Un ransomware è un malware che si infiltra nei dispositivi degli utenti e agisce bloccando l’accesso ai dati e al sistema tramite la crittografia.
Lo scopo di questo tipo di attacchi informatici è quello di chiedere il riscatto (dall’inglese ransom) con la promessa di ricevere in cambio la chiave di decrittazione o lo sblocco del sistema.
Al posto della normale schermata con lo sfondo del desktop, ciò che appare è un messaggio da parte dei criminali (ransomware note) che intima di pagare una somma di denaro abbastanza elevata per riavere indietro i propri contenuti. Si tratta di un attacco che a differenza di altri, come il camfecting o il cryptojacking, non mira a nascondersi nel sistema il più a lungo possibile, ma solitamente si rivela immediatamente e minaccia l’utente, nella sicurezza di non poter essere identificato.
La difficoltà nel trovare una soluzione al ransomware deriva proprio dal tipo di riscatto richiesto, che avviene tramite il sistema anonimo e decentralizzato delle cripto valute.
Dietro questo tipo di attacchi non ci sono più semplici cracker, ma delle vere e proprie organizzazioni criminali strutturate.
L’industria del ransomware as a service rende possibile effettuare queste estorsioni anche a chi non è in grado di programmare.
Si possono distinguere due principali tipologie di ransomware, in base a come agiscono:
Crypto-ransomware
crittografano i file memorizzati nel dispositivo infetto e li rendono inutilizzabili senza la chiave di decrittazione.
Locker-ransomware
si limitano a rendere inaccessibile il dispositivo con una schermata di blocco che intima la vittima di pagare il riscatto.
Indice degli argomenti:
Il primo attacco ransomware viene fatto risalire al 1989, quando venne registrato l’attacco di quello che viene chiamato PC Cyborg.
Venne dato questo nome perché i pagamenti erano indirizzati ad una fantomatica “PC Cyborg Corporation”.
Il malware bloccava i computer accusando una presunta scadenza di licenza e chiedendo 189 dollari per un rinnovo.
La diffusione del ransomware PC Cyborg avvenne ad un congresso sull’Aids mediante la consegna di alcuni floppy disk infetti ai partecipanti.
Per questo motivo, e per via del fatto che il personal computer non era ancora così diffuso e la rete Internet restava ad appannaggio esclusivo degli “addetti ai lavori”, la sua diffusione fu estremamente limitata.
A parte questo limitato episodio, che rimane più che altro un caso storico da manuale, la diffusione dei ransomware è avvenuta più che altro a partire dal 2012 e da allora è in costante crescita.
Si tratta di un’attività sempre più redditizia per i cyber criminali, che nel corso del tempo si è evoluta aumentando la sua complessità e la sua efficacia.
Uno dei primi e più noti ransomware cominciò a diffondersi nel 2012.
Venne chiamato anche Trojan della polizia d stato, perché mostrava un avviso a nome della polizia (adattato a seconda dei diversi paesi) affermando di aver scoperto che il computer viene usato per attività illegali.
La sovvenzione da pagare per sbloccare il sistema sarebbe stata da effettuare ovviamente tramite servizi di credito anonimi.
Per aumentare l’illusione del controllo, talvolta gli hacker effettuavano anche delle operazioni di camfecting, mostrando in diretta le riprese della webcam per far sembrare che fosse la polizia a riprendere personalmente le vittime.
La diffusione del ransomware fu tale che la Metropolitan Police del Regno Unito emise una dichiarazione per avvisare la popolazione che non avrebbe mai bloccato un computer in quel modo nel corso di un’indagine.
Nel 2013 una decina di persone furono arrestate con l’accusa di riciclaggio e della loro connessione con Raveton.
Nel 2013 cominciò a diffondersi un altro ransomware noto col nome di CryptoLocker.
Si trattò di uno dei primi casi in cui veniva richiesto un riscatto in criptovalute, metodo che garantisce anonimato ai criminali.
La sua diffusione avveniva tramite allegati di posta elettronica mascherati da pdf.
Essendo Windows preimpostato per nascondere le estensioni dei file di default, un contenuto che viene rinominato “.pdf.exe”. considererà valida solo la seconda estensione ma mostrerà visibile solo la prima. Sfruttando questo metodo di camuffamento, i cyber criminali riuscivano ad indurre gli utenti ad aprire il finto documento, dando il via all’installazione e all’esecuzione del ransomware.
A causa delle grandi dimensioni della chiave di cifratura utilizzata, CryptoLocker viene considerato uno dei ransomware più difficili da decrittare.
Le stime delle estorsioni da Cryptolocker ammontano a circa 3 milioni di dollari.
CryptoWall fu un altro importante ransomware diretto a Windows e diffuso a partire dal 2014.
Anch’esso veniva diffuso tramite e-mail spam, mascherato da immagine .jpg.
Oltre ad avviare la criptazione dei file, una volta installato, il ransomware creava nuove istanze di Explorer per comunicare con i suoi server. Inoltre, installava degli spyware simili al keylogging per rubare le password delle vittime.
Nel 2015 l’FBI ha riferito di essere stata contattata da quasi mille vittime di questo ransomware, che era riuscito a raccogliere una somma di oltre 18 milioni di dollari.
Fusob ransomware
I ransomware non hanno risparmiato neanche i dispositivi mobile.
Ecco che nel 2015 arrivò il primo ransomware per mobile.
Nel 2015 cominciò a diffondersi Fusob, che applicava lo stesso metodo visto per Raveton. Infatti, fingendosi un’autorità di polizia, chiedeva alle vittime di pagare una multa di centinaia di dollari per evitare di finire processato per un’accusa fittizia.
Sorprendentemente, il pagamento del riscatto veniva richiesto in carte regalo iTunes.
Per infettare le vittime, si mascherava da un’app per riprodurre video pornografici. Una volta avviata, aveva un comportamento diverso a seconda della lingua utilizzata dal dispositivo. Se l’utente parlava la lingua russa lo lasciava indenne, altrimenti procedeva al blocco del dispositivo.
Le vittime di Fusob ransomware appartenevano quindi principalmente all’Europa Occidentale, con il 40% segnalate in Germania.
Popcorn ransomware
Oltre ad aumentare la loro efficienza tecnologica, i ransomware migliorano anche sotto l’aspetto del marketing.
Nel 2016 si diffuse il malware Popcorn, che dopo aver bloccato l’accesso al computer chiedeva come al solito il pagamento di un riscatto entro una scadenza molto stretta. In questo caso veniva fornita però anche un’alternativa “cattiva”.
Se la vittima di Popcorn malware fosse stata in grado di infettare altre due persone e se queste avessero pagato il riscatto entro la data di scadenza, sarebbe stata assolta dal pagamento e avrebbe riavuto indietro i suoi file.
I cybercriminali si dichiaravano studenti siriani e si scusavano con le vittime per la spiacevole situazione in cui li avevano cacciati.
WannaCry ransomware
Un altro attacco informatico divenuto famoso nelle cronache internazionali è WannaCry.
Diffuso nel 2017, ha bloccato computer da ogni parte del mondo sfruttando la presenza di un bug di Windows.
La falla di sicurezza era già nota agli sviluppatori ed era stata anche risolta attraverso il rilascio di una patch, ma molti computer non avevano ancora effettuato l’aggiornamento e sono stati proprio quelli ad essere infettati.
Gli attacchi registrati per mano di WannaCry sono stati oltre 45mila in 74 nazioni.
Europol, l’agenzia dell’Unione europea attiva per il contrasto alla criminalità, ha parlato di WannaCry come di
“un attacco senza precedenti che richiede indagini internazionali”.
Il Regno Unito è stato uno dei paesi più colpiti, dove oltre 25 ospedali sono rimasti bloccati a causa dell’infiltrazione del ransomware.
SamSam ransomware
Nel 2016 ha cominciato anche a diffondersi un nuovo tipo di ransomware che sfrutta un metodo di diffusione diverso.
Invece del classico processo di phishing via e-mail, nel quale il malware viene nascosto in un link o in un allegato, in questo caso venivano sfruttate le vulnerabilità dei server con un debole livello di sicurezza.
Tramite attacchi a forza bruta, SamSam ransomware tentava di indovinare la password finché non riusciva effettivamente a violare il sistema.
Gli attacchi erano diretti contro obiettivi governativi negli Stati Uniti e secondo le stime avrebbero portato alla raccolta di oltre 6 milioni di dollari tramite le estorsioni, causando più di 30 milioni di dollari di danni pubblici.
Ryuk ransomware
Più di un terzo degli attacchi ransomware al mondo nel 2020 sono imputati a Ryuk, un ransomware attributo ad un gruppo di hacker russi chiamato Wizard Spider.
Anche questo ransomware si diffonde tramite e-mail di phishing, ma si concentra principalmente su bersagli importanti come grandi aziende, enti governativi, sanitari e militari. Per questo, il riscatto richiesto è molto elevato e si aggira nell’ordine dei milioni (ovviamente in cripto valute).
Gli incassi stimati si aggirano sui 150 milioni di dollari.
Maze Ransomware
Sempre nel 2020 si diffonde a macchia d’olio un’altra infezione ransomware diretta alle aziende,.
Si tratta di Maze ransomware, la cui diffusione avviene sempre tramite il buon vecchio metodo del phishing via PEC email.
Le richieste di riscatto si aggirano anche questa volta nell’ordine dei milioni di dollari. Tuttavia, questo ransomware è stato il pioniere una tecnica rivoluzionaria.
Si tratta della doppia estorsione: oltre a minacciare la vittima di cancellare i dati e l’accesso al sistema, il ricatto include la diffusione di tutti i dati online, raccolti prima della cifratura. In questo modo i criminali si assicurano di tenere in pugno anche le aziende che sono state previdenti ed hanno effettuato un backup.
Il primo caso conosciuto di doppia estorsione ransomware ad opera di questo ransomware risale al 2019, quando venne colpita Allied Universal, una società di sicurezza americana.
Quando l’azienda si è rifiutata di pagare un riscatto di 300 Bitcoin (oltre 2 milioni di dollari), i criminali hanno diffuso un campione dei file rubati, tra cui contratti, cartelle cliniche, certificati di cifratura e altro ancora, aumentando poi la richiesta di riscatto del 50%.
Recentemente, casi di ricatto online si sono registrati anche in Italia, dove hanno subito attacchi a doppia estorsione anche società del calibro di Enel e Campari.
A partire dal primo di attacco ransomware nel 1989, le estorsioni informatiche tramite ransomware si sono diffuse a livello internazionale.
Hanno inoltre aumentato il loro livello di complessità, divenendo sempre più difficili da contrastare.
Uno scenario di questo tipo dimostra ancora una volta la centralità e l’importanza della sicurezza informatica al giorno d’oggi per le aziende, a prescindere da quale sia il loro settore di appartenenza e le loro dimensioni.
Infiltrazioni di questo tipo possono infatti causare rallentamenti della produttività, danni d’immagini e perdite di dati.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
