Ransomware e Trojan

Le fasi di un attacco trojan e ransomware a confronto

Purtroppo, è successo anche a te: sei stato preso di mira e sei la vittima designata di un cyber attacco.
Il tuo antivirus non ha identificato la presenza di un Ransomware o di un Trojan per tempo: come comportarsi in caso di infezione? Ecco perché dovresti leggere il nostro articolo su trojan e ransomware a confronto.

Insieme sono la principale causa di perdita di dati in seguito ad un attacco informatico. Insieme, ransomware e trojan costituiscono il maggior numero di attacchi informatici che colpiscono le aziende. Ciascuna delle due famiglie di malware è responsabile di danni quali la cancellazione dei dati personali fino alla richiesta di ingenti somme di denaro per la restituzione dei dati personali sottratti.

Scopriamo insieme quali sono le differenze tra attacchi trojan e attacchi ransomware, come riconoscerli e cosa accade quando un dispositivo subisce un l’attacco.

Un passo indietro: la definizione di ransomware e trojan a confronto

Sappiamo che quelli che comunemente vengono chiamati “virus informatici”, nella realtà hanno definizioni e caratteristiche ben diverse tra loro.
La terminologia corretta per indicare un virus informatico è: malware.

Malware è il termine inglese per indicare i Malicious Software ovvero i software dannosi che si insinuano a bordo del nostro computer o qualsiasi altro dispositivo connesso a Internet.

A questo punto, passiamo ad analizzare ransomware e trojan.

I trojan: cosa sono e come si comportano

Intuire il funzionamento di un malware trojan non è complesso: il nome richiama alla mente proprio il Cavallo di Troia utilizzato da Ulisse e non a caso, la logica del malware è la stessa dell’elememto mitologico.

Il temine trojan si riferisce dunque ad un malware apparentemente innocuo che l’utente lascia entrare nel sistema informatico senza porsi troppe domande. Tuttavia, dopo essersi insinuato nel sistema, il software si rivela essere tutt’altro.
I trojan horse sono infatti una tipologia di software che si presentano come porzioni di un software apparentemente utile che decidiamo di scaricare.

Una volta insediatosi nel nostro dispositivo, il trojan attiva la sua funzionalità.
I trojan, a differenza di tutti gli altri malware, non sono in grado di replicarsi all’interno di un sistema informatico.

Una volta insediatosi nel sistema, il trojan mira a leggere le password, registrando i tasti premuti sulla tastiera oppure a consentire l’accesso ad ulteriori malware. In quanto a danni e azioni concrete, un trojan può eliminare, bloccare o copiare i nostri dati oltre a poterli modificare.

A volte, inoltre, il trojan è in grado di bloccare completamente il dispositivo, rendendolo dunque inutilizzabile.

Le diverse tipologie di trojan

Trojan backdoor

Tra i trojan più temibili annoveriamo le backdoor.

Si comportano come un gateway, sfruttando la presenza di vulnerabilità informatiche consentono l’accesso a malware di vario genere che ampliano le potenzialità di rischio e i potenziali danni al dispositivo.
Questo tipo di trojan spesso ha un obiettivo ben preciso: trasformare il vostro dispositivo in un componente di una rete più ampia, detta botnet, composta da vari dispositivi infetti, chiamati computer zombie o semplicemente bot.

Il botmaster è il centro di controllo dell’attacco che monitora la trasmissione dei dati tramite accesso remoto, potendo così scagliare attacchi contro atri sistemi o arrivando persino ad utilizzarli per compiere azioni criminali.

Malware che sfruttano Exploit

Gli exploit sono una sequenza di comandi, facenti parte del processo di sviluppo di un software e che che sfruttano un errore o una vulnerabilità  per provocare un certo comportamento sull’applicativo.
Gli stessi sviluppatori dei software nel momento in cui rilasciano aggiornamenti che prevedono l’installazione di patch di sicurezza intervengono per sistemare un problema a bordo del programma sviluppato che potrebbe essere sfruttato da un trojan, ad esempio.

Dal momento che il trojan riesce a scoprire un modo per sfruttare l’assenza di soluzioni di sicurezza per infiltrarsi nel programma e sfruttarlo per portare un attacco, l’utente può fare ben poco.

Trojan dropper

Questo tipo di trojan funge un po’ da ariete per sfondare la porta di ingresso del dispositivo e permettere un facile accesso ad altri trojan o malware.
Una delle caratteristiche principali di questa tipologia di trojan horse, è che possono essere aggiornati da remoto, così da renderli introvabili per gli antivirus.

Oltre agli aggiornamenti, gli hacker riescono anche ad aggiungere nuove funzioni a questi software, facendoli diventare sempre più pericolosi.

Trojan bancari

In questo blog abbiamo già approfondito il tema dei Trojan bancari in un articolo dedicato.

La diffusione dei trojan bancari è certamente una conseguenza dell’introduzione dei processi bancari digitalizzati.
L’utilizzo dell’home banking, infatti, ad opera di aziende e privati è ormai assodato perché comodo e pratico. Tuttavia, se in passato prima era sufficiente coprire con la mano il tastierino durante l’immissione del pin per essere sicuri di non essere visti, ora l’esposizione online è decisamente più ampia e pericolosa.

Normalmente, l’azione dei banking trojan è indirizzata a sottrarre dati di accesso all’home banking o a intercettare ogni comunicazione con banche o istituti di credito.

Uno dei metodi alternativi per appropriarsi dei dati bancari altrui, è il phishing.

Trojan come falsi antivirus

Utilizzano la leva della sensazione di pericolo ed urgenza per spingere l’utente a scaricale il file d’installazione del trojan.

Per questo motivo vengono chiamati trojan antivirus, che fanno apparire sui nostri schermi un alert simile a quello di un antivirus e che ci avvisano di aver rilevato delle minacce: per eliminarle basta fare un click.

Quel click diventa letale, diventa esattamente come aprire la porta al trojan che entra con nonchalance nel nostro sistema, infettandolo. Spesso vengono anche richiesti acquisti di falsi pacchetti premium di antivirus, così da spillare anche del denaro alla povera vittima caduta nel tranello.

Trojan Instant Messaging

Sulla stessa scia dei precedenti, questo tipo di trojan si presenta come un allegato all’interno di un messaggio in chat.

A volte diamo adito a tale messaggio perché pare provenire da un nostro contatto o conoscente, per questo ci fidiamo e ci caschiamo.
Al nostro click diamo accesso all’hacker al nostro sistema, consentendogli di rubare le nostre credenziali di accesso per poter, in questo modo, inviare a nostro nome altri messaggi a tutti i nostri contatti.

Una catena che prosegue se l’hacker ha intenzione di ampliare la propria rete oppure semplicemente un obiettivo raggiunto se il suo interesse risiede all’interno del nostro dispositivo. Lo scopo del messaggio trojan è infatti, come sempre, quello di aprirsi uno spiraglio nel nostro sistema per poi rubarci ciò che più desidera.

Trojan di Stato

Questo tipo di trojan, in realtà, non sono generati da criminali ma da vere e proprie istituzioni governative con il solo scopo di risalire o monitorare situazioni delittuose o potenziali tali.

In questo caso, però, nulla è lasciato nell’ombra: sono necessarie delle chiare autorizzazioni rilasciate dal tribunale per poter procedere con l’utilizzo di questi sistemi di indagine, paragonabili alle più note e classiche intercettazioni. Un po’ come in guardia e ladri esistono trojan buoni e trojan cattivi: tutto sta nei fini dell’utilizzatore.

Ransomware e Trojan 2022

I ransomware: cosa sono e come si comportano

Parlando di ransomware, invece, le caratteristiche del malware cambiano a confronto con quelle dei trojan.
Stiamo parlando di malware che infettano dunque un dispositivo o addirittura, tutti i dispositivi dell’intera rete bloccandone poi l’accesso e criptandone i dati rendendoli inaccessibili. Una volta blindato il sistema, i cybercriminali richiedono il pagamento di un riscatto per restituire o sbloccare i dati.

Come ogni criminale che si rispetti, non è scontato che successivamente al pagamento corrisponderà l’effettivo rilascio dei file in ostaggio.

L’imperativo, dunque, anche in questo caso, resta la prevenzione. Anche i ransomware si distinguono in diverse tipologie ma prima è bene suddividerli in due ampie famiglie:

Ransomware Locker

Rendono inutilizzabile il dispositivo bloccandone le funzioni di base. Lo scopo dell’hacker, in questo caso, è manovrare a distanza il computer, permettendovi soltanto l’esecuzione delle azioni necessarie al pagamento del cosiddetto riscatto.

Crypto-ransomware

il cui scopo è quello di rendere inaccessibili alcuni dati, criptandoli.
Le funzioni del dispositivo restano attive, semplicemente determinati documenti non sono più accessibili. In questo caso sono i file ad essere presi d’ostaggio e l’hacker richiederà il pagamento di una cifra in denaro minacciando di eliminarli o di diffonderli. Ecco che i criminali vanno a premere sulle leve emozionali per farci cadere nelle loro truffe.

Una volta presentate le due grandi famiglie di ransomware, possiamo citarne alcuni esempi di attacchi susseguitesi nel tempo:

Petya ransomware

Abbiamo parlato di ransomware Petya più volte all’interno del nostro blog cyber security. Qui lo riassumiamo brevemente, il malware Petya rientra nella famiglia dei ransomware che non si limitano ad attaccare alcuni file ma criptano l’intero disco rigido della vittima, rendendolo inaccessibile.

GandCrab ransomware

Anche GrandCrab è stato un ransomware fortemente temuto nella storia dell’informatica. Questo perché il malware sfruttava come leva per le sue richieste di riscatto, la presunta frequentazione di siti porno delle vittime. Minacciava di rivelare le immagini degli utenti, che sarebbero stati spiati durante la visita di tali siti. L’unica via di uscita proposta? Il pagamento del riscatto in bitcoin, ovviamente.

Dharma ransomware

In questo caso parliamo di una tipologia di ransomware che gli hacker installano manualmente violando il dispositivo del malcapitato.
Appena il malware si attiva, l’hacker ha la possibilità di criptare tutti i file che desidera.

Al contrario di molti altri malware della sua famiglia, Dharma ransomware richiede l’intervento dell’attaccante e dunque, si tratta di un attacco informatico estremamente mirato.

Jigsaw ransomware

JigSaw ransomware ricorda non a caso il film horror Saw. Il nome del ransomware non è stato scelto casualmente dai creatori della minaccia poiché proprio nel momento in cui veniva avviata l’infezione, sul dispositivo appariva l’immagine del personaggio del film.

Anche in questo caso è richiesto il pagamento di una somma contro l’eliminazione dei file di cui l’hacker si è impossessato.

Trojan e Ransomware a confronto: come difendersi

Per quanto diversi tra loro, tanto i trojan quanto i ransomware sono malware pericolosi e dai quali è bene tenersi alla larga.

I consigli per prevenire e difendere il sistema in fase di attacco sono pochi e semplici da seguire: in primis, l’adozione di un sistema di antivirus e anti-ransomware efficace. Accertiamoci poi di effettuare costantemente gli aggiornamenti previsti dal sistema in modo che ogni bug possa essere corretto dagli sviluppatori.

Adottiamo l’abitudine di effettuare un backup dei dati per poterne avere una copia dei nostri documenti sempre al sicuro in caso di furto o di perdita. Inoltre, cerchiamo di proteggere e criptare noi stessi i documenti sensibili, prima che finiscano nelle mani sbagliate.

Imperativo: non effettuare download di file dubbi o di allegati sospetti, tantomeno programmi craccati.

Attenzione alle macro di Word o Excel, anch’esse potrebbero contenere trojan o ransomware. Prestare attenzione alle estensioni dei file, di solito i .exe sono software eseguibili e se siete convinti di aver scaricato un’immagine o un file testuale, evitate di aprire documenti con un’estensione differente.

Un ultimo importante consiglio: mantenere alta la guardia, anche durante la navigazione web, resta l’unico modo per prevenire ogni inconveniente.

Onorato Informatica Srl

Sicurezza informatica per aziende da oltre 10 anni

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 10 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica. Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.