Storia del ransomware

2 Lug 2021 | Rischi Online

“Se rivuoi i tuoi dati devi pagare un riscatto”. Firmato: ransomware, il malware più pericoloso che ha colpito tantissimi utenti da quando esiste Internet.

Infatti, secondo la ricerca Sophos State of Ransomware 2021, il costo per il ripristino dell’attività di business a seguito di un attacco ransomware è passato dai 761.106 dollari a 1,85 milioni di dollari nel 2021. Questi programmi esistono da più di 30 anni e hanno avuto un’evoluzione spaventosa con l’avvento dei Bitcoin. Continua a leggere se vuoi sapere chi ha inventato il ransomware, o qual è stato il riscatto più grande di tutti i tempi.

Indice

Cos’è il ransomware

La storia del ransomware

Come riprendersi dopo un attacco ransomware

Il futuro del ransomware

Come proteggersi da un attacco ransomware

Cos’è il ransomware

Il ransomware è un tipo di malware di criptovirologia che minaccia di pubblicare i dati personali della vittima o di bloccarne l’accesso, a meno che non venga pagato un riscatto. L’attacco ransomware crittografa i file della vittima, rendendoli inaccessibili, e richiede il pagamento di un riscatto per decifrarli. In un attacco di estorsione criptovirale è impossibile recuperare i file senza la chiave di decrittazione. 

La moneta richiesta per il pagamento del riscatto è una valuta digitale, difficili da tracciare, come paysafecard o Bitcoin e altre criptovalute: rendendo difficile rintracciare e perseguire i responsabili.

Il ransomware è stato definito dal Dipartimento di Giustizia degli Stati Uniti come un nuovo modello di crimine informatico, in grado di causare impatti su scala globale. Le statistiche indicano che l’uso del ransomware è in costante aumento e, secondo Veeam, le aziende hanno dovuto pagare in media 11,7 dollari nel 2017 a causa di attacchi ransomware. I costi annuali indotti dal ransomware, compresi i riscatti e i danni causati dagli attacchi ransomware, molto probabilmente supereranno gli 11,5 miliardi di dollari.

Il ransomware può causare impatti tremendi

  • Perdita o distruzione di informazioni cruciali
  • Tempi di inattività del business
  • Perdita di produttività
  • Interruzione dell’attività nel periodo post-attacco
  • Danneggiamento di sistemi, dati e file in ostaggio
  • Perdita di reputazione dell’azienda vittima

Sarai sorpreso di sapere che, a parte il riscatto, il costo del tempo di inattività a causa dell’accesso limitato al sistema può portare conseguenze importanti: le perdite dovute al tempo di inattività possono costare decine di migliaia di dollari al giorno.

Dato che il ransomware continua a diventare sempre più diffuso, le aziende devono rivedere i loro obiettivi annuali di cybersecurity e concentrarsi sull’implementazione appropriata di piani di resilienza e recupero dal ransomware, nonché impegnare fondi adeguati alle risorse di sicurezza informatica nei loro budget IT.

La storia del ransomware

1989: la bizzarra storia dell’inventore del ransomware

Il creatore del primo criptor è stato il Dr. Joseph L. Popp, ricercatore biologico. Per criptor si intende un tipo di ransomware che cifra i file dell’utente in modo che non possano essere utilizzati.

Eddy Willems lavorava per una compagnia di assicurazioni in Belgio nel dicembre 1989 quando inserì il floppy disc nel suo computer.

Il floppy disk era uno dei 20.000 inviati per posta ai partecipanti alla conferenza dell’Organizzazione Mondiale della Sanità sull’AIDS a Stoccolma, e il capo di Willems gli aveva chiesto di controllare cosa ci fosse dentro. Willems si aspettava di vedere una ricerca medica quando il contenuto del disco fu caricato. Invece fu vittima del primo attacco di ransomware della storia.

Pochi giorni dopo aver inserito il disco, il computer di Willems si bloccò e apparve un messaggio che chiedeva di inviare 189 dollari in una busta a una casella postale di Panama. “Non ho pagato il riscatto o perso alcun dato perché ho capito come invertire la situazione”, disse alla CNN Business.

Fu uno dei fortunati: alcune persone persero addirittura file contenti il lavoro di una vita. “Ho iniziato a ricevere chiamate da istituzioni mediche e organizzazioni che mi chiedevano come avevo aggirato la situazione”, ha detto Willems, che ora è un esperto di cybersecurity presso G Data, società che ha sviluppato la prima soluzione antivirus commerciale al mondo nel 1987. “L’incidente ha creato un sacco di danni in quei giorni. La gente ha perso un molto lavoro. Non era una cosa marginale – era una grande cosa, anche allora”.

La notizia apparse su Virus Bulletin, una rivista di sicurezza per professionisti, un mese dopo: “Nonostante la concezione sia stata ingegnosa ed estremamente subdola, la programmazione effettiva era piuttosto disordinata”. Anche se si trattava di un malware piuttosto semplice, era la prima volta che molte persone sentivano parlare di estorsione digitale. Non è chiaro ancora oggi se alcune persone o organizzazioni pagarono il riscatto.

I dischetti sono stati inviati a indirizzi ottenuti da una mailing list in tutto il mondo. Le forze dell’ordine sono risalite a una casella postale di proprietà di un biologo evoluzionista di Harvard di nome Joseph Popp, che all’epoca stava conducendo ricerche sull’AIDS.

È stato arrestato e accusato di molteplici accuse di ricatto, ed è ampiamente accreditato di essere l’inventore del ransomware. “Ancora oggi, nessuno sa davvero perché l’ha fatto”, ha detto Willems, notando quanto costoso e lungo sarebbe stato spedire quel numero di dischetti a così tante persone. “Era molto influenzato da qualcosa. Forse era coinvolto qualcun altro: era un biologo, come aveva i soldi per pagare tutti quei dischi? Era arrabbiato per la ricerca? Nessuno lo sa”.

Dopo il suo arresto all’aeroporto Schiphol di Amsterdam, Popp fu rimandato negli Stati Uniti e imprigionato. Presumibilmente disse alle autorità che aveva pianificato di donare i soldi del riscatto alla ricerca sull’AIDS. I suoi avvocati hanno anche sostenuto che non era in grado di sostenere un processo.

Il caso divenne un grande punto di discussione, e l’eredità del suo crimine persiste fino ad oggi.

Popp ha approfittato di una tematica molto calda e sentita ai suoi tempi, ovvero il diffuso interesse per l’AIDS. Infatti, il suo malware è conosciuto come AIDS Trojan.

In pratica, il programma di installazione aveva lo scopo di far approdare il malware sul disco rigido. Dopo un certo numero di avvii del sistema, il Trojan AIDS si attivava, cifrando i nomi dei file (comprese le estensioni) sull’unità C: del computer infettato. I nomi si trasformavano in un’accozzaglia di caratteri casuali, rendendo impossibile lavorare normalmente con i file. Ad esempio, per aprire o eseguire un file, era necessario prima capire quale estensione avrebbe dovuto avere e cambiarla manualmente.

Allo stesso tempo, il malware mostrava un messaggio sullo schermo, secondo il quale la prova del software era finita e l’utente doveva pagare una quota di abbonamento: 189 dollari per un anno o 378 dollari per l’accesso a vita. Il denaro doveva essere trasferito su un conto a Panama.

Il malware utilizzava la cifratura simmetrica, ovvero un metodo di cifratura dei dati in cui una chiave è usata sia per cifrare che per decifrare le informazioni. Infatti, la chiave per recuperare i file era contenuta proprio nel codice. Tutto sommato, il problema era relativamente facile da risolvere: bisognava recuperare la chiave, eliminare il malware e usare la chiave per recuperare i nomi dei file. Nel gennaio 1990, il consigliere editoriale del Virus Bulletin Jim Bates ha creato i programmi AIDSOUT e CLEARAID proprio con questo obiettivo.

1995–2004: Young, Yung e il ransomware del futuro

Dato che il Trojan AIDS non è riuscito ad arricchire il suo creatore, l’idea di cifrare i dati a scopo di ricatto non ha generato molto entusiasmo tra i truffatori dell’epoca. L’interesse è riemerso solo nel 1995, in particolare nella comunità scientifica.

I crittografi Adam L. Young e Moti Yung hanno cercato di capire come sarebbe stato il più potente virus informatico. Sono arrivati così al concetto di ransomware: un software in grado di usare la cifratura asimmetrica, ovvero un metodo di cifratura dei dati che comporta l’uso di due chiavi, una pubblica per cifrare le informazioni, e una privata per decifrarle. Conoscere la chiave pubblica non aiuta la decifrazione, che infatti richiede quella privata.

Il loro software, al posto di utilizzare una chiave aggiunta al codice del programma per cifrare i file, ne utilizzava due: una pubblica e una privata, che manteneva segreta la chiave di decifrazione. Inoltre, Young e Yung ipotizzavano che la vittima avrebbe dovuto pagare con denaro elettronico, che allora non esisteva ancora.

I profeti della cybersecurity hanno presentato le loro previsioni alla conferenza IEEE Security and Privacy nel 1996, ma il loro progetto non è stato ben accolto e compreso. Nel 2004 Young e Yung hanno pubblicato il libro Malicious Cryptography: Exposing Cryptovirology, in cui hanno sistematizzato i risultati della loro ricerca.

2007–2010: gli anni dei blocker

Nel 2007 il mondo ha visto l’ascesa di un altro tipo di ransomware: i blocker. Questo tipo di malware primitivo interferiva con il normale funzionamento del sistema operativo, aggiungendosi alla routine di avvio di Windows. Inoltre, per impedirne la cancellazione, molti bloccavano il registro di sistema e il gestore delle attività.

Il blocker impediva alle vittime di utilizzare il proprio computer in modi diversi: una finestra impossibile da chiudere, oppure un cambiamento dello sfondo del desktop.

La neutralizzazione dei ransomware blocker di solito non richiedeva un programma antivirus, quanto piuttosto un bel po’ di know-how da parte dell’utente. Per rimuovere il malware manualmente era necessario, per esempio, avviare il sistema da un Live o un CD di ripristino, riavviare in modalità provvisoria o accedere a Windows con un profilo diverso.

Tuttavia, la facilità di scrivere tali Trojan compensava il rischio relativamente basso: in pratica, chiunque poteva distribuirli, esistevano persino dei generatori automatici.

A volte, il malware aggiungeva un banner pornografico sul desktop, sostenendo che la vittima avesse usufruito di contenuti proibiti (una tattica usata ancora oggi). Poiché la richiesta di riscatto era gestibile, molti preferivano non cercare aiuto ma semplicemente pagare.

2013: il ransomware ibrido CryptoLocker

La fine del 2013 ha visto la comparsa del ransomware ibrido, ovvero un programma che combina un blocker con un cryptomalware (tipo di ransomware che cifra i file dell’utente in modo che non possano essere utilizzati). Questa novità ha aumentato le possibilità dei criminali informatici di ricevere il pagamento, perché la rimozione del malware (e quindi la rimozione del blocco), non porta le vittime a riottenere l’accesso ai propri file. Forse il più noto di questi ibridi è CryptoLocker, malware distribuito grazie a e-mail di spam e per il pagamento del riscatto i criminali informatici accettavano i Bitcoin.

2015: i cryptor sostituiscono i blocker

Nel 2015 i cryptor hanno iniziato a surclassare i blocker, per diversi motivi. In primo luogo, perché i dati degli utenti sono significativamente più preziosi dei file di sistema e delle applicazioni, che invece possono sempre essere reinstallati. Con la cifratura, i criminali informatici potevano chiedere riscatti significativamente più alti, e avevano una maggiore possibilità di essere pagati.

In secondo luogo, dal 2015, le criptovalute erano già ampiamente utilizzate per trasferimenti di denaro anonimi, quindi i cybercriminali non temono più di essere rintracciati. Bitcoin e altre criptovalute hanno reso possibile ricevere grandi riscatti senza dare nell’occhio.

2016: ransomware di massa

Il ransomware ha continuato ad avere sempre più protagonismo nel mondo della cybersecurity: il 2016 ha visto un aumento di undici volte del numero di modifiche ransomware. Un riscatto medio poteva andare da 0,5 a centinaia di bitcoin (che valevano una frazione del prezzo odierno). L’obiettivo principale degli attacchi si è spostato dall’utente individuale alle aziende.

I criminali informatici non dovevano più sviluppare il malware da soli: potevano semplicemente comprarlo già pronto nel dark web. Per esempio, è stata messa in vendita una “licenza a vita” per il ransomware Stampado. Questo malware minacciava di cancellare file casuali dopo un certo periodo di tempo per spaventare le vittime e spingerle a pagare il riscatto. 

I ransomware sono diventati disponibili anche seguendo il modello RaaS (Ransomware-as-a-Service), un termine che è emerso con la comparsa di Encryptor RaaS. Il modello ha peggiorato ancora di più la situazione: i ransomware si sono diffusi ancora di più. 

Gli estorsori hanno iniziato a prendere di mira le organizzazioni governative e municipali, oltre alle imprese e agli utenti domestici. Un esempio è l’HDDCryptor, che ha infettato più di 2.000 computer della San Francisco Municipal Transportation Agency. I criminali informatici hanno chiesto 100 BTC (ai tempi circa 70 mila dollari) per ripristinare i sistemi, ma fortunatamente il dipartimento IT dell’agenzia è riuscito a risolvere il problema da solo.

2016–2017: Petya, NotPetya e WannaCry

Nell’aprile del 2016 ha iniziato a prendere piede un nuovo malware chiamato Petya. A differenza dei precedenti cryptor, che lasciavano intatti i sistemi operativi per consentire alle vittime di pagare il riscatto, Petya bloccava completamente i dispositivi infetti, prendendo di mira il MFT (Master File Table), database che memorizza l’intera struttura di file e cartelle sul disco rigido.

Per quanto distruttivo, il meccanismo di penetrazione e distribuzione di Petya è stato approssimativo. Per attivarlo, la vittima doveva scaricare e avviare manualmente un file eseguibile, il che rendeva l’infezione meno probabile.

Nel maggio 2017, il nuovo ransomware WannaCry ha infettato più di 500 mila dispositivi in tutto il mondo, causando 4 miliardi di dollari di danni. Come? Sfruttando alcune vulnerabilità molto pericolose presenti in Windows, in particolare il Server Message Block (SMB): un protocollo usato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra diversi nodi di una rete.

Il Trojan si è infiltrato nelle reti e ha installato WannaCry sui computer delle vittime. Il malware ha poi continuato a diffondendosi, infettando altri dispositivi sulle reti locali. All’interno dei sistemi infetti, WannaCry si è comportato normalmente, cifrando i file e richiedendo un riscatto.

L’attacco WannaCry è stato così devastante che Microsoft ha rilasciato una patch urgente per i sistemi operativi per i quali non offriva più assistenza. Gli aggiornamenti per i sistemi supportati erano stati disponibili molto prima di entrambe le epidemie, ma non tutti li avevano installati, permettendo a questi due programmi ransomware di far sentire la loro presenza per molto tempo a venire.

Nemmeno due mesi dopo l’epidemia di WannaCry è apparso un altro cryptor: NotPetya, noto anche come ExPetr. NotPetya, al posto di crittografare ogni singolo file presente sul computer, puntava direttamente al bootloader del computer, cioè il software che si occupa di trasferire i dati di avvio di un sistema operativo dal disco fisso alla memoria RAM. Inoltre, cifrava il file table in modo tale da impedire la decifrazione anche dopo il pagamento del riscatto. Il danno totale di NotPetya ha superato i 10 miliardi di dollari.

2017: un milione di dollari di riscatto

Oltre ai danni senza precedenti, un altro record è stato stabilito nel 2017, per il più grande riscatto conosciuto pagato da una sola azienda. Il web host sudcoreano Nayana ha accettato di pagare 1 milione di dollari (negoziato al ribasso di 4,5 volte tanto) per sbloccare i computer infettati dal cryptor Erebus. Dopo il completamento del pagamento, gli hacker hanno inviato alla società il cosiddetto “Erebus Decryptor”: ha permesso loro di iniziare il ripristino propri file. 

Ciò che ha sorpreso maggiormente la comunità di esperti è che la società annunciasse pubblicamente il pagamento. La maggior parte delle vittime preferisce non pubblicizzare queste cose per paura di danni alla reputazione aziendale.

2018–2019: una minaccia per la società

Gli ultimi anni sono degni di nota per i massicci attacchi ransomware al settore dei servizi. I trasporti, i servizi idrici, energetici e le istituzioni sanitarie sono entrate sempre più nel mirino dei cybercriminali. I criminali informatici hanno contato sul fatto che pagassero anche loro anche con richieste di riscatto molto grandi.

Nel 2018, per esempio, un attacco cryptomalware all’aeroporto di Bristol (Regno Unito) ha interrotto la possibilità di visualizzare i voli sugli schermi per due giorni interi. Il personale ha fatto ricorso all’uso di lavagnette, limitando i danni e rispondendo all’attacco in modo rapido ed efficace. Per quanto ne sappiamo, nessun volo è stato cancellato e non è stato pagato alcun riscatto.

Ad Hancock Health, una clinica statunitense, è andata meno bene: ha deciso di pagare 4 BTC (ai tempi 55 mila dollari) dopo che il ransomware SamSam aveva colpito i suoi sistemi. Per spiegare la decisione di aver pagato il riscatto, l’amministratore delegato Steve Long ha citato una tempesta di neve in arrivo, che ha portato una delle peggiori stagioni influenzali. La clinica semplicemente non ha avuto il tempo di ripristinare autonomamente i propri computer.

2020: estorsioni in aumento e fughe di dati

Oltre all’aumento della portata delle infezioni, così come le conseguenze e gli importi dei riscatti, il 2020 va ricordato per un nuovo approccio ibrido: il ransomware, che prima di cifrare i dati, li invia ai cybercriminali, i quali minacciano di far trapelare queste informazioni alla concorrenza o di pubblicarle. Data la grande importanza che si dà ai dati personali, un attacco del genere potrebbe essere fatale per un’azienda. Questo modus operandi è stato sfruttato per la prima volta dal gruppo Maze nel 2019, ma nel 2020 è diventata una vera e propria tendenza.

La catena di cliniche per la chirurgia estetica Transform Hospital Group è stata vittima di uno degli incidenti più gravi del 2020. Il gruppo di hacker REvil ha cifrato e rubato 900GB di dati di Transform, comprese le fotografie pre e post operazione dei pazienti, che i cybercriminali hanno minacciato di pubblicare.

In questi ultimi mesi due grandi attacchi ransomware hanno fatto il giro del mondo. Il primo è accaduto a Colonial Pipeline, che a seguito dell’hack del 7 maggio ha sborsato l’equivalente di 5 milioni di dollari, che ha fortunatamente in gran parte recuperato. Lo stesso è accaduto per il gigante della carne JBS, preso di mira dal gruppo russo REvil, che per minimizzare i danni e tornare al 100% operativo ha preso la sofferta decisione di pagare 11 milioni di dollari.

Come riprendersi dopo un attacco ransomware

Gli hacker stanno sempre più utilizzando il ransomware come strumento efficace per danneggiare le imprese e finanziare attività dannose.

Le aziende devono prepararsi alla possibilità che un attacco ransomware colpisca i propri dati e comprometta le attività lavorative. Quali sono quindi i passi necessari per riprendersi da un attacco ransomware?

  1. Isolare e spegnere i sistemi critici

Il primo passo importante è quello di isolare e spegnere i sistemi business-critical. Infatti, esiste la possibilità che il ransomware non abbia colpito tutti i dati e i sistemi accessibili. Spegnere e isolare sia i sistemi infetti che quelli sani aiuta a contenere la diffusione del codice maligno. 

  1. Attuare il piano di continuità aziendale

Il piano di continuità aziendale e la sua componente di disaster recovery sono essenziali per mantenere un certo livello di operazioni aziendali. Si tratta di un manuale che, passo dopo passo, aiuta tutti i dipartimenti a capire come il business operi in tempi di disastro o altri scenari di alterazione del business. La componente di disaster recovery dettaglia come i dati e i sistemi critici possono essere ripristinati e riportati online.

  1. Segnalare il cyberattacco

Molte aziende possono esitare a farlo, ma segnalare l’attacco a clienti, stakeholder e forze dell’ordine è essenziale. Il Garante della Privacy può fornire accesso a risorse che altrimenti potrebbero non essere disponibili. Bisogna anche considerare le norme di conformità. Il GDPR, per esempio, fornisce alle aziende una finestra di 72 ore per rivelare una violazione dei dati che coinvolge le informazioni personali dei clienti. 

  1. Ripristinare dal backup

La migliore misura di protezione che si ha per i dati è il backup. Tuttavia, il ripristino di grandi quantità di dati può richiedere molto tempo, costringendo l’azienda ad essere offline per un lungo periodo di tempo. Questa situazione evidenzia la necessità di scoprire e contenere le infezioni da ransomware il più rapidamente possibile per ridurre la quantità di dati da recuperare. 

  1. Rimediare, applicare patch e monitorare

Nella fase finale del recupero da un attacco ransomware, le aziende rimediano all’infezione ransomware, applicano le patch ai sistemi che possono aver portato alla compromissione iniziale del ransomware e monitorano attentamente l’ambiente per ulteriori attività dannose.

Non è raro che l’attività dannosa continui, anche se il riscatto è stato pagato, o se i sistemi infetti sono stati ripristinati. Se esiste la stessa vulnerabilità che ha portato all’attacco iniziale, l’ambiente può essere compromesso ancora una volta.

  1. Riparare i punti di ingresso comuni per il ransomware

Mentre le aziende cercano di rafforzare l’ambiente contro il ransomware e altre minacce dannose, è fondamentale guardare ai punti di ingresso comuni per questi tipi di attacchi. I cyberattacchi utilizzano attacchi di phishing per raccogliere credenziali rubate che possono poi essere utilizzate per lanciare un attacco ransomware o accedere direttamente ai sistemi. 

  1. Prevenzione e passi successivi

Le aziende non devono essere negligenti nel gestire la sicurezza delle password. È necessario cambiare spesso tutte le password aziendali, in particolar modo quelle dei dipendenti. Una password, per essere sicura, deve avere tre caratteristiche fondamentali: deve essere lunga, contenere simboli, numeri e maiuscole, unica per ogni sito che chiede la registrazione.

Il futuro del ransomware

Questi incidenti stanno catapultando il ransomware in una nuova era, una in cui i criminali informatici possono facilmente replicare attacchi di piccole dimensioni e portarli a termine contro società molto grandi per richiedere somme ingenti di riscatto. Mentre alcune vittime sono in grado di mitigare gli attacchi e ripristinare i loro file o sistemi senza pagare riscatti, basta una piccola percentuale di attacchi che hanno successo per produrre entrate sostanziali – e incentivi – ai criminali informatici.

Tuttavia, pagare un riscatto non garantisce sempre l’accesso ai file. Il ransomware CryptoLocker “ha estorto 3 milioni di dollari agli utenti, ma non ha decifrato i file di tutti coloro che hanno pagato”, riferisce CNET. Un sondaggio di Datto ha rilevato che gli aggressori non hanno sbloccato i dati delle vittime in uno su quattro incidenti in cui sono stati pagati i riscatti.

Oggi i ransomware continuano ad evolversi sempre di più con l’obiettivo di monetizzare i loro attacchi. Ad esempio, i ransomware Petya e Cerber sono i pionieri degli schemi ransomware-as-a-service: un modello di business utilizzato dagli hacker, in cui affittano varianti di ransomware nello stesso modo in cui gli sviluppatori di software legittimi affittano prodotti SaaS. RaaS dà a tutti, anche alle persone senza molte conoscenze tecniche, la possibilità di lanciare attacchi ransomware semplicemente sottoscrivendo un servizio.

Gli autori di Cerber sono stati particolarmente opportunisti, offrendo le loro operazioni di ransomware come servizio in cambio di un taglio del 40% dei profitti ottenuti dai riscatti pagati. Secondo i ricercatori di Check Point, Cerber ha infettato 150.000 vittime nel solo luglio 2016, guadagnando circa 195.000 dollari – di cui 78.000 dollari sono andati agli autori del ransomware.

Il potenziale di profitto per gli autori e gli operatori di ransomware guida anche la rapida innovazione e la concorrenza spietata tra i criminali informatici. ZDNet ha recentemente riferito del ransomware PetrWrap, che è costruito con l’utilizzo di un codice craccato preso da Petya. Per le vittime, la fonte del codice non ha importanza – sia che si sia stati infettati da Petya o da PetrWrap, il risultato finale è lo stesso: i file vengono criptati con un algoritmo così forte che attualmente non esistono strumenti di decrittazione.

Qual è allora il futuro del ransomware? Un nuovo report del National Cyber Security Centre (NCSC) e della National Crime Agency (NCA) del Regno Unito, avverte di minacce in continuo sviluppo, come il ransomware-as-a-service sempre più accessibile e il ransomware mobile: una forma di malware che colpisce i dispositivi mobili. Un criminale informatico può usare il malware mobile per rubare dati sensibili da uno smartphone o bloccare un dispositivo, per poi chiedere un pagamento per restituire i dati all’utente o sbloccare il dispositivo. A volte le persone vengono indotte a scaricare accidentalmente un ransomware sul proprio smartphone attraverso i social network, perché pensano di scaricare contenuti innocenti. 

Le infrastrutture critiche pongono un altro obiettivo preoccupante per i futuri attacchi ransomware. Il direttore dell’ufficio di gestione delle prestazioni aziendali del DHS, Neil Jenkins, ha avvertito, durante la conferenza RSA del 2017, che i servizi idrici e infrastrutture simili potrebbero essere obiettivi di alto valore per gli hacker. Jenkins ha fatto riferimento a un attacco ransomware del gennaio 2017 che ha temporaneamente disabilitato i componenti del sistema keycard di un hotel austriaco come un potenziale predecessore di attacchi più significativi alle infrastrutture a venire.

Come proteggersi da un attacco ransomware

Ci sono step importanti che tutti, sia utenti privati che aziende, possono seguire per ridurre significativamente il rischio di cadere vittima del ransomware. Seguire queste le best practice fondamentali di cybersecurity è la chiave per ridurre al minimo i danni del ransomware:

1. Backup frequenti e testati: il backup di ogni file è una delle difese più forti contro il ransomware. Tutti i dati possono essere ripristinati su un punto di salvataggio precedente. I file di backup dovrebbero essere testati di frequente per garantire che i dati siano completi e non corrotti.

2. Aggiornamenti strutturati e regolari: la maggior parte dei software usati dalle aziende viene aggiornata regolarmente dal creatore del software. Questi aggiornamenti possono includere patch per rendere il software più sicuro contro le minacce conosciute. Ogni azienda dovrebbe designare un dipendente per aggiornare il software. Meno persone coinvolte nell’aggiornamento del sistema significano meno potenziali vettori di attacco per i criminali.

3. Restrizioni ragionevoli: alcune limitazioni dovrebbero essere poste su dipendenti e collaboratori che:

    1. Lavorano con dispositivi che contengono file, documenti e/o programmi aziendali
    2. Usano dispositivi collegati alle reti aziendali che potrebbero essere resi vulnerabili
    3. Sono lavoratori terzi o temporanei

4. Corretto monitoraggio delle credenziali: Qualsiasi dipendente, appaltatore e persona a cui viene dato accesso ai sistemi, crea un potenziale punto di vulnerabilità per il ransomware. Turnover, mancato aggiornamento delle password e restrizioni improprie possono portare ad una probabilità ancora maggiore di attacco in questi punti.

    Nonostante queste best practice siano abbastanza conosciute, molti individui non riescono a fare regolarmente il backup dei loro dati, e alcune aziende lo fanno solo all’interno delle loro reti, il che significa che i backup possono essere compromessi da un singolo attacco ransomware.

    Un’efficace difesa dal ransomware si basa in definitiva sull’educazione. Gli utenti e le aziende dovrebbero dedicare del tempo a conoscere le loro migliori opzioni per il backup automatico dei dati e gli aggiornamenti del software. L’educazione su come riconoscere le tattiche di distribuzione del ransomware, come gli attacchi di phishing, i download drive-by e i siti web falsificati, dovrebbe essere una priorità assoluta per chiunque usi un dispositivo connesso.

    Se pensi che questo articolo possa essere utile anche ai tuoi colleghi e conoscenti non esitare a condividerlo, ci metti meno di 1 minuto e rendi il web un po’ più sicuro.

    La tua Cyber Security via mail


    cyberefund emblema bianco e arancione

    Difesa e Risarcimento contro i Cyber Attack

    CybeRefund Srl - Società Benefit, Sede Legale Piazza Luigi Vittorio Bertarelli, 1 - 20122 Milano (MI)
    P.I. e Cod. Fisc. 11076520961

    stripe metodi pagamento sicuri cyberefund