Attacco ransomware: cos’è e come funziona?

Che cos’è il ransomware?

La definizione di ransomware è piuttosto chiara: si tratta di un tipo di malware che impedisce a individui od organizzazioni di accedere ai propri file. I malintenzionati utilizzano questo malware per bloccare o crittografare i file sui dispositivi colpiti e chiedono un riscatto in cambio della chiave di decrittazione.

Esistono due categorie principali di ransomware:

• Cryptor, che crittografano i file sul dispositivo, rendendoli inaccessibili.
• Blocker, che impediscono l’accesso al dispositivo infetto.

Solitamente, la finalità di questo tipo di attacco è economica, ma in alcuni casi l’intento principale può anche essere quello di causare delle interruzioni alle attività aziendali, provocando così dei tempi di fermo e danneggiando la reputazione dell’azienda.

Secondo il rapporto Threat Landscape 2024 dell’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA), il ransomware è stata la principale minaccia informatica degli ultimi anni. I settori industriali più colpiti sono il manifatturiero (22%), il retail (11%) e quello informatico (10%). Tra le nazioni a livello europeo più interessate da questo tipo di attacco, al primo posto troviamo la Francia con il 24%, seguita dalla Germania (19%) e dalla Spagna (15%). L’Italia, invece, si colloca al quarto posto con il 14%.

Anche le statistiche globali confermano questo quadro: nel 2022, il 68% degli attacchi informatici riportati a livello mondiale erano proprio ransomware, con un totale di ben 155 milioni di incidenti segnalati.

Come funziona un attacco ransomware?

Esistono numerosi esempi di ransomware, ciascuno più avanzato del precedente. Lo schema tipico, però, è quello di ottenere l’accesso ai file della vittima, crittografarli e successivamente richiedere un riscatto per la chiave di decrittazione.

Il ransomware sfrutta la crittografia asimmetrica, una tecnica che si basa sull’uso di due chiavi distinte per criptare e decriptare i dati. Il malintenzionato genera una coppia di chiavi per la vittima: una chiave pubblica e una privata (necessaria per decifrare i dati e conservata sul server dell’aggressore).

Per evitare che la vittima possa decrittografare i file senza la chiave privata, i creatori di ransomware utilizzano dei complessi algoritmi di crittografia che rendono quasi impraticabile questo rimedio.

Un attacco ransomware segue una serie di fasi ben definite:

1. Ricerca del bersaglio. Gli aggressori raccolgono informazioni sulla vittima, che può essere un individuo o un’organizzazione, e identificano le vulnerabilità presenti nei sistemi, come software obsoleti o configurazioni errate, che possono sfruttare per introdurre il ransomware.
2. Infezione. Il ransomware viene introdotto nel sistema attraverso delle tecniche ingannevoli. Questo avviene spesso tramite attacchi di phishing, come e-mail con link o allegati infetti, oppure sfruttando eventuali vulnerabilità del software. In alcuni casi, gli aggressori utilizzano dei metodi di ingegneria sociale per camuffare il malware come un aggiornamento legittimo, ingannando la vittima affinché proceda con la sua installazione.
3. Crittografia dei file. Una volta che il ransomware ha infettato il sistema, inizia la crittografia dei file. Questo processo rende i dati inaccessibili senza una chiave di decrittazione, la quale viene conservata dagli aggressori.
4. Espansione nella rete. Dopo aver infettato il sistema iniziale, il ransomware può cercare altri dispositivi o server connessi alla rete con l’obiettivo di estendere l’infezione.
5. Nota di riscatto. Al termine della crittografia, sullo schermo della vittima appare una nota di riscatto, la quale avvisa l’utente che i suoi file sono stati bloccati e fornisce istruzioni dettagliate su come pagare il riscatto per ricevere la chiave di decrittazione.
6. Richiesta di riscatto. La richiesta di pagamento avviene quasi sempre in criptovaluta, in modo da rendere difficile il tracciamento delle transazioni. Gli aggressori stabiliscono anche una scadenza entro cui il riscatto deve essere pagato, spesso accompagnata dalla minaccia di cancellare i dati o distruggere la chiave privata se il pagamento non viene effettuato in tempo.
7. Pagamento del riscatto (non consigliato). Sebbene alcune vittime decidano di effettuare il pagamento nella speranza di recuperare l’accesso ai propri file, questa strategia non sempre ha successo. Infatti, molti criminali non forniscono la chiave di decrittazione anche dopo aver ricevuto la somma di denaro richiesta.

Tipologie ed esempi di ransomware

Il primo ransomware, chiamato “PC Cyborg”, apparve nel 1989 e fu creato da Joseph Popp. Diffuso tramite floppy disk a un congresso sull’AIDS, chiedeva 189 dollari per sbloccare i computer infettati. La sua diffusione fu limitata, ma segnò l’inizio di una serie di attacchi sempre più sofisticati, con tecniche avanzate di crittografia e geolocalizzazione aventi l’obiettivo di colpire sempre più vittime.

Vediamo, quindi, quali sono le principali tipologie di ransomware che si sono diffuse negli ultimi anni.

WannaCry

WannaCry, noto anche come WanaCrypt0r, è stato un ransomware devastante che si è diffuso rapidamente nel 2017, sfruttando una vulnerabilità di Microsoft Windows chiamata EternalBlue.

Questo virus ha infettato centinaia di migliaia di computer in tutto il mondo, colpendo duramente il National Health Service (NHS) del Regno Unito, dove ha paralizzato i sistemi e causato danni stimati a oltre 90 milioni di sterline.

Petya/NotPetya

NotPetya, emerso nel 2017 come una variante più distruttiva di Petya, ha colpito principalmente i computer Windows in Europa e negli Stati Uniti. A differenza di altri ransomware, NotPetya non si limitava a crittografare i file, ma sovrascriveva il master boot record (MBR), rendendo i sistemi inutilizzabili e causando danni molto più gravi.

Questo attacco non mirava solo a estorcere denaro, ma sembrava progettato per scatenare il caos, distruggendo i dati e compromettendo l’integrità dei dispositivi.

CryptoWall

CryptoWall è un ransomware tra i più tenaci e diffusi a livello globale, noto per crittografare i file degli utenti e renderli inaccessibili senza una chiave di decrittazione. Questo virus è difficile da rilevare, in quanto riesce a sfuggire agli antivirus tradizionali, e può compromettere anche unità di rete condivise, oltre che archivi esterni.

Ryuk

Ryuk è un ransomware collegato al Lazarus Group, un gruppo associato alla Corea del Nord e noto per aver condotto attacchi mirati contro grandi aziende, ospedali e agenzie delle forze dell’ordine, con richieste di riscatto molto elevate, spesso in Bitcoin.

Ryuk ransomware è pericoloso perché può rimanere nascosto nei sistemi infetti per lunghi periodi di tempo, il che consente agli aggressori di massimizzare i danni causando perdite multimilionarie e mettendo a rischio settori critici come la sanità, con ripercussioni anche gravi sui comuni cittadini.

GandCrab

GandCrab, attivo tra il 2018 e il 2019, è stato uno dei ransomware più diffusi e pericolosi di quel periodo, che utilizzava il modello “ransomware as a service” (RaaS). Questo approccio consentiva a individui con competenze tecniche limitate di eseguire attacchi ransomware in cambio di una percentuale sui riscatti.

Gli sviluppatori hanno dichiarato di aver guadagnato centinaia di milioni di dollari prima di ritirarlo nel 2019; tuttavia, ha lasciato un’eredità significativa, ispirando altri creatori di ransomware basati sul modello RaaS.

REvil

REvil, noto anche come Sodinokibi, è anch’esso basato sul modello “ransomware as a service” (RaaS) ed è responsabile di attacchi di alto profilo, come quello del 2021 alla società Kaseya, che ha avuto ripercussioni a livello globale.

REvil si distingue per l’uso della “doppia estorsione”, che aggiunge la minaccia di pubblicare i dati rubati se il riscatto non viene pagato, aumentando così la pressione sulle vittime.

Dharma (o CrySiS)

Dharma, noto anche come CrySiS, è un ransomware che prende di mira i sistemi Windows, sfruttando vulnerabilità nelle porte Remote Desktop Protocol (RDP) utilizzate per accedere ai dispositivi da remoto. Una volta ottenuto l’accesso, questo ransomware crittografa i file e chiede un riscatto per poter ottenere la chiave di decrittazione.

Locky

Locky, apparso nel 2016, è diventato rapidamente uno dei ransomware più diffusi e pericolosi su scala mondiale. Distribuito principalmente tramite e-mail con allegati dannosi, spesso documenti Word che richiedevano l’abilitazione delle macro, questo malware attivava un trojan che crittografava i file della vittima. Locky si è inoltre evoluto per aggirare i sistemi di rilevamento, diffondendosi rapidamente con attacchi di phishing in tutto il mondo.

Cerber

Cerber si distingue dagli altri ransomware per l’uso della tecnologia text-to-speech, che “leggeva” la richiesta di riscatto alle vittime. Distribuito tramite un modello “software as a service” (SaaS), permetteva anche ai cybercriminali sprovvisti di competenze avanzate di utilizzarlo in cambio di una percentuale sui riscatti.

Cerber ha avuto una diffusione globale grazie alla sua facilità d’uso e alle continue modifiche per eludere i software di sicurezza, dimostrando l’efficacia del modello SaaS nel diffondere attacchi su larga scala.

Maze

Maze, attivo tra il 2019 e il 2020, ha introdotto la tattica della doppia estorsione nel panorama degli attacchi ransomware. Oltre a criptare i file delle vittime, questo virus minacciava di pubblicare le informazioni rubate se il riscatto non veniva pagato, aumentando così la pressione sulle organizzazioni colpite.

Diffuso principalmente tramite campagne di phishing e spear phishing, il ransomware prendeva di mira i dati sensibili, come proprietà intellettuali e informazioni personali, per poi richiedere riscatti di importo molto elevato.

NetWalker

NetWalker è un ransomware noto anch’esso per l’uso della doppia estorsione, che è stato particolarmente attivo durante la pandemia di COVID-19. Ha preso di mira le organizzazioni coinvolte nella risposta alla crisi sanitaria, come ospedali e laboratori, sfruttando la loro vulnerabilità.

DarkSide

DarkSide è un altro esempio del modello “ransomware as a service” (RaaS), che consente a cybercriminali di noleggiare il ransomware per eseguire degli attacchi in cambio di una percentuale sui riscatti. DarkSide si diffondeva sfruttando le vulnerabilità dei protocolli desktop remoti (RDP), permettendo agli hacker di accedere ai sistemi delle vittime da remoto.

Il gruppo dietro DarkSide è noto per aver rivendicato l’attacco del maggio 2021 alla Colonial Pipeline, uno degli episodi di ransomware più significativi degli ultimi anni. Questo attacco ha interrotto le operazioni della più grande rete di gasdotti degli Stati Uniti, causando gravi carenze di carburante in alcune regioni.

GoodWill

GoodWill, identificato per la prima volta nel 2022, è un ransomware unico nel suo genere. A differenza dei malware tradizionali che chiedono un riscatto in denaro, il gruppo dietro GoodWill richiede alle vittime di compiere degli atti di gentilezza verso i meno fortunati.

Gli individui e le organizzazioni colpite da questo tipo di ransomware, invece di pagare una somma di denaro, devono compiere buone azioni, come donazioni o aiuti a chi è in difficoltà.

Bad Rabbit

Bad Rabbit è un altro tipo di ransomware emerso nell’ottobre 2017, noto per aver colpito principalmente organizzazioni in Russia e nell’Europa dell’Est. Si diffondeva attraverso falsi aggiornamenti di Adobe Flash Player, che gli utenti venivano indotti a scaricare da siti compromessi.

Una volta installato, Bad Rabbit crittografava i file della vittima e richiedeva un riscatto in Bitcoin per il ripristino dell’accesso. Il ransomware utilizzava delle tecniche simili a quelle impiegate da NotPetya, sfruttando le vulnerabilità nei protocolli di rete per propagarsi ulteriormente all’interno delle infrastrutture aziendali.

Vittime di attacchi ransomware

Secondo le statistiche globali di Statista, i cybercriminali si concentrano principalmente su istituzioni critiche, come sanità, finanza, produzione ed enti governativi, che gestiscono dati di grande valore e hanno maggiori risorse per poter pagare riscatti di importo elevato.

Le imprese, indipendentemente dalla dimensione, sono spesso bersagliate per i loro dati sensibili e la proprietà intellettuale. Un esempio è l’attacco a Garmin nel 2020, che ha dovuto pagare ben 10 milioni di dollari di riscatto. Nel 2023, inoltre, il 72% delle aziende globali ha subito attacchi ransomware.

Il settore sanitario è anch’esso particolarmente vulnerabile per via delle informazioni vitali che gestisce. Nel 2021, è stato infatti il più colpito negli Stati Uniti, con richieste di riscatto medie per gli ospedali di ben 131.000 dollari.

Anche gli individui sono presi di mira per i loro dati personali, ma le statistiche sono meno precise, poiché spesso gli attacchi non vengono segnalati alle autorità tramite una denuncia dei crimini informatici.

Costi degli attacchi ransomware

Gli attacchi ransomware causano danni economici, reputazionali e legali alle aziende. Anche se non viene pagato il riscatto, le organizzazioni devono comunque affrontare costi elevati legati alla sospensione delle attività e alla perdita di fiducia da parte di clienti, con conseguenze che possono essere anche molto gravi.

Costi finanziari

Le vittime di attacchi ransomware possono subire gravi conseguenze finanziarie se decidono di cedere alle richieste di riscatto. Secondo i dati dell’ENISA, le cifre relative all’UE sono allarmanti: l’importo più elevato richiesto dai criminali è stato di ben 75 milioni di dollari.

Anche senza il pagamento del riscatto, un attacco ransomware può comunque causare dei tempi di inattività lunghi e costosi. Secondo J.P. Morgan, il rapporto del terzo trimestre 2020 dell’assicuratore AIG evidenzia che le aziende statunitensi vittime di ransomware nel 2020 hanno subito interruzioni della durata media di 7-10 giorni.

Oltre allo stop operativo, anche i costi di recupero possono essere decisamente elevati. Infatti, le aziende devono condurre investigazioni interne sull’incidente, rafforzare le proprie misure di sicurezza e ripristinare i sistemi, oltre che i dati compromessi. J.P. Morgan, ad esempio, cita lo studio 2020 di IBM sui costi di una violazione dei dati, il quale stima che la spesa media per ovviare a un attacco ransomware in tutti i settori sia stata di ben 1,27 milioni di dollari.

Danno alla reputazione

Un’altra conseguenza rilevante degli attacchi ransomware è il danno alla reputazione. I clienti, infatti, potrebbero perdere fiducia nella capacità dell’azienda di proteggere i loro dati sensibili, il che porta solitamente a una riduzione delle vendite e a possibili ripercussioni a lungo termine.

Ad esempio, nel 2021, CNA Financial è stata colpita da un attacco ransomware che ha compromesso una grande quantità di dati, inclusi quelli della clientela, interrompendo le attività aziendali e causando un danno significativo alla sua immagine.

Conseguenze legali e normative

Le infezioni da ransomware possono anche condurre a importanti conseguenze legali e regolamentari, come sanzioni e multe dovute alla mancata protezione dei dati sensibili. Questo perché le aziende sono tenute a rispettare delle rigide normative sulla privacy dei dati, come il Regolamento Generale sulla Protezione dei Dati (GDPR) in Europa o il California Consumer Privacy Act (CCPA) negli Stati Uniti.

Il mancato rispetto delle tempistiche di segnalazione delle violazioni o l’assenza di adeguate misure di sicurezza può comportare multe elevate e procedimenti legali.

Un esempio è la violazione dei dati subita da British Airways nel 2018, che ha compromesso le informazioni di circa 500.000 clienti. L’azienda è stata sottoposta a indagini da parte delle autorità regolatorie e multata dall’Information Commissioner’s Office (ICO) del Regno Unito, in base alle disposizioni del GDPR. Puoi trovare maggiori informazioni sul significato di GDPR all’interno della nostra guida.

Come proteggersi dagli attacchi ransomware?

Una delle più importanti misure di prevenzione contro gli attacchi ransomware è il backup regolare dei dati. Se una vittima riesce a mantenere l’accesso alle proprie informazioni durante un attacco, l’efficacia del ransomware diminuisce notevolmente.

Per questo, è fondamentale adottare delle soluzioni di backup sicure, come quelle basate su SaaS, che riducono o eliminano la possibilità di perdita di dati. Bisogna, inoltre, assicurarsi di proteggere queste copie, ad esempio conservandole in formato di sola lettura o in un cloud sicuro con versioning, al fine di mantenere delle versioni multiple. Infine, è importante verificare regolarmente l’integrità dei backup, in modo da assicurarsi che possano funzionare correttamente in caso di necessità.

Per prevenire il ransomware, è fondamentale anche formare i dipendenti sulla sicurezza informatica: devono essere istruiti a evitare link e allegati sospetti, non condividere informazioni sensibili con persone non verificate e controllare sempre l’autenticità del software prima di scaricarlo. Inoltre, dovrebbero evitare l’uso di USB non sicure e usare una VPN su reti Wi-Fi pubbliche.

Un altro aspetto importante è quello di implementare dei sistemi di autenticazione sicuri, come l’autenticazione a più fattori (MFA), e applicare il principio del privilegio minimo, concedendo accessi solo in caso di reali necessità operative. Solo il personale autorizzato dovrebbe avere accessi di tipo amministrativo.

Infine, è essenziale mantenere aggiornati i software di sicurezza, come antivirus e antimalware, e gestire tempestivamente le patch di sicurezza, che permettono di correggere eventuali vulnerabilità sfruttabili dai criminali informatici.

Quali sono i segnali della presenza di un ransomware?

Ci sono sei segnali principali che indicano la potenziale presenza di un’infezione da ransomware e che richiedono un’azione immediata:

1. Rallentamento anomalo del computer e della rete. Questa situazione è spesso uno dei primi segnali di un attacco ransomware. Il malware, infatti, inizia a scansionare i dispositivi per identificare i file da crittografare, causando un rallentamento generale del sistema. Anche quando questa situazione potrebbe essere causata da un uso eccessivo della larghezza di banda, è importante verificarne le cause reali in modo da evitare di incorrere in un potenziale attacco.
2. Modifiche sospette a file e cartelle. Eventuali cambiamenti imprevisti nei file, come la modifica di nomi, la comparsa di file sconosciuti o privi di estensione, potrebbero essere un chiaro segno di un attacco informatico.
3. Estrazione di dati non autorizzata. La scomparsa di file può indicare una possibile violazione.
4. Crittografia non autorizzata di file. La comparsa di file crittografati senza che nessuno ne sia responsabile è un altro chiaro segnale della presenza di ransomware.
5. Blocco del desktop. Alcuni tipi di ransomware bloccano completamente il desktop, impedendone l’accesso finché non viene pagato un riscatto.
6. Messaggio di riscatto sullo schermo. Il segnale più evidente di un attacco ransomware è senza dubbio la comparsa di un messaggio che informa l’utente dell’infezione e che richiede il pagamento di un riscatto per sbloccare i file.

Cosa fare in caso di attacco ransomware?

Se, nonostante tutte le precauzioni, tu o la tua azienda venite colpiti da un attacco ransomware, ci sono alcune azioni che puoi intraprendere per gestire al meglio la situazione.

Prima di tutto, verifica che non si tratti di scareware o di un altro tipo di malware meno grave.

La prima cosa da fare è, quindi, isolare il dispositivo infetto, scollegandolo immediatamente dalla rete in modo da evitare che il ransomware si possa diffondere ad altri sistemi. È fondamentale non pagare il riscatto, poiché non vi è alcuna garanzia che gli hacker ti forniranno la chiave di decrittazione; in più, contribuiresti a sostenere la loro attività illegale.

L’incidente deve essere segnalato tempestivamente al team IT o al reparto sicurezza della tua azienda, nonché alle autorità competenti, per avviare le dovute indagini. Assicurati anche di rispettare le normative in materia di notifica delle violazioni dei dati.

È importante, inoltre, informare tutte le parti coinvolte, come dipendenti, clienti e partner, riguardo all’attacco e alle misure di recupero in corso. Successivamente, è necessario valutare l’impatto, identificando i sistemi e i dati colpiti.

Nel caso tu disponga di backup non compromessi dal ransomware, prova a recuperare i file interessati tramite questi salvataggi. Infine, rimuovi il ransomware dal sistema, correggi le vulnerabilità sfruttate dagli aggressori e implementa ulteriori misure di sicurezza per prevenire attacchi futuri.

Come rimuovere un ransomware?

Come abbiamo visto, la prima azione da eseguire nel processo rimozione di un ransomware è isolare i dispositivi infetti. Scollega immediatamente qualsiasi dispositivo compromesso da connessioni via cavo o wireless, unità USB, dischi rigidi esterni e account di archiviazione cloud, in modo evitare che il malware possa diffondersi ulteriormente. Verifica, inoltre, che i dispositivi collegati non siano già stati anch’essi infettati.

Il secondo passo è identificare il tipo di ransomware che ha colpito il dispositivo, poiché conoscere la forma specifica può facilitarne la rimozione. Per questo, potrebbe essere necessario chiedere l’assistenza di un esperto di cybersecurity o utilizzare un software apposito per la diagnosi.

Successivamente, occorre verificare se il ransomware sia ancora presente sul dispositivo, poiché in alcuni casi può auto-eliminarsi dopo aver crittografato i file. Se il malware è ancora attivo, utilizza un programma antimalware o antiransomware per isolarlo e rimuoverlo. Data la complessità di questa operazione, è consigliabile rivolgersi a un professionista che possa individuare e rimuovere manualmente il programma infetto.

Infine, se disponi di backup sicuri e aggiornati, ripristina il sistema utilizzando questi dati per riportarlo a uno stato precedente all’infezione. Prima di procedere, però, assicurati che i backup siano privi di software malevoli prima di procedere.

Conclusioni

Il ransomware rappresenta una minaccia informatica sempre più diffusa e pericolosa, capace di compromettere gravemente aziende, organizzazioni e dati personali degli individui. La chiave per difendersi da questi attacchi è la prevenzione, attraverso misure proattive come backup regolari, formazione del personale, implementazione di sistemi di sicurezza avanzati e gestione tempestiva delle vulnerabilità.

In caso di attacco, è fondamentale agire rapidamente, isolare il sistema, evitare di pagare il riscatto e avvalersi di esperti di sicurezza informatica per il ripristino dei dati.