I ransomware o “virus del riscatto” (il termine ransomware è la contrazione delle parole inglesi ransom, riscatto, e malware) sono tra i malware più temuti in quanto, utilizzando sofisticate tecniche crittografiche nei loro attacchi, impediscono alle vittime di accedere ai propri file e cartelle o all’intero dispositivo, richiedendo poi il pagamento anonimo online di un riscatto per riottenerne l’accesso.
I ransomware rappresentano, dunque, una minaccia molto temuta soprattutto in ambito aziendale in quanto mettono a rischio la sicurezza del prezioso patrimonio informativo.
Indice degli argomenti
L’evoluzione dei ransomware
Nonostante se ne sia parlato tantissimo solo negli ultimi anni, il codice malevolo del primo ransomware fu identificato addirittura alla fine degli Anni 80: il malware fu battezzato PC Cyborg (o AIDS) e, una volta installato nel sistema della vittima, iniziava a conteggiare le sequenze di spegnimento e accensione della macchina. Al novantesimo riavvio, il ransomware chiedeva all’utente di rinnovare la licenza del sistema operativo inviando la somma di 189 dollari in una busta chiusa (oggi suona un po’ strano, ma all’epoca il pagamento del riscatto avveniva tramite posta) indirizzata alla PC Cyborg Corp.
Per fortuna delle vittime, la crittografia utilizzata dai criminal hacker era abbastanza debole e quindi facile da risolvere, per cui PC Cyborg non ha mai rappresentato un pericolo serio per i computer di allora.
A quel primo codice malevolo seguirono altre varianti, ma i ransomware continuavano a rappresentare una minaccia marginale nell’ambito della sicurezza informatica.
Fu con la comparsa di GpCode, nel 2004, che i “virus del riscatto” iniziarono a fare davvero paura adottando le tipiche tecniche estorsive ai danni delle vittime. Il nuovo ransomware aveva funzionalità da worm e, sfruttando una crittografia RSA debole, riusciva a impossessarsi dei file e delle cartelle delle vittime richiedendo poi un riscatto per “liberarli”.
Tre anni dopo comparve sulla scena del cyber crimine una nuova tipologia di ransomware il cui capostipite fu identificato come WinLock. Anziché crittografare i file, il nuovo malware era in grado di prendere il controllo dello schermo sui computer infetti e visualizzare immagini pornografiche, impedendo di fatto l’accesso al desktop. Per ottenere la loro rimozione di queste immagini era richiesto un pagamento tramite SMS.
Nel 2012 i ransomware subirono un’ulteriore evoluzione e, con la diffusione del temibile Reveton, la gente iniziò a identificarli come “i virus della polizia”. Il nuovo ransomware, infatti, bloccava il desktop delle vittime e visualizzava sullo schermo un messaggio intimidatorio verosimilmente inviato dall’FBI, dall’Interpol o da altre forze di polizia che accusava la vittima di aver commesso un reato: un attacco informatico, un trasferimento illegale di file o diffusione di immagini pedopornografiche.
Contestualmente alla comparsa di questi nuovi ransomware iniziarono a cambiare anche le modalità di pagamento del riscatto. Le somme variabili da 100 a 3.000 dollari dovevano infatti essere versate mediante una carta prepagata tipo UKash o PaySafeCard.
Reveton fu dunque il capostipite di un’altra pericolosa famiglia di ransomware che, sfruttando sofisticate tecniche di ingegneria sociale, riusciva ad incutere il terrore nelle vittime facendo credere loro di essere realmente sotto indagine e convincendole a pagare il riscatto pur di non essere accusate di attività di cui loro stesse si vergognavano.
I ransomware, così come li conosciamo oggi, comparvero nel 2013 e con CryptoLocker i criminal hacker reintrodussero la tecnica di crittografia dei file, usando però algoritmi molto più robusti di un tempo. CryptoLocker, in particolare, utilizzava una crittografia di tipo militare e memorizzava la chiave richiesta per sbloccare file e cartelle su un server remoto. In questo modo era pressoché impossibile per gli utenti rientrare in possesso dei propri dati senza pagare il riscatto.
A questo ransomware crittografico di nuova generazione ne seguirono altri, fino ad arrivare ai famigerati WannaCry e Petya che, rispettivamente nel maggio e nel giugno 2017, furono utilizzati per condurre attacchi su larga scala ai danni di milioni di utenti e aziende di tutto il mondo.
Impariamo a riconoscere i ransomware
I ransomware possono essere dunque catalogati in due differenti tipologie: i cryptor e i blocker.
I cryptor, dopo aver infettato un computer, criptano i dati importanti, inclusi documenti, foto, salvataggi dei giochi, database e così via. In questo modo, i file non possono essere aperti e l’utente non ha più accesso ad essi. A quel punto, i criminal hacker chiedono poi un riscatto in cambio della chiave di crittografia che ripristina l’accesso ai file. Tipicamente, l’importo del riscatto si aggira attorno ai 300 dollari.
I blocker, invece, mirano a bloccare l’accesso all’intero dispositivo infetto: non solo i file della vittima diventano inaccessibili, ma anche l’intero sistema operativo. A differenza dei cryptor, inoltre, il riscatto è generalmente più basso.
L’avvenuta infezione di un sistema da parte di un ransomware si manifesta, dunque, in maniera evidente in quanto non sarà più possibile accedere al proprio computer.
Tecnicamente il codice malevolo della minaccia appartiene alla famiglia dei trojan crittografici il cui unico scopo è l’estorsione di denaro alle proprie vittime attraverso il “sequestro di file” mediante cifratura che, di fatto, rende il PC inutilizzabile.
Come la maggior parte del malware in circolazione, il ransomware può infettare un sistema in seguito all’apertura dell’allegato malevolo di una e-mail di phishing, da un clic su un popup ingannevole presente su una pagina Web o semplicemente dalla visita di un sito Internet compromesso mediante la tecnica del drive-by download (letteralmente: scaricamento all’insaputa del codice malevolo).
Non mancano, comunque, casi di ransomware diffusi all’interno (in bundle) di altri software: ad esempio quelli gratuiti che consentono di “crackare” software commerciali e sistemi operativi; oppure sfruttando il servizio di desktop remoto (RDP: Remote Desktop Protocol, in genere sulla porta 3389) di Windows in seguito al furto di credenziali di un account utente necessarie poi per accedere ai server aziendali o alle risorse di rete condivise per prenderne il controllo.
Attacchi ransomware: quali rischi per le aziende
I ransomware, quindi, sono in grado di colpire tutti i sistemi operativi: Windows, Mac OS X, Linux e Android e questo vuol dire che anche i dispositivi mobile sono a rischio attacco. Recentemente, ad esempio, è stato individuato il ransomware FileCoder che si diffonde sui dispositivi Android mediante semplici messaggi di testo SMS contenenti un link malevolo. Il malware è in grado di criptare i file presenti sul dispositivo mobile e poi invia una copia di sé stesso a tutti i contatti presenti in rubrica.
Il problema principale di un’infezione da ransomware, comunque, è che la rimozione del malware potrebbe non risolvere il problema. Se è vero, infatti, che un buon programma antimalware e anche alcuni strumenti software specializzati riescono a identificare e bloccare il codice malevolo, consentendo poi di rimuovere la minaccia in maniera efficace, è altrettanto vero che se i file sono già stati criptati l’unico modo per ripristinarli è attraverso la chiave di decodifica fornita dai criminal hacker.
È importante sottolineare, inoltre, che il pagamento del riscatto potrebbe non essere una reale soluzione. Pagare i cyber criminali, infatti, potrebbe motivarli a continuare con i loro attacchi. E comunque sia, non potremmo mai essere sicuri del fatto che pagando otterremmo la chiave di sblocco dei file o dell’intero sistema. D’altronde, non ci si può aspettare che i criminali giochino pulito con le loro vittime.
La buona notizia è che, oltre a sistemi di controllo sempre più sofisticati e dotati di potenti strumenti di sicurezza (pensiamo, ad esempio, agli antimalware dotati di funzionalità di analisi comportamentale in grado di analizzare e bloccare un eventuale codice malevolo prima ancora che inizi la sua azione distruttiva), i ricercatori di sicurezza studiano costantemente il codice sorgente dei ransomware utilizzando tecniche di reverse engineering che permettono loro di individuare la chiave crittografica al fine di realizzare specifici decryptor in grado di rimuovere completamente la minaccia e qualsiasi blocco presente su file e cartelle.
I consigli per difendersi da attacchi ransomware
Per prevenire ed eventualmente fronteggiare un attacco ransomware occorre comportarsi correttamente mettendo in pratica alcuni semplici consigli.
Innanzitutto, è importante comprendere che la miglior protezione da questi pericolosi malware è la prevenzione. Il primo passo da fare è aggiornare sempre sia il nostro antivirus che il sistema operativo. È utile anche eseguire periodicamente un backup dei dati, cioè una copia dei propri file da ripristinare in caso di attacco.
Se si viene attaccati, invece, le buone pratiche dicono che non bisogna mai pagare il riscatto, ma rivolgersi a un’azienda che si occupa di sicurezza informatica.
Esistono poi alcune semplici regole pratiche che ci possono aiutare a non cadere nella trappola dei ransomware:
- non aprire mai gli allegati di e-mail di dubbia provenienza. Nel dubbio è consigliabile chiedere al mittente se quella e-mail è autentica;
- fare attenzione alle e-mail provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione nota come spoofing);
- abilitare l’opzione Mostra estensioni nomi file nelle impostazioni di Windows: i file più pericolosi hanno l’estensione EXE, ZIP, JS, JAR, SCR ecc. Se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file;
- disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza;
- disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Una macro malevola potrebbe essere contenuta in un allegato in formato Office e attivarsi automaticamente a seguito di un nostro clic;
- aggiornare sempre i sistemi operativi e i browser. In generale è buona regola installare sempre e subito le “patch” (gli aggiornamenti) di sicurezza che ci vengono proposti dai produttori dei software che abbiamo installati;
- utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni;
- installare servizi antispam efficaci ed evoluti. Non riusciranno a bloccare tutte le e-mail di phishing, ma i migliori riescono a raggiungere un’efficienza comunque superiore al 95%.
Per proteggere i dispositivi mobile, invece, è opportuno applicare queste altre semplici regole di sicurezza informatica:
- innanzitutto, non bisogna mai scaricare applicazioni e file da sorgenti diverse da Google Play e non verificate;
- inoltre, così come si fa per proteggersi dagli attacchi di tipo phishing, non bisogna mai cliccare sui link indicati nei messaggi SMS provenienti da mittenti sconosciuti o sospetti. E anche se il messaggio sembra provenire da un nostro contatto, è sempre bene fare prima una verifica per evitare brutte sorprese;
- infine, soprattutto quando i dispositivi Android vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
La soluzione integrata per proteggere il business aziendale
Chiaramente, le buone regole di sicurezza informatica rappresentano solo la prima linea di difesa dal ransomware. Da sole, però, potrebbero non bastare: soprattutto in ambito aziendale e, ancora di più, nelle realtà produttive molto complesse è necessario ricorrere a soluzioni integrate in grado di monitorare costantemente il traffico di rete e i dati trasferiti tra i vari endpoint in modo da garantire una efficace protezione in tempo reale.
Una valida soluzione, in questo senso, potrebbe essere TIM Safe Web: il servizio di TIM, rivolto alle piccole e medie imprese e ai titolari di partita IVA, offre una protezione dalle più diffuse e dannose minacce informatiche legate alla navigazione web grazie alle funzionalità anti-phishing e di contenimento malware direttamente integrate nella rete TIM, senza necessità di alcuna installazione software sui dispositivi degli utenti.
La quasi totalità degli accessi ai servizi Internet avviene utilizzando il servizio di risoluzione DNS, ovvero la funzionalità che traduce il nome mnemonico dei siti cui l’utente intende accedere (ad esempio www.esempio.it) con il corrispondente indirizzo di rete (noto come indirizzo IP, ad esempio 72.14.207.99).
Operando a livello DNS (Domain Name System), TIM Safe Web permette quindi di mediare la richiesta di accesso al sito Internet prima ancora che venga stabilita la connessione, per verificare se l’indirizzo richiesto sia classificato come pericoloso. Nel caso in cui la destinazione sia ritenuta dannosa, il browser è reindirizzato verso una pagina di protezione che informa l’utente della pericolosità del sito, rendendolo inaccessibile per motivi di sicurezza.
È importante evidenziare come l’efficacia di un servizio di questo tipo dipenda fortemente dalla qualità della base dati utilizzata per tenere traccia dei siti contraffatti e malevoli, in termini di affidabilità, numero delle fonti, dimensione, frequenza e tempestività degli aggiornamenti.
TIM Safe Web utilizza una tecnologia tra le più efficaci e performanti come verificato anche sperimentalmente dai laboratori di ricerca TIM. Basti pensare che ammontano a oltre un miliardo gli accessi a siti pericolosi bloccati da TIM Safe Web sulle sole reti fisse da aprile 2018.
Il servizio, tra l’altro, è ora disponibile anche per le offerte di connettività mobile e rappresenta, dunque, un valido strumento di difesa e prevenzione da attacchi malware e ransomware in particolare.
Contributo editoriale sviluppato in collaborazione con TIM Business