Tutti gli step di un attacco Ransomware

I ransomware sono tra i malware attualmente più diffusi e pericolosi.

Si tratta di software malevoli che rendono inaccessibili i file presenti sui dispositivi al fine di ottenere il pagamento di un riscatto (termine che in inglese viene tradotto in ransom) per essere restituiti al legittimo proprietario.

I ransomware attack rappresentano un fenomeno in crescita allarmante. Pensate che, secondo il rapporto di Clusit dell’ottobre 2021: gli attacchi ransomware sono aumentati del 350% tra il primo semestre 2020 e il primo semestre 2021.

Nessuno può sentirsi al sicuro: il target delle vittime del ransomware è estremamente vario: privati, aziende, enti pubblici.
Tutti sono possibili obiettivi e i danni di un ransomware attack sono incalcolabili.

In questo articolo approfondiremo insieme: qual è il modus operandi più comune dei ransomware e quali sono gli step di un ransomware attack.

Hacker alle prime armi o pirati informatici inesperti?
Niente di tutto questo.

Gli autori di attacchi ransomware sono per lo più organizzazioni criminali ben strutturate che mirano a finanziare con i riscatti le loro attività illecite.
Appare evidente già a questo punto, che difendersi dai ransomware attraverso metodi “home-made” non è efficace, al contrario, può essere molto pericoloso.

Ciononostante, esistono alcune precauzioni che possono aiutarci a ridurre le probabilità di incappare in un’infezione ransomware.
eccone alcune.

Primo consiglio è certamente quello di tenersi sempre informati sui metodi di infezione ransomware più in voga e sui tentativi di phishing in circolazione.
Per gli utenti è possibile restare sempre aggiornati sulle novità ransomware attraverso corsi di formazione, aggiornamenti sui temi della cybersecurity aperti a tutti i dipendenti dell’azienda. Ma non solo, persino i blog e i forum sono un’ottima fonte da cui attingere preziose informazioni.

Il secondo consiglio per la prevenzione dagli attacchi ransomware è quello di porre attenzione agli allegati email che arrivano sui vostri indirizzi di posta.

Il terzo consiglio utile a prevenire gli attacchi ransom malware è quello di modificare le impostazioni dei computer per disabilitare il download automatico di file da Internet.
Infine, l’aggiornamento dei sistemi operativi, dei programmi e dei sistemi di sicurezza è fondamentale.

Ogni nuova versione, infatti, oltre a funzionalità più avanzate, include la correzione del codice che contiene bug.
Infatti, ogni nuovo aggiornamento viene diffuso appositamente per correggere tutti i punti di debolezza (detti bug) della versione precedente.
O perlomeno tutti quelli che è stato possibile individuare. Ogni nuovo upgrade, insomma, cerca di eliminare tutti gli appigli che potrebbero essere sfruttati dagli hacker per forzare un dispositivo.

Per infettare un dispositivo tramite ransomware, l’hacker ha bisogno che su di esso venga scaricato e installato un file che contenga il malware.
Ovviamente, nessun utente scaricherebbe volutamente un file di questo tipo.

Per questo motivo, i cyber criminali hanno sviluppato strategie specifiche per camuffare i file d’installazione dei malware (o payload) permettendo coì che l’utente ignaro non se ne accorga.

Ecco alcune strategie:

Alla vittima arriva un’e-mail o un messaggio via chat apparentemente da parte di un’azienda o da una persona che conosciamo (un collega, una ditta di consegne a domicilio, la banca, ecc.).
Viene comunicato un disservizio, un errore, un tentativo di truffa e si viene invitati, con una scusa, a cliccare un link o a fare il download di un allegato.
In questo modo viene scaricato il file infetto.

Può accadere che alcuni siti web siano stati violati o che siano state create appositamente copie di siti web molto simili per adescare possibili vittime.
Per la vittima è sufficiente navigare su uno di queste pagine web, per innescare il download automatico del ransomware.

In alcuni casi, quanto l’attaccante decide di sferrare un attacco ransomware mirato viene lasciata incustodita una chiavetta USB infetta nelle vicinanze dell’azienda. Questo stratagemma serve affinché qualche malcapitato, preso dalla curiosità o dalla voglia di restituirla al proprietario, la colleghi al suo computer aziendale. Basta quest’azione per avviare il payload del ransomware.

Il file infetto da ransom malware viene scaricato inconsapevolmente dalla vittima all’interno di un pacchetto di file che si volevano scaricare consapevolmente. Ad esempio, con il pacchetto di un programma gratuito per crackare un software a pagamento.

Quest’azione può costituire l’origine dell’attacco considerato che i file per l’installazione dei software hanno come estensione .exe, ossia file eseguibili, esattamente come il virus. È impossibile distinguerli.

Gli hacker esperti difficilmente si affidano al caso per la scelta delle vittime.

Al contrario, spesso puntano un’azienda e sfruttano le debolezze del suo sistema per entrare nei database, sequestrare i dati o rendere incontrollati i processi di produzione o di gestione. In questo caso c’è un tempo più lungo tra l’inizio dell’attacco e il danno effettivo.

Il peggio può ancora essere evitato se ci si accorge subito della minaccia.

Un attacco ransomware che sfrutta la presenza di vulnerabilità dei sistemi per insinuarsi all’interno della rete necessita di più tempo per agire rispetto coloro che ricorrono alla tecnica del phishing.

Nel caso dello sfruttamento delle vulnerabilità, l’hacker dovrà prima studiare l’organizzazione, forzare i sistemi di sicurezza, individuare i dati rilevanti e i sistemi di backup, e solo alla fine installare il virus.

Questo tempo è prezioso per l’azienda che può identificare la minaccia tramite, ad esempio:

• il monitoraggio degli accessi alla rete aziendale
• l’analisi dei flussi di dati
• la verifica degli accessi anomali
• la presenza di dispositivi collegati o di altre anomalie.

Una volta arrivato a bordo del dispositivo, il malware si attiva ed è in grado di prendere il controllo del sistema.

Spesso, i ransomware sono in grado di diffondersi attraverso la rete a cui è collegato il dispositivo e raggiungere altri dispositivi infettandoli a loro volta.
Per questo, in caso vi accorgiate che un computer si comporta in modo strano. Appena compare la finestra di alert del malware è consigliabile scollegarlo immediatamente dalla rete Internet e riavviarlo per quantificare il danno subito dopo.

Le conseguenze di un attacco ransomware possono essere:

1. l’indisponibilità di alcuni file che sono stati criptati

2. la compromissione di alcuni servizi (si pensi all’attacco alla Regione Lazio che risale a luglio 2021)

3. la pubblicazione di dati riservati qualora oltre alla criptazione ci fosse stata anche una esfiltrazione (come nel caso dell’attacco alla compagnia HO.mobile di gennaio 2021). In questo caso parliamo di Ransomware a doppia estorsione.

L’autore dell’attacco ransomware ha tutto l’interesse che voi sappiate che si è impadronito dei vostri dispositivi e/o dati.

Tipicamente accendete il vostro computer e al posto dello sfondo appare una schermata nella quale trovate un messaggio di riscatto. Qui vi viene chiarito che siete vittima di un attacco informatico di tipo ransomware.
L’autore dell’attacco vi informa che ha criptato tutti i vostri dati e si dice è disponibile a comunicarvi la chiave di cifratura o una password in grado di sbloccare il dispositivo in cambio di una somma di denaro, spesso in bitcoin, da versare entro una certa data.

Bisogna innanzitutto considerare quale sia il valore dei dati che sono stati rubati e la presenza di un backup o meno.

In quanto azienda vittima, dovete considerare se sia conveniente per voi pagare il team di hacker considerato che, la maggior parte delle volte, i dati non vengono restituiti.

Inoltre, considerate se eticamente sia corretto pagare una cifra che andrà a finanziare traffici illeciti. È da considerare anche il danno a cui si va in contro nel caso di mancato pagamento.

I furti di dati sensibili ad aziende spesso nascondono l’azione di ransomware a doppia estorsione. Gli hacker minacciano di mettere in vendita i dati rubati o di usarli per campagne di phishing, spacciandosi per l’azienda hackerata. In caso di mancato pagamento possono danneggiare o ricattare i clienti in prima persona.

La scelta è difficile. Non esiste una risposta universale che si adatti a tutte le situazioni.

Esistono diverse opzioni per reagire all’attacco di un ransomware: la migliore dipende in gran parte dall’entità del danno e dai sistemi di prevenzione adottati.

• Se è disponibile un backup, è possibile ripristinare le funzionalità danneggiate a partire da quello. Solamente dopo aver aggiornato le password ed eventualmente provveduto a sistemare le vulnerabilità del sistema, si può ritornare alla normalità.
• Se i danni non sono importanti, si può decidere di non agire e perdere i dati rubati.
• Se l’accesso al dispositivo non è precluso, si può cercare di eliminare il virus come un virus qualsiasi.
• Si può cercare un decrypter on-line, non è comune ma è possibile trovarne. Attenzione che non si tratti di una ulteriore truffa!!!
• Se non ci sono alternative, si può pagare il riscatto e sperare che i file vengano restituiti.

I ransomware sono malware a cui le organizzazioni di criminali informatici ricorrono spesso perché permettono guadagno elevati, anche se a fronte di un impegno tecnico notevole.
Nel caso di attacchi a dispositivi privati spesso la richiesta di riscatto è limitata. Tuttavia, al crescere delle vittime colpite (anche se si tratta di private) il numero di persone coinvolte si trasforma in una cifra consistente.

Nel caso di aziende o enti privati e i ricatti in genere sono molto onerosi anche perché sono decisamente più consistenti i danni a cui vanno incontro i soggetti a seguito di un attacco informatico:

• spese legate al pagamento del riscatto,

• pagamento di personale specializzato nella rimozione dei virus

• comunicazione di emergenza

• perdite dovute a servizi non disponibili

• danno di credibilità

• perdita di clientela.

La soluzione migliore contro i ransomware è lavorare sulla prevenzione.
Siamo giunti quindi alla conclusione del nostro articolo sugli step di un attacco Ransomware.

Se siete vittima di un attacco ransomware, contattate il nostro SOC Security!