Ransomware note, di che cosa si tratta

Ransomware, conoscere la minaccia

Una tipologia di attacco informatico che persiste da oltre vent’anni, i ransomware sono malware che rappresentano una delle minacce più temute dagli imprenditori di tutto il mondo.
Il ransomware (o cryptovirus) è un malware che agisce a bordo dispositivo, una volta installato ne assume il pieno controllo criptando tutti i file e cartelle in esso contenuti. Per di più, questo malware viene considerato tra le minacce peggiori in quanto oltre a prendere in ostaggio i dati ne richiede il riscatto alle vittime.

Un conto alla rovescia scandisce il tempo allo scadere del quale, se il riscatto non risulterà pagato, le funzioni e le informazioni in mano agli hacker saranno definitivamente perse.

La diffusione dei ransomware è ormai un dato di fatto e la tecnologia con la quale questi programmi sono scritti si dimostra sempre più accurata, tanto da rendere necessarie soluzioni di protezione informatica all’avanguardia per proteggersi adeguatamente.

Esistono diverse tipologie di ransomware e a seconda della natura del cryptovirus si specializzano in:

  1. limitare l’accesso al dispositivo che infetta (blocker)
  2. “rinchiudere” alcuni dati sensibili in gabbie di codice criptato (cryptor)
  3. chiedere un riscatto (ransom, in inglese) che la vittima dovrà pagare per rimuovere la limitazione o ottenere la chiave di decriptaggio.

Questo sistema di estorsione digitale rappresenta una delle minacce peggiori, soprattutto perché negli ultimi anni le vittime sono estremamente mirate e l’hacker ha un interesse elevato nei confronti del patrimonio informativo dell’azienda colpita.
Le vittime ideali dell’attacco ransomware sono le aziende: grandi gruppi industriali, piccole realtà (PMI) o persino, studi di professionisti.
Tuttavia, le notizie di attacchi ransomware che sempre più spesso giungono a noi riguardano perlopiù le grandi aziende, pubbliche ma anche private, che per natura gestiscono quantità di dati sensibili (nonché critici) per i quali sarebbero disposte a pagare una somma di denaro cospicua.
Non lasciatevi cullare da quest’informazione: tutti gli utenti che navigano sul web sono esposti al pericolo ransomware e conoscere il meccanismo di funzionamento di tali minacce è fondamentale per la sicurezza di tutti.
Il primo ransomware noto fu trojan AIDS, scritto nel 1989 dal biologo Joseph Popp.
Questo ransomware primitivo mostrava all’utente colpito un messaggio in cui si diceva che la licenza di un qualche software installato era scaduta. In realtà, tutti i file dell’hard disk venivano bloccati e il malware obbligava l’utente a pagare 189 dollari alla “PC Cyborg Corporation” per sbloccare i dati in ostaggio.

Note di riscatto ransomware (o ransomware note): che cosa sono?

Come già accennato, gli attacchi ransomware nascono con i più disparati obbiettivi, nonostante questi malware seguano modelli di attacco distinti presentano elementi comuni.

Come prima cosa il ransomware raggiunge il dispositivo tramite molteplici punti di accesso (allegato email, link infetto, download di file infetti da internet, siti web compromessi), che più avanti analizzeremo distintamente, ed inizia a criptare i dati mirati.
La caratteristica che li distingue dai virus o dagli altri malware è il palesarsi e rivelare la loro presenza tramite una richiesta di riscatto da parte del ransomware.

Struttura e modalità di richiesta del riscatto ransomware

Normalmente, le richieste di riscatto ransomware sono documenti che rientrano nel pacchetto di file d’installazione del malware.
L’obiettivo della ransomware note è di fornire alla vittima dell’attacco tutte le informazioni utili al pagamento del riscatto, indipendentemente dalla forma sotto la quale si presenta.
In aggiunta, la ransomware note mostra anche specifiche informazioni riguardanti la natura dell’infezione, ed esempio: quale ransomware o cybergang vi sta attaccando.

Le ransomware note sono la massima espressione di distinzione tra un ransomware e un altro e proprio per questo, spesso sono oggetto di studio da parte di tutta la comunità informatica. In genere, dal momento che il file di installazione ransomware viene scaricato o aperto sul device, il ransomware si attiva ed ecco che anche la ransomware note apparirà alla vittima nei tempi e modi prestabiliti dai suoi creatori.
Nei casi fino ad ora analizzati, le ransomware note appaiono sul desktop sotto forma di pop up, file html, immagini salva schermo o semplici file .txt. Alcuni ransomware dell’ultimo anno, hanno persino introdotto la ransomware note sotto forma di messaggio vocale.
Può accadere che questi file impediscano (in cooperazione con altri) alla vittima l’accesso alle funzioni del computer.

Dal momento dell’infiltrazione, solitamente la vittima ha pochi giorni a disposizione per pagare il riscatto. Se l’importo non viene versato, la cifra del riscatto potrebbe aumentare o i dati potrebbero definitivamente perdersi nelle mani dei criminali.

I cyber criminali scrivono con accuratezza le ransomware note, in modo da dare ai testi un tono di emergenza e sul bisogno imprescindibile delle vittime di salvaguardare i propri dati. Per questo le ransomware note sono spesso minacciose, con un conteggio alla rovescia in primo piano che aumentano il senso d’urgenza e non lasciano via d’uscita, se non tramite il pagamento del riscatto richiesto.

Ciò che possiamo dire è che non esiste una richiesta di riscatto ransomware “tipica”.

Cifre di riscatto nelle ransomware note

Alcune richieste di riscatto ransomware chiedono 30 dollari, altri invece decine di migliaia. Più l’azienda o l’organizzazione colpita è grande, maggiore sarà la possibilità di ricevere richieste di riscatto alte.

In genere, il riscatto viene richiesto in moneta criptata, anche detta bitcoin.
Questo, perché la valuta elettronica non può essere tracciata e le transazioni, nonostante siano disponibili, sono quasi impossibili da far risalire al proprietario del portafoglio. In sintesi, i bitcoin migliorano le probabilità dei cybercriminali di non essere scoperti.

Alcuni tipi di ransomware utilizzano wallet online anonimi o anche pagamenti tramite cellulari.
Una ransomware note conosciuta per la sua “originalità” è quella di un cryptovirus che utilizzava come merce di scambio delle carte di iTunes da 50 dollari.

ransomware note esempio

Pagare o non pagare, il dilemma legato alle ransomware note

Dobbiamo premettere che pagare il riscatto non garantisce la restituzione dei dati alla vittima.
Ma soprattutto, come possiamo essere sicuri che l’attaccante non abbia fatto una copia dei file rubati prima di averceli restituiti?

Alcune riflessioni sul pagamento del riscatto ransomware

tenete in considerazione che pagare il riscatto di un ransomware può avere delle ripercussioni negative per la persona, soprattutto sul piano legale.

Intanto è bene sapere che in alcuni casi, il ransomware non può essere decriptato, perciò, anche ottenendo una chiave dagli hacker questa potrebbe risultare inefficace. Oppure può succedere che i dati liberati dopo un attacco siano corrotti, insomma non abbiamo nessuna garanzia che i criminali ripettino la loro parte “dell’accordo”.

Un altro importante motivo per cui si sconsiglia di assecondare le richieste delle ransomware note è quello di evitare che il pagamento del riscatto sia una conferma per gli hacker che la loro è un’attività redditizia, e quindi da riproporre a più potenziali vittime o anche sempre alla stessa, una vera e propria doppia estorsione.

ransomware note sample

Prevenire l’attacco ransomware e l’invio della ransomware notes

Gli attacchi ransomware possono essere indirizzati ad ogni tipo di utente, colpire qualsiasi sistema operativo e possono persino raggirare alcuni servizi di sicurezza informatica. Nel nostro quotidiano possiamo lavorare sulle abitudini digitali affinché si limiti il rischio di incappare in questo genere di rischi.

Non possono mancare le raccomandazioni di base tra le quali dotare i propri dispositivi di sistemi anti ransomware sempre aggiornati e performanti in base alle esigenze specifiche e aggiornare costantemente il sistema operativo che porre esso stesso rimedio ad eventuali crepe nel sistema di sicurezza.

Eseguire sempre un backup periodico dei file importanti è fondamentale per evitare di perderli nel caso in cui un ransomware riesca ad infiltrarsi.
Se si esegue regolarmente il backup, infatti, nell’ipotesi che una minaccia ransomware ci colpisca sarà sufficiente resettare i sistemi e panificare il ripristino di tutti i dati.

Sfortunatamente, senza la protezione di adeguati servizi di protezione anche gli utenti più esperti possono essere infettati da ransomware.

La sicurezza non può essere demandata solo all’attenzione dell’utente alla tastiera del computer, un momento di distrazione può capitare a tutti ed essere fatale.

Per questo motivo è importante affidare la sicurezza informatica della propria azienda a partner specializzati che sappiano adottare le misure di sicurezza idonee.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.