Go to Top

“Locky”, CryptoLocker e altri ransomware. Cosa è necessario sapere

Locky, cryptolocker e altri ransomware

Ransomware…che cosa significa? Ransomware è un software maligno che prende in ostaggio i dati di un singolo individuo, di un’azienda o di un’intera organizzazione rendendo le informazioni presenti sul computer attaccato inaccessibili e inutilizzabili. Per poter aver indietro i propri dati la vittima deve pagare un riscatto. Il primo attacco ransomware registrato nella storia si è verificato nel 1989. Il suo nome era Cyborg Trojan PC.

Una versione più moderna ha iniziato a circolare nuovamente a partire dal 2010 prima in Russia per poi svilupparsi anche in altri Paesi come Australia, Germania e USA.  Oggi, con la diffusione di Internet a livello mondiale tutto il mondo può essere attaccato dai ransomware.

I più noti ransomware sono CryptoLocker, CryptoWall, Reveton e il più recente Locky.  Esistono però diverse versioni di ransomware. È quindi necessario iniziare a porsi diverse domande al riguardo: come funziona un ransomware? Come è in grado di accedere ai nostri computer? Quali sono i profitti dietro a questi attacchi? Come possiamo proteggerci?

Ransomware – Qualche informazione in più

Il mezzo di diffusione più comune dei ransomware sono le email. A causa del loro utilizzo in tutte le aziende del mondo, le email sono un target molto interessante per questo genere di attacchi. L’email infetta contiene un link o un allegato ( un documento in formato .doc, .zip o altri). La modalità di attacco del virus è uguale a quella del cavallo di Troia. Nel caso del  ransomware Petya, ad esempio, l’email conteneva un link ad un curriculum vitae memorizzato su Dropbox. Una volta effettuato l’accesso si scopriva che il file non era editabile e quindi, appena aperto provocava un crash del computer e la crittografia dei dati.  Nel caso di Locky, il file è scritto in un inglese corretto diversamente dai vecchi ransomware e si presenta sotto forma di una fattura urgente da pagare o di una convocazione presso il tribunale. È quindi difficile per gli utenti resistere alla tentazione di cliccare sul link o sull’allegato!

I ransomware più sviluppati come SamSam prendono di mira i server più vulnerabili. SamSam si inserisce in particolare nelle reti interne di molti ospedali verificando le vulnerabilità legate a server non aggiornati.  In caso di successo, l’hacker ha poi accesso alla rete e il controllo dei dati chiave presenti sul sistema per procedere con la crittografia. SamSam, operando in maniera quasi inavvertibile, è in grado di provocare danni di grande portata.

Una volta che il file viene lanciato, l’hard disk interno così come i dispositivi ad esso connessi (chiavette USB e/o hard disk esterni) e le connessioni condivise vengono quindi crittografate. Per poterli sbloccare l’utente deve utilizzare una chiave che però solo l’hacker possiede. Questa chiave verrà fornita all’utente in cambio di una determinata somma di denaro spesso richiesta sotto forma di Bitcoin di modo che il pagamento non possa essere in alcun modo tracciato e garantendo così l’anonimato del ricattatore.

Un tema caldo che non risparmia nessuno

Il numero di versioni di Ransomware così come le contaminazioni sono in costante crescita. Questo genere di malware non risparmia nessuno. Singoli individui, ministeri, agenzie federali, aziende come gli ospedali sono finiti tutti nel mirino di questi attacchi. Tutto questo può essere spiegato da diversi fattori.

Prima di tutto è molto difficile per antivirus e altri software di protezione bloccare questo genere di malware. Purtroppo le tecnologie per l’individuazione di malware sono generalmente in ritardo rispetto a questo tipo di virus che invece evolve in maniera molto rapida. Questi hanno anche il vantaggio di poter attaccare in modo rapido un grande numero di potenziali vittime che vengono facilmente “intrappolate” e incuriosite dagli oggetti delle email spam che vengono inviate.

I ransomware sono inoltre una fonte di profitto per gli hacker. Se il riscatto richiesto ad un utente varia da qualche centinaio a qualche migliaio di euro quando la vittima è un’organizzazione di grandi dimensioni come aziende o ospedali (come già detto il bersaglio favorito dei malware) il riscatto può variare da diverse migliaia fino a qualche milione di euro per le vittime di maggior importanza. Tutto questo viene fatto grazie all’utilizzo di Bitcoin che impediscono la tracciabilità del pagamento e consentono l’anonimato delle transazioni.

Infine gli hacker possono agire indisturbati grazie anche alla scarsa conoscenza e ai ridotti livelli di protezione adottati dalle potenziali vittime.  Gli ospedali sono il bersaglio preferito dagli hacker proprio per via dei loro scarsi sistemi di sicurezza e del grande valore dei dati.

Come proteggerci dai ransomware

Ora che abbiamo visto quali sono le modalità di attacco adottate, come possiamo difenderci da questi ransomware?

La prima protezione contro questo genere di attacchi siamo semplicemente noi! Per poter evitare di essere attaccati dai virus contenuti nelle email e che si annidano principalmente negli allegati è sufficiente non aprire questi messaggi.
Se non siete clienti di un’azienda, perchè mai dovreste riceverne una fattura? Perchè dovreste ricevere dei premi o dei regali per concorsi o competizioni a cui non avete mai partecipato? Sono molti gli “incentivi” utilizzati dagli hacker che potete evitare.

Il secondo metodo consiste nel creare  con una certa frequenza copie di backup dei vostri file. Il modo migliore per conservare i vostri dati personali e lavorativi è quello di effettuare un backup su chiavetta USB, su un hard disk o su un server. Quindi anche se l’hacker riesce a crittografare i vostri dati avrete ancora accesso alle vostre informazioni. È molto importante non collegare in maniera permanente i vostri hard disk esterni e i vostri server. In questo modo infatti solo il vostro pc verrebbe infettato e non l’intera infrastruttura.

Infine il terzo e ultimo metodo di protezione contro gli attacchi ransomware sta nell’aggiornamento degli antivirus.  Si tratta di strumenti fondamentali per la sicurezza del vostro computer. Tuttavia è necessario agire con attenzione poiché i virus evolvono rapidamente e anche se il vostro antivirus è in grado di gestire le versioni precedenti di un ransomware c’è spesso un ritardo tra le tecnologie utilizzate per l’individuazione di virus e le continue mutazioni del malware.

Per ostacolare per tempo questo genere di attacchi  dovreste informare tutti i vostri collaboratori  indipendentemente dal loro livello di responsabilità circa l’esistenza di questo genere di virus. Ogni singolo dipendente connesso alla rete aziendale potrebbe infatti essere contagiato dai ransomware. È bene anche effettuare un controllo delle tecnologie in uso per valutare il livello di rischio cui le aziende sono esposte. Non c’è niente di meglio che essere a conoscenza di eventuali ondate di attacchi ransomware per aumentare i livelli di vigilanza ed evitare che dati importanti possano cadere nelle mani sbagliate.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *