiscono alla diffusione di un gran numero di infezioni da ransomware, inducendo le vittime a cliccare sui link e a scaricare i file infettati dal ransomware, oppure allegando documenti contaminati che si presentano come CV, fatture e altri tipi di file. Se l'utente apre il messaggio e clicca sull'allegato, inizia il processo di crittografia. Quando tutte le informazioni sono state crittografate, l'utente vede un messaggio di avviso sul desktop, insieme alle istruzioni su come pagare il riscatto e ottenere la chiave di decrittazione.
Un'altra tecnica utilizzata dagli aggressori è quella di acquistare pubblicità su siti web ad alto traffico e poi sfruttarli per sfruttare le vulnerabilità dei browser o dei plugin. Quando una vulnerabilità viene sfruttata, il browser o il plugin si blocca e il payload del ransomware viene installato automaticamente. Molti utenti sono diventati riluttanti ad aprire gli allegati o a fare clic sui link delle e-mail, quindi questo metodo elimina qualsiasi interazione con l'utente o componente di social engineering affidandosi a vulnerabilità non risolte.
Infine, i criminali informatici inseriscono di nascosto il ransomware in contenuti illegali e pirata disponibili per il download su siti web torrent o "warez". Le vittime ignare scaricano sui loro sistemi ransomware camuffati da crack, generatori di chiavi e altri tipi di software, li eseguono e di conseguenza installano il ransomware.
Come proteggere il PC dagli attacchi ransomware
Il ransomware è un'attività molto redditizia per i criminali informatici, che investono costantemente in nuovi modi per infettare le vittime e rendere difficile la lotta alle soluzioni di sicurezza. Il modo migliore per proteggersi dagli attacchi ransomware è non farsi infettare. L'infezione da ransomware può essere limitata e talvolta prevenuta con alcune buone pratiche:
1. Utilizza un antivirus aggiornato
Utilizza una soluzione anti-malware con moduli anti-exploit, anti-malware e anti-spam costantemente aggiornati e in grado di eseguire scansioni attive. Assicurati di non sovrascrivere le impostazioni ottimali e di aggiornarle quotidianamente.
2. Pianifica i backup dei file
Effettua regolarmente il backup dei file nel cloud o in locale in modo che i dati possano essere ripristinati in caso di crittografia. I backup non devono essere archiviati su una partizione diversa del PC, ma piuttosto su un disco rigido esterno collegato al PC solo per la durata del backup.
3. Mantieni aggiornato Windows
Mantieni il tuo sistema operativo Windows e il tuo software vulnerabile, in particolare il browser e i plug-in del browser, aggiornati con le ultime patch di sicurezza. I kit di exploit utilizzano le vulnerabilità in questi componenti per installare automaticamente il malware.
4. Mantieni UAC abilitato
UAC (controllo dell'account utente) ti avvisa quando verranno apportate modifiche al tuo computer che richiedono l'autorizzazione a livello di amministratore. Mantieni abilitato l'UAC per ridurre o bloccare l'impatto del malware.
5. Segui pratiche Internet sicure
Segui pratiche Internet sicure. Non visitare siti Web discutibili, non fare clic su collegamenti né aprire allegati nelle e-mail da fonti incerte. Evita di scaricare app da siti sconosciuti: installa solo software da fonti attendibili. Non fornire informazioni di identificazione personale su chat room o forum pubblici.
6. Abilita ad-blocker
Abilita il blocco degli annunci e le estensioni per la privacy (come AdBlock Plus) per ridurre gli annunci dannosi. Aumenta la tua protezione online modificando le impostazioni di sicurezza del tuo browser web. In alternativa, potresti prendere in considerazione un'estensione del browser che blocchi JavaScript (come NoScript).
7. Utilizza filtri antispam
Implementa e utilizza un filtro anti-spam per ridurre il numero di e-mail di spam infette che raggiungono la tua casella di posta.
8. Disabilita Flash
Quando possibile, virtualizza o disabilita completamente Adobe Flash, poiché questo plug-in è stato ripetutamente utilizzato come vettore di infezione.
9. Abilita i criteri di restrizione software
Se il tuo computer esegue un'edizione Windows Professional o Windows Server o se sei un amministratore di sistema nel team IT dell'azienda, abilita i criteri di restrizione software. Applica gli oggetti Criteri di gruppo nel registro per bloccare gli eseguibili da posizioni specifiche.
Ciò può essere ottenuto solo quando si esegue un'edizione Windows Professional o Windows Server. L'opzione Criteri di restrizione software è disponibile nell'editor Criteri di sicurezza locali. Dopo aver fatto clic sul pulsante Nuovi criteri di restrizione software in Regole aggiuntive, è necessario utilizzare le seguenti regole di percorso con il livello di sicurezza non consentito:
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\\*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe”
"%userprofile%\\*.exe”
"%username%\\Appdata\\*.exe”
"%username%\\Appdata\\Local\\*.exe”
"%username%\\Application Data\\*.exe”
"%username%\\Application Data\\Microsoft\\*.exe”
"%username%\\Local Settings\\Application Data\\*.exe”
Cosa fare se un ransomware ha crittografato i vostri file
Di solito, in caso di crittografia di un ransomware, i file locali vengono crittografati utilizzando una coppia di chiavi generate in modo casuale e associate al computer infetto. Mentre la chiave pubblica viene copiata sul computer infetto, la chiave privata può essere ottenuta solo pagando entro un determinato periodo di tempo. Se il pagamento non viene effettuato, la chiave privata viene eliminata, senza lasciare alcun metodo di decrittazione possibile per recuperare i file bloccati.
Le autorità raccomandano di non cedere alle richieste di riscatto. Il pagamento di un riscatto non garantisce il recupero dei file e serve solo ad alimentare finanziariamente lo sviluppo di nuove e più sofisticate famiglie di ransomware, contribuisce a finanziare altre attività di criminalità informatica e, in ultima analisi, legittima il business del ransomware rendendolo redditizio per gli hacker. Sconfiggere gli attacchi ransomware è difficile, ma non impossibile. Le forze dell'ordine e le società di sicurezza collaborano da anni per aiutare le vittime a recuperare i loro file.
Suggerimenti per recuperare i dati criptati da ransomware:
- Se il modulo Risanamento da Ransomware di Bitdefender è abilitato al momento dell'attacco ransomware, i file verranno ripristinati automaticamente.
- È anche possibile recuperare i file criptati da ransomware ripristinando i file originali da un backup esterno o in cloud.
- Iniziative come il sito web nomoreransom.org possono aiutare le vittime di ransomware a recuperare i propri dati, nei casi in cui le forze dell'ordine o i fornitori di sicurezza abbiano trovato un modo per decriptare i file di specifiche famiglie di ransomware.
- L'FBI fornisce le seguenti raccomandazioni per le vittime di ransomware:
-
- Inviare una segnalazione online o contattare l'ufficio locale dell'FBI per richiedere assistenza.
- Presentare una segnalazione all'Internet Crime Complaint Center (IC3) dell'FBI.
Ricordate! È importante eseguire frequentemente il backup dei dati, tenere d'occhio le e-mail non richieste, aggiornare costantemente tutti i software e i sistemi operativi, installare una soluzione di sicurezza con più livelli di protezione contro il ransomware e non cedere alle estorsioni.