Cos'è un Ransomware, come si prende e come proteggersi -

Data di pubblicazione: 28 Aprile 2023

Il ransomware è un tipo virus informatico che blocca l’accesso degli utenti ai sistemi informatici e crittografa i file, offrendo agli aggressori il controllo su qualsiasi informazione personale memorizzata sui dispositivi delle vittime. I criminali informatici minacciano quindi le vittime di bloccare l’accesso ai loro file/computer o di esporre i loro dati sensibili a meno che non paghino un riscatto

Gli attacchi ransomware non solo possono interrompere l’accesso alla rete, bloccare le operazioni interne e danneggiare la reputazione di un’azienda, ma possono anche provocare ulteriori attacchi perché i criminali informatici giustamente vedranno la tua organizzazione come vulnerabile. Loro minacciano quindi di divulgare, distruggere o trattenere informazioni sensibili a meno che non venga pagato un riscatto.

Gli attacchi ransomware possono prendere di mira i dati archiviati sui sistemi informatici (locker ransomware) o sui dispositivi (ransomware). In entrambi i casi, dopo il pagamento del riscatto, gli aggressori di solito forniscono alle vittime una chiave di decrittazione o uno strumento per sbloccare i propri dati o dispositivo, sebbene ciò non sia garantito.

Indice dei contenuti

Come funziona il ransomware

Il ransomware, come qualsiasi altro malware, irrompe nelle reti utilizzando tipi tradizionali di attacchi:

E-mail e messaggi in messenger con collegamenti sospetti, metodi di social engineering (Baiting, Honey Trap, Scareware), phishing e siti dannosi.
Vulnerabilità del protocollo del software e del desktop remoto. Con il passaggio al lavoro remoto e la dipendenza dal software desktop remoto, il numero di e-mail dannose è aumentato del 600% solo nei primi mesi della pandemia. Allo stesso modo, mentre le organizzazioni passano ai sistemi di archiviazione ibridi, vengono esposte le vulnerabilità associate all’archiviazione cloud.

Senza l’uso di una politica di segmentazione della rete, gli aggressori sono liberi di vagare per la rete, infettando endpoint e server e chiedendo un riscatto per riottenere l’accesso ai tuoi dati.

Gli attacchi e-mail, che consentono al ransomware di entrare in una rete, sono difficili da fermare. Gli aggressori possono indurre anche gli utenti esperti a fare clic su un collegamento previsto o su una foto che si presume provenga da qualcuno conosciuto.

Il modo più comune in cui i criminali infettano i file di dati è inviando e-mail con collegamenti o allegati dannosi su cui i dipendenti fanno clic, avviando inconsapevolmente un attacco. Queste potrebbero essere e-mail inviate a milioni di potenziali vittime o messaggi mirati a una persona specifica in un’organizzazione specifica. Quest’ultimo è solitamente combinato con metodi di ingegneria sociale, con l’aiuto dei quali i criminali informatici raccolgono in anticipo le informazioni necessarie sulla vittima.

Dopo un attacco riuscito, gli aggressori informano le loro vittime che i loro dati sono crittografati. Per accedere alla chiave di decrittazione, la vittima deve effettuare un pagamento immediato, spesso in criptovaluta, che oscura l’identità dell’aggressore. Saprai di essere vittima di un ransomware se sul desktop appare una finestra pop-up o un file readme.txt

Come il ransomware entra nel tuo computer

I modi più comuni per installare ransomware sono:

utilizzando il phishing;
inserendo malware su un sito web.

Una volta installato, il virus crittografa le informazioni memorizzate sul computer della vittima o blocca il normale funzionamento del computer visualizzando un messaggio sullo schermo che richiede il pagamento di un determinato importo per decrittografare i file e ripristinare il sistema. Nella maggior parte dei casi, il messaggio di richiesta di trasferimento di denaro viene visualizzato quando l’utente riavvia il computer dopo che si è verificata un’infezione.

Come difendersi dai ransomware?

In generale, la migliore difesa è la prudenza. Puoi seguire alcune linee guida per ridurre al minimo il rischio di essere vittima di un simile attacco. Ecco le regole di protezione contro il ransomware:

Creare backup offline. Sebbene i normali backup su cloud e virtuali siano utili, se non si esegue il backup dei dati offline, si corre il rischio di perderli. Ciò significa eseguire regolarmente il backup in un luogo sicuro, conservare più copie e monitorare che i backup corrispondano all’originale.

Migliora le capacità del tuo staff. Aumentare la consapevolezza sul ransomware è uno dei compiti fondamentali per migliorare la sicurezza informatica in un’azienda. Allo stesso tempo, è importante condurre regolarmente briefing generali e personali, perché è sufficiente che un dipendente riduca la vigilanza affinché l’intera organizzazione venga compromessa.

Regola la visualizzazione dell’estensione del file. Prima di tutto, i dipendenti devono essere addestrati a non fare doppio clic sui file eseguibili (file .exe), indipendentemente dalla loro provenienza. Tuttavia, Windows nasconde le estensioni dei file per impostazione predefinita, rendendo gli eseguibili dannosi come ransom.doc.exe simili a un documento di Word denominato ransom.doc. Pertanto, l’impostazione delle estensioni in modo che vengano sempre visualizzate contribuirà notevolmente a contrastare questo tipo di minacce.

Imposta i filtri antispam. I criminali informatici inviano milioni di e-mail dannose a organizzazioni e utenti casuali, ma un filtro antispam efficace che si adatta costantemente alle nuove minacce può impedire a più del 99% di tali messaggi.

Blocca i file eseguibili. Filtrare i file .exe dalle e-mail può impedire che determinati file dannosi vengano aperte. Ma tieni presente che questo non è l’unico modo affidabile per proteggersi dal ransomware. Il fatto è che il ransomware viene sempre più inviato sotto forma di file JavaScript.

Blocca i file JavaScript. Il ransomware viene distribuito in archivi zip contenenti file JavaScript dannosi. Di solito sono mascherati da file di testo con nomi come readme.txt.js e sono spesso visti semplicemente come readme.txt ma con un’icona di script per il file di testo. Puoi chiudere questa vulnerabilità semplicemente disabilitando Windows Script Host.

Mantieni aggiornato il tuo software. Questa è una delle principali misure di sicurezza. Tutto il software deve essere aggiornato, poiché gli aggiornamenti includono quasi sempre le ultime patch di sicurezza per affrontare le vulnerabilità scoperte in precedenza.

Visita NoMoreRansom.org, un sito creato dalle forze dell’ordine e dalle società IT di sicurezza che lavorano sulle minacce ransomware. Il sito Web offre strumenti di decrittazione gratuiti per gli utenti infetti, nonché consigli preventivi.

Tipi ed esempi di ransomware

Ransomware è un termine generico che copre molti diversi tipi di malware. Tuttavia, hanno tutti una cosa in comune: minacciare te o i tuoi dati con estorsioni. Gli attacchi più pericolosi sono stati effettuati da WannaCry, Petya, Cerber, Cryptolocker e Locky ransomware. Ecco i diversi tipi di ransomware che devi conoscere:

Cryptolocker è un virus destinato a tutte le versioni di Windows, inclusi Windows XP, Windows Vista, Windows 7 e Windows 8. Si tratta di un nuovo tipo di virus estremamente pericoloso. Come altri virus mendicanti, CryptoLocker blocca, in questo caso crittografa, le informazioni sul disco rigido e ti chiede di pagare per potervi accedere nuovamente. Una novità per tali virus è stata l’aggiunta di un limite di tempo per il riscatto: gli utenti hanno tre giorni per pagare $ 300, € 300 o 2 bitcoin prima che la chiave di crittografia venga “distrutta per sempre” e le informazioni vengano perse per sempre. Per sentire l’inevitabilità della punizione, viene visualizzato un timer, che conta il tempo fino alla distruzione della chiave.

WannaCry (2017). Un attacco informatico globale che ha infettato oltre 300.000 computer in 4 giorni. WannaCry è stato distribuito tramite un exploit noto come EternalBlue e progettato per i sistemi operativi Microsoft Windows (la maggior parte dei computer interessati utilizzava Windows 7). L’attacco è stato interrotto grazie alle patch di emergenza rilasciate da Microsoft. Esperti di sicurezza statunitensi hanno affermato che la Corea del Nord è stata coinvolta nell’attacco, ma non è stata fornita alcuna prova.

Bad Rabbit (2017). Un ransomware distribuito come un falso aggiornamento di Adobe Flash scaricato da siti Web compromessi. La maggior parte dei computer infetti si trovava in Russia e l’infezione dipendeva dall’installazione manuale del file .exe. Il costo della decrittazione all’epoca era di circa $ 280 (0,05 BTC).

Locky (2016). Locky è stato più popolare nel 2016, ma non si è fermato nel 2017. Generalmente distribuito via e-mail come ricevuta di pagamento, contenente un file infetto come allegato. Nel 2016, l’Hollywood Presbyterian Medical Center è stato infettato da Locky e costretto a pagare 40 BTC ($ 17.000 all’epoca) per ripristinare l’accesso ai sistemi informatici dell’ospedale.

Il virus Petya è conosciuto anche con altri nomi: Petya.A, PetrWrap, NotPetya, ExPetr. Una volta entrato nel computer, scarica un ransomware da Internet e cerca di colpire una parte del disco rigido con i dati necessari per avviare il computer. Se ci riesce, il sistema emette una “schermata blu della morte”. Dopo il riavvio, viene visualizzato un messaggio di controllo del disco rigido che richiede di non spegnere l’alimentazione. Pertanto, il virus ransomware finge di essere un programma di sistema per il controllo del disco, crittografando i file con determinate estensioni. Al termine del processo, viene visualizzato un messaggio sul blocco del computer e informazioni su come ottenere una chiave digitale per decrittografare i dati. Il virus Petya richiede un riscatto, solitamente in bitcoin.

GrandCrab (2018). È successo per la prima volta nel gennaio 2018, dove 50.000 vittime di ransomware in meno di un mese prima che fosse fermato dalle autorità rumene insieme a Bitdefender ed Europol (utilizzando un toolkit gratuito per il recupero dei dati). GrandCrab è stato diffuso tramite e-mail di malvertising e phishing, è stato il primo ransomware noto che richiedeva un riscatto nella criptovaluta DASH. L’estorsione iniziale variava da $ 300 a $ 1.500.

LockerGoga. Il 18 marzo 2019, Norsk Hydro, uno dei maggiori produttori mondiali di alluminio, è stata attaccata da un ransomware. Tutti gli impianti sono stati isolati con successo, i processi sono stati trasferiti al controllo manuale ove possibile. Il ripristino dell’infrastruttura non è ancora stato completato e i singoli impianti di produzione (ad esempio, estrusione di profili in alluminio) funzionano ancora a metà capacità.

Regole per rispondere a un attacco ransomware

I seguenti passaggi possono aiutarti a gestire e mitigare gli attuali attacchi ransomware:

1. Isolamento

Il primo passo per combattere il ransomware è isolare i sistemi infetti dal resto della rete. Arrestare questi sistemi e scollegare il cavo di rete. Disattiva il Wi-Fi. I sistemi infetti devono essere completamente isolati da altri computer e dispositivi di archiviazione sulla stessa rete.

2. Identificazione

Quindi scopri che tipo di malware ha portato all’infezione dei computer. Spetta al team di risposta agli incidenti, al personale IT o ai consulenti di terze parti determinare il tipo di ransomware e sviluppare un piano per affrontare l’infezione nel modo più efficace.

3. Notifica della minaccia alle autorità di regolamentazione

A seconda delle conseguenze dell’incidente e delle disposizioni legali applicabili, l’incidente dovrebbe essere segnalato alle autorità di regolamentazione.

4. Rimozione malware

Rimuovi il malware dai sistemi infetti per prevenire ulteriori danni e la diffusione del virus.

5. Recupero dati

Dopo aver soppresso l’attacco, procedere al processo di ripristino. Il pagamento del riscatto è una delle opzioni. Forse gli aggressori sono nobili ladri e ti daranno le chiavi necessarie per decifrare i dati. L’opzione migliore è ripristinare dall’ultimo backup disponibile.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Come funziona il ransomware

Come il ransomware entra nel tuo computer

Come difendersi dai ransomware?

Tipi ed esempi di ransomware

Regole per rispondere a un attacco ransomware

Contattaci

Ultime News Cyber Security

Insider Threats: identifica e contrasta le minacce interne

Che cos’è un malware e come affrontarlo?

Spear phishing: cos’è, come funziona l’attacco e come proteggersi

Purple Team, Red Team e Blue Team: differenze e cosa fanno

Endpoint Protection: garantisci sicurezza e protezione alla tua azienda

Zero Day Exploit: Cos’è e Come Proteggersi

Penetration Test vs Vulnerability Assessment: Tutte le Differenze

Smishing: cos’è e come difendersi da questi attacchi informatici

Dati biometrici: un nuovo concetto di identità e sicurezza

La Strategia Nazionale di Cybersicurezza entra nel vivo: cos’è e cosa prevede per le PMI

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.

Cos’è un Ransomware, come si prende e come proteggersi

Come funziona il ransomware

Come il ransomware entra nel tuo computer

Come difendersi dai ransomware?

Tipi ed esempi di ransomware

Regole per rispondere a un attacco ransomware

Contattaci

Ultime News Cyber Security