Cos’è il ransomware e come puoi difenderti da un attacco?

Al giorno d’oggi, i criminali non prendono in ostaggio solo le persone, ma anche i dati e i dispositivi per estorcere un riscatto, e lo fanno servendosi del ransomware. Continua a leggere per scoprire esattamente come funziona il ransomware, come rilevarlo e rimuoverlo e cosa puoi fare se ne sei vittima. Ottieni anche suggerimenti sulle precauzioni che puoi prendere e su come rafforzare le tue difese contro il ransomware, ad esempio con una soluzione di sicurezza informatica come Avira Free Security. 

Come funziona il ransomware?  

Il ransomware, indicato anche con il termine “trojan ricattatore”, è un tipo di malware o, più precisamente, una forma specifica di trojan, che impedisce l’accesso ai file o addirittura all’intero computer finché la vittima non paga un riscatto. Il ransomware crittografa file specifici o persino tutti i file e può bloccare lo schermo impedendo all’utente di accedere al sistema. Alle vittime del ransomware viene chiesto di pagare un riscatto, spesso in criptovalute, per ripristinare l’accesso al computer o ai file personali.  

Se la vittima non paga, i criminali informatici in genere minacciano di eliminare definitivamente i file e/o di pubblicarli online in una data a loro scelta. Purtroppo, però, il pagamento del riscatto non garantisce che le vittime ricevano la chiave per sbloccare o decrittografare i propri file. Questo perché l’onestà non è necessariamente al centro dei pensieri di un ladro…   

Il ransomware è una delle più grandi minacce informatiche di sempre, che causa danni per miliardi di dollari ogni anno. Il fenomeno è in costante evoluzione: nuovi tipi, famiglie, varianti e ceppi emergono continuamente con firme e funzioni specifiche. Gli attacchi stanno diventando sempre più sofisticati e complessi e ora è possibile cadere vittima anche di tentativi di ricatto multipli. Ma c’è di peggio: i criminali informatici offrono sempre più spesso opzioni di ransomware-as-a-service (RaaS) sul dark web. Ciò significa che persino i criminali senza alcuna conoscenza tecnica possono sferrare attacchi ransomware.  

Il primo caso documentato di ransomware è stato il trojan AIDS del 1989. In occasione della conferenza internazionale sull’AIDS dell’OMS, il biologo evoluzionista Joseph L. Popp inviò per posta ai partecipanti 20.000 dischetti su cui era riportata l’etichetta “Informazioni sull’AIDS – Dischetti introduttivi”. I computer dei destinatari furono così infettati da un trojan che crittografava i file. Per decrittografarli e ottenere nuovamente l’accesso, le vittime furono costrette a inviare 189 dollari a una casella postale di Panama. Il dottor Popp fu arrestato, ma dichiarato incapace di intendere e di volere, dopo aver iniziato ad andare in giro con una scatola di cartone in testa.  

Oggi, il ransomware viene distribuito prevalentemente online e non tramite floppy disk. Può tuttavia nascondersi anche su chiavette USB e raggiungere comunque le potenziali vittime tramite posta. 

Settori fortemente colpiti ed esempi di ransomware  

In linea di principio, il ransomware può essere utilizzato contro qualsiasi privato, organizzazione o azienda. Non sono solo le grandi aziende a essere prese di mira, ma anche le piccole e medie imprese, poiché spesso sono relativamente meno protette. Tra gli obiettivi più comuni sono inclusi enti pubblici a livello e locale, istituti in ambito educativo, finanziario e sanitario, fornitori di IT e tecnologia, produttori e aziende industriali, nonché fornitori di servizi e prodotti al dettaglio. 

I dati riservati e sensibili sono particolarmente redditizi per gli aggressori di ransomware perché le vittime tentano disperatamente di recuperarli. Questo fa sì che le compagnie di assicurazione sanitaria, gli ospedali e i ministeri della salute siano, tra gli altri, bersagli popolari. Nell’attacco al servizio sanitario nazionale irlandese del 2021, la banda criminale Wizard Spider ha bloccato tutti i servizi e, secondo quanto riferito, ha chiesto 20 milioni di dollari per ripristinarli. L’attacco ha fatto crollare praticamente tutte le reti e in alcune aree è stato cancellato fino all’80% degli appuntamenti per visite mediche.    

Sempre nel 2021, il gruppo di ransomware REvil ha compromesso la rete del produttore taiwanese di PC Acer, chiedendo uno dei riscatti più alti di tutti i tempi: 50 milioni di dollari. Ma nessuno sa se Acer abbia pagato.  

Nel 2022, la Costa Rica è stata il primo Paese in assoluto a essere costretto a dichiarare un’emergenza nazionale in risposta a una massiccio attacco ransomware combinato contro 30 istituzioni statali. Il gruppo di ransomware Conti ha chiesto 10 milioni di dollari (saliti in seguito a 20 milioni). L’incidente ha avuto un enorme impatto sul commercio estero, sugli stipendi, sui sistemi fiscali e doganali e sulla spesa pubblica. Il governo non ha pagato, quindi la maggior parte dei dati rubati è finita nel dark web. 

Quali tipi di ransomware esistono?  

I vari tipi di ransomware si comportano in modo leggermente diverso l’uno dall’altro, ma in linea di massima si suddividono in due categorie:  

1. Locker ransomware: ransomware con blocco dello schermo, senza crittografia
2. Crypto ransomware: ransomware di crittografia

Negli ultimi tempi vengono sferrati anche attacchi ransomware ibridi, che combinano entrambi i tipi o aggiungono altri tipi di malware e metodi di violazione. Questi attacchi possono includere funzioni backdoor per controllare da remoto il dispositivo infetto o leakware per esfiltrare dati. 

Se in un attacco ransomware l’accesso al sistema o ai dati può essere ripristinato (almeno in teoria) dietro pagamento di un riscatto, questo non avviene con i whipper, noti anche come malware distruttivo. I whipper hanno come unico obiettivo la distruzione dei dati e all’inizio non è sempre possibile distinguerli dal ransomware. È quanto avvenuto con NotPetya, simile alla variante di ransomware Petya (da cui il nome). Il whipper chiedeva un riscatto, ma mostrava un indirizzo Bitcoin generato casualmente ed era quindi impossibile effettuare il pagamento.  

Locker ransomware 

Il locker ransomware è chiamato anche desktop blocker (o semplicemente blocker). Come suggerito dal nome, questo ransomware blocca il sistema infetto limitando o disabilitando l’accesso al sistema operativo o ad alcune delle sue funzioni. 

A tal fine, il locker ransomware modifica le impostazioni del sistema operativo o avvia un’applicazione speciale che posiziona una finestra con una richiesta di riscatto sull’intero desktop. La finestra in sovrapposizione è spesso progettata in modo da non poter essere chiusa o aggirata facilmente e lascia così l’utente senza la possibilità di accedere a programmi o controlli come la barra delle applicazioni o il menu Start.  

Ransomware per MBR  

Anche con questa variante piuttosto rara, nota anche come bootlocker ransomware, viene bloccato l’accesso al sistema, ma c’è una differenza: in questo caso, il ransomware sovrascrive, manipola o crittografa il record di avvio principale (MBR), ossia la parte del disco rigido che consente l’avvio del sistema operativo. Ciò significa che la richiesta di riscatto viene visualizzata durante il processo di avvio del computer, prima che venga caricato il sistema operativo.  

La variante di ransomware RedBoot non solo faceva questo, ma crittografava anche tutti i file. Il ransomware per MBR può inoltre essere utilizzato insieme ad altre tecniche di ransomware, generando attacchi a più livelli che risultano più difficili da risolvere. 

Crypto ransomware 

Questo ransomware di crittografia, noto anche come trojan di crittografia o CryptoLocker, è in genere il più comune dei due principali tipi di ransomware. In questo caso, vengono utilizzati algoritmi di crittografia avanzati per bloccare file o intere strutture di cartelle e unità. Le vittime solitamente trovano un file di testo con istruzioni per il pagamento nella cartella dei file a cui non hanno più accesso. 

Mentre i ceppi di ransomware più vecchi crittografavano solo determinati file, ad esempio i file di sistema o quelli personali, i tipi di ransomware più avanzati possono non solo manipolare il record di avvio principale ma anche crittografare la tabella dei file master (MFT, Master File Table), ovvero la tabella del file system del disco rigido. In questo modo, il ransomware riesce a bloccare l’accesso a tutti i file e al sistema operativo, proprio come ha fatto Petya. 

Tentativi di ricatto multipli tramite leakware e minacce simili 

In caso di estorsione singola, i file vengono “soltanto” crittografati, mentre con doppia estorsione vengono anche copiati e rubati. A questo punto, emerge anche la minaccia di pubblicare i dati rubati, che possono includere dati sensibili di aziende o file intimi di privati. Questo tipo di ransomware è noto anche come leakware o doxware. Se nella forma precedente poteva solo rubare dati e non crittografarli, oggi spesso il malware può fare entrambe le cose.  

La tripla estorsione compie un ulteriore passo avanti e utilizza una terza minaccia. È ad esempio possibile che venga imposto un ultimatum con la minaccia di utilizzare i dati rubati al fine di ricattare i clienti, i partner commerciali o i pazienti in questione. In alternativa, i ricattatori possono contattare direttamente le vittime e minacciare di pubblicare i dati. A seconda del contenuto dei dati rubati, i ricattatori possono ampliare l’ambito e l’entità delle loro minacce (estorsione multipla).  

Come quarto vettore (quadrupla estorsione), può essere lanciato un attacco DDoS per impedire l’accessibilità dei siti Web, rafforzando ulteriormente la pressione.  

Ransomware per dispositivi mobili 

Anche i dispositivi Android, quali smartphone e tablet, possono essere infettati da ransomware, ad esempio tramite download drive-by, aggiornamenti falsi, attacchi di phishing, plug-in di giochi dannosi o app infette. In genere, si tratta di ransomware che blocca lo schermo, poiché è relativamente semplice ripristinare i dati di uno smartphone, ad esempio tramite un backup nel cloud, se vengono crittografati. Tuttavia, la variante di ransomware DoubleLocker è doppiamente vile: cambia il PIN del dispositivo e crittografa anche tutti i dati sullo smartphone. 

Gli utenti di iPhone sono invece fortunati perché al momento non esiste ransomware per iOS. Tuttavia, i criminali informatici possono fingere e utilizzare scareware per simulare un attacco ransomware senza bloccare effettivamente l’accesso ai dati o ai file del dispositivo. 

Come funzionano gli attacchi ransomware? 

Un attacco ransomware può essere suddiviso in diverse fasi, che possono variare a seconda della variante di ransomware e del metodo di attacco. Il ransomware può anche attivarsi con un certo ritardo e rimanere in modalità dormiente per settimane o mesi una volta infettato il dispositivo, ad esempio per colpire in un momento specifico o per essere utilizzato in un attacco coordinato. 

Gli attacchi ransomware possono prevedere un numero maggiore o minore di passaggi, o possono avvenire in sequenza diversa, ma in generale funzionano nel modo seguente:  

Infezione/infiltrazione: la prima fase, detta anche fase di “accesso iniziale”, consiste nella penetrazione nel sistema preso di mira. Per l’accesso possono essere adottati diversi metodi, come spiegheremo più in dettaglio nella prossima sezione. 

1. Installazione ed esecuzione: dopo l’infiltrazione, il ransomware esegue le sue azioni dannose sul sistema infetto. Questo passaggio spesso comporta il download e l’esecuzione di codice dannoso progettato per crittografare file o compromettere il sistema. 
2. Diffusione: il ransomware tenta di diffondersi e infettare altri sistemi sulla rete, operazione nota anche come movimento laterale o diffusione laterale. La diffusione può estendersi a dispositivi, come chiavette USB e dischi rigidi esterni, nonché a unità di rete e a servizi di archiviazione cloud, che sincronizzano i dati archiviati online con le cartelle locali. 
3. Crittografia ed esfiltrazione: a questo punto, il ransomware va alla ricerca di dati preziosi o di determinati tipi di file, come documenti, immagini o database, e li crittografa con un potente algoritmo di crittografia. In questo modo, i file risultano illeggibili e inutilizzabili per l’utente. Prima della crittografia, i dati possono anche essere esfiltrati, ossia copiati ed esportati, per ricattare doppiamente la vittima, come descritto sopra.  
4. Richiesta di riscatto: una volta crittografati i file o bloccato il dispositivo, alla vittima viene presentata una richiesta di riscatto. Ciò può avvenire tramite un messaggio sullo schermo del sistema infetto o tramite un file di testo che fornisce alle vittime istruzioni su come pagare il riscatto. Spesso viene fissata una scadenza entro la quale è necessario pagare il riscatto per riavere indietro i file. 
5. Pagamento e decrittografia (per i più fortunati): se la vittima è disposta a soddisfare le richieste, talvolta (ma non sempre!) riceve un software o una chiave sotto forma di codice dopo aver effettuato il pagamento. I file possono quindi essere decrittografati o il sistema sbloccato tramite la chiave o il software ricevuto.  

In che modo un computer o un sistema viene infettato da ransomware? 

Sebbene non sia un virus, il ransomware può penetrare nel tuo computer allo stesso modo dei virus e di altri tipi di malware. Anche le misure di protezione che puoi adottare sono più o meno le stesse. Scopri in dettaglio come proteggerti dagli attacchi ransomware più avanti in questo articolo. Ma prima, esploriamo alcuni metodi di infezione comuni. 

Metodi di infezione comuni: 

• Ingegneria sociale: questo tipo di manipolazione sociale è opera di criminali informatici che tentano di indurre le loro vittime a scaricare malware, ad esempio ransomware, o a rivelare dati sensibili attraverso mezzi di raggiro mirati. Per un attacco di ingegneria sociale vengono utilizzati vari metodi e strategie, come il phishing o lo scareware. Entrambe le forme di attacco si avvalgono spesso di scenari terribili per indurre l’utente a compiere l’azione desiderata.  
• Scareware: mentre gli attacchi di phishing vengono solitamente eseguiti tramite e-mail e siti Web, lo scareware di solito appare sotto forma di pop-up, con un aspetto simile ai messaggi del sistema operativo o della soluzione di protezione antivirus. In questo modo, ti viene segnalato un problema che presumibilmente può essere risolto compiendo una certa azione, ma che sarà la reale causa di una problema, potenzialmente provocando un’infezione da ransomware. Le e-mail di scareware sono estremamente subdole e spaventano gli utenti con minacce vuote per estorcere denaro o iniettare ransomware tramite un link infetto. 
• Allegati dannosi nelle e-mail di spam e phishing:  gli allegati dannosi nelle e-mail che sembrano provenire da mittenti attendibili possono avere vari formati, come file ZIP, file EXE, PDF, documenti di Word, fogli di calcolo di Excel e così via. La variante di ransomware CryptoLocker, ad esempio, ha adottato questo approccio e allo stesso tempo ha seminato caos in una rete di condivisione file P2P, in modo analogo alla variante di ransomware TorrentLocker. Noi ti abbiamo avvertito. 
• Servizi di condivisione file: per diffondere ransomware, gli aggressori possono utilizzare anche servizi di condivisione file come Dropbox o Google Drive, ad esempio condividendo file infetti tramite link o caricando file di ransomware in cartelle condivise. Il gruppo di ransomware Petya, ad esempio, ha utilizzato un link per il download di Dropbox nell’e-mail di una domanda di lavoro per ottenere l’accesso a sistemi informatici.  
• URL infetti/malware collegato: nelle e-mail, nei post sui social media e persino nei messaggi di testo si possono trovare link dannosi che conducono a siti Web infettati da ransomware o al download di ransomware.  
• Download drive-by: i criminali informatici possono configurare i propri siti Web con codice dannoso, oltre che compromettere e manipolare siti Web attendibili. Non appena visiti un sito Web di questo tipo, il ransomware viene scaricato automaticamente al tuo passaggio. La variante di ransomware Bad Rabbit, ad esempio, è stata introdotta tramite un falso file di installazione di Adobe Flash Player, un cosiddetto dropper. Spesso questo tipo di malware viene utilizzato anche per il malvertising, un tipo di pubblicità online che può contenere codice dannoso e porta a un download drive-by o reindirizza l’utente a un sito Web dannoso.  
• Download dannosi: l’utente agisce e scarica inconsapevolmente software falso contenente ransomware da un fornitore apparentemente affidabile. Anche il software senza licenza o le copie pirata possono subire infezioni, come dimostrato dall’esempio della famiglia di ransomware STOP/DJVU.  
• Chiavette USB: talvolta i criminali utilizzano le chiavette USB per diffondere ransomware inviandole sotto forma di regali promozionali o “perdendole” in luoghi dove qualcuno sicuramente li troverà. 
• Vulnerabilità della sicurezza in programmi e sistemi operativi (exploit): spesso, le vulnerabilità non rilevate o non risolte in programmi, sistemi operativi e piattaforme cloud vengono sfruttate per introdurre ransomware. La variante di ransomware WannaCry, ad esempio, ha utilizzato una vulnerabilità della sicurezza di Windows come gateway. 

Come puoi proteggerti dal ransomware? 

Per fortuna, puoi proteggerti dal ransomware adottando alcune precauzioni e utilizzando una soluzione di protezione antivirus come scudo per difenderti meglio dai punti di ingresso più popolari. La soluzione ti aiuterà anche a rilevare il ransomware e a rimuoverlo. 

Segui questi suggerimenti per rimanere sempre un passo avanti rispetto ai ricattatori informatici:  

1. Esegui regolarmente il backup dei tuoi dati
   Per proteggersi dal ransomware, è essenziale eseguire regolarmente il backup del sistema. Questo perché, una volta eseguito il backup dei tuoi dati, gli aggressori non avranno più modo di ricattarti: la cosa è molto semplice. La soluzione migliore è utilizzare un disco rigido esterno e lo strumento di backup integrato di Windows oppure Time Machine per Mac e/o un servizio di archiviazione cloud come Windows OneDrive o Apple iCloud. Assicurati che il tuo dispositivo di archiviazione sia disconnesso dalla rete per impostazione predefinita poiché un’infezione da ransomware può diffondersi in tutta la rete.  

2. Aggiorna regolarmente il tuo sistema operativo e i programmi
   Poiché le infezioni da ransomware possono verificarsi anche a causa di vulnerabilità della sicurezza in sistemi operativi e programmi, è necessario aggiornare questi ultimi regolarmente. Gli aggiornamenti, infatti, spesso includono patch che risolvono queste vulnerabilità. Un programma di aggiornamento del software può rivelarsi davvero utile, eliminando il fastidio di cercare nuovi aggiornamenti da una fonte affidabile. In questo modo puoi assicurarti che solo gli aggiornamenti “puliti” raggiungano il tuo PC.  

3. Utilizza una soluzione di protezione antivirus
   Oltre a un firewall, una potente soluzione di protezione antivirus fornisce una migliore protezione contro gli attacchi ransomware a più livelli, soprattutto se la tua soluzione di sicurezza informatica ha le seguenti funzionalità, proprio come quelle offerte da Avira Free Security o Avira Prime. 

• • Protezione ransomware: la soluzione completa gratuita Avira Free Security offre protezione in tempo reale basata su cloud per rilevare le minacce online conosciute in base a un’analisi della firma dei virus. I file sospetti vengono confrontati con l’ampio database di ransomware di Avira in Avira Protection Cloud e bloccati in caso di corrispondenza. 
  • Protezione ransomware avanzata: Avira Prime esegue anche un’analisi euristica e una basata sul comportamento. La prima esamina determinate caratteristiche, proprietà o comportamenti di programmi e file per rilevare e prevenire attività potenzialmente dannose. La seconda si spinge oltre, esaminando il comportamento effettivo di programmi o file durante la loro esecuzione. Ciò consente di rilevare e bloccare azioni insolite, tipicamente avviate dal ransomware, come la crittografia dei file. Grazie a questa analisi, è possibile scoprire e bloccare anche nuove varianti e mutazioni di ransomware precedentemente sconosciute. 
  • Protezione web: l’estensione gratuita del browser Avira Browser Safety e la funzionalità Protezione web integrata in Avira Prime per Windows portano a un livello completamente nuovo la tua protezione contro download nocivi, siti Web infetti e pubblicità online dannose. In Avira Prime per Windows è inoltre inclusa la funzionalità Protezione e-mail, che ti consente di controllare le e-mail per identificare eventuali link pericolosi e allegati infettati da ransomware o da altro malware. Puoi anche utilizzare questa funzionalità per eseguire la scansione di chiavette USB, dischi rigidi esterni e file archiviati nel cloud. 

4. Proteggi dal ransomware anche i tuoi dispositivi mobili
   Con Avira Antivirus Security, puoi anche migliorare la protezione dei tuoi dispositivi Android da tipi di malware come il ransomware e usufruire di molte altre funzionalità gratuite. Oltre alla protezione antivirus, la soluzione include una VPN per crittografare tutti i dati inviati e ricevuti online tramite hotspot Wi-Fi pubblici non protetti e navigare in modo più sicuro.
   Anche in Avira Mobile Security for iOS sono incluse una VPN e una serie di funzionalità di protezione. La versione Pro di entrambe le app offre inoltre Protezione web, con cui puoi rafforzare le tue difese da siti Web dannosi e attacchi di phishing. 

5. Stai sempre all’erta

• • Non aprire mai gli allegati e-mail se non conosci l’affidabilità della fonte. Tra le precauzioni che puoi adottare, controlla se l’indirizzo e-mail del mittente è corretto passandoci sopra con il puntatore del mouse. Leggi qui per scoprire gli altri segnali rivelatori che ti aiuteranno a individuare le e-mail di phishing. 
  • Fai attenzione ai link contenuti nei messaggi, nelle e-mail o nei social media e, per sicurezza, controlla i link. Meglio un controllo in più che in meno.   
  • Non collegare mai chiavette USB al tuo dispositivo se non ne conosci la provenienza.   
  • Scarica software o file multimediali solo da fonti verificate.   

Come rispondere a un attacco ransomware? 

Se hai subito un attacco ransomware e non hai una copia di backup del tuo computer, la prima cosa da fare è mantenere la calma e non agire in modo avventato. 

Segui questi passaggi: 

• Non pagare: se sei vittima di un attacco ransomware, non cedere mai alle richieste dei ricattatori. Da un lato, non vi è alcuna garanzia che il sistema o i tuoi dati vengano effettivamente decrittografati dopo il pagamento e, dall’altro, potrebbero seguire ulteriori richieste.  
• Sporgi denuncia: scatta una foto del messaggio dei ricattatori e contatta la polizia postale. 
• Cerca strumenti di decrittografia su Internet: con speciali strumenti di decrittografia e un po’ di fortuna, potresti riuscire a decrittografare e recuperare i tuoi dati. Controlla il sito Web No More Ransom Project o altri siti simili dove troverai chiavi e strumenti di decrittografia per molte diverse varianti di ransomware con le relative istruzioni pratiche. Su questo sito puoi anche caricare la richiesta di riscatto o i tuoi file per rilevare la variante di ransomware. Questo può aiutarti a identificare il ransomware e a verificare se è disponibile una soluzione di decrittografia.  

Esistono anche altri siti Web affidabili che forniscono strumenti di decrittografia e/o informazioni sui nomi dei file della richiesta di riscatto e sulle estensioni dei file crittografati per determinare la variante di ransomware.  

Come rilevare e rimuovere il ransomware? 

Sfortunatamente, di solito il ransomware non può essere rilevato finché non ha attaccato ed è quindi difficile rimuoverlo. Una volta sferrato l’attacco, purtroppo l’unica possibilità è quella di seguire i passaggi sopra illustrati.  

Tuttavia, un efficace strumento di protezione antivirus ti aiuterà in modo proattivo a rilevare tempestivamente non solo il ransomware, ma anche altri tipi di malware, impedendo a questi criminali di portare a termine le loro azioni ignobili. La funzionalità Protezione in tempo reale di Avira, ad esempio, monitora continuamente il tuo sistema in background. Se rileva un file o un’attività sospetta, blocca automaticamente l’accesso o l’esecuzione. È consigliabile anche eseguire regolarmente la scansione del sistema per rilevare e rimuovere il ransomware prima che possa causare danni.  

La soluzione di protezione completa Avira Free Security include anche un aggiornamento software per chiudere eventuali falle nella sicurezza e l’estensione Avira Browser Safety per rafforzare la protezione delle tue attività online. In questo modo, puoi proteggerti meglio dagli attacchi ransomware a più livelli. 

Questo articolo è disponibile anche in: IngleseTedescoFrancese