What Is Ransomware?

Come funziona il ransomware?

Ransomware uses asymmetric encryption. che utilizza una coppia di chiavi per cifrare e decifrare un file. La coppia di chiavi pubblica-privata viene generata in modo univoco dall'aggressore per una specifica vittima. La chiave privata, necessaria per decifrare i file, viene memorizzata nel server dell'estorsore stesso. Quest'ultimo mette la chiave privata a disposizione della vittima solo dopo il pagamento del riscatto, anche se non è sempre così, come si è visto in recenti campagne di ransomware. Senza l'accesso alla chiave privata, decifrare i file tenuti in ostaggio è pressoché impossibile.

Esistono diverse varianti di ransomware. Spesso il ransomware (e altro malware) viene distribuito utilizzando campagne spam via email o attraverso attacchi mirati. Il malware ha bisogno di un vettore di attacco per stabilire la propria presenza in un endpoint, dopodiché rimane nel sistema finché non porta a termine il proprio compito.

Se un exploit ha avuto successo, il ransomware rilascia ed esegue nel sistema infettato un file binario dannoso che cerca e crittografa i file importanti, come documenti, immagini, database di Microsoft Word e così via. Il ransomware può anche sfruttare le vulnerabilità del sistema e della rete per diffondersi ad altri sistemi e infine a intere organizzazioni.

Una volta crittografati i file, il ransomware richiede all'utente di pagare un riscatto entro 24-48 ore per decrittografarli, altrimenti andranno perduti per sempre. Se non è disponibile un backup dei dati o se anch'esso è stato crittografato, per recuperare i file personali la vittima deve pagare il riscatto.

Perché il ransomware si sta diffondendo?

Gli attacchi ransomware e le loro varianti si stanno rapidamente evolvendo contro le tecnologie preventive, per diversi motivi:

• Facile disponibilità dei kit di malware che possono essere utilizzati per creare nuovi campioni di malware su richiesta
• Utilizzo di noti interpreti generici validi per creare ransomware multipiattaforma (ad esempio, Ransom32 utilizza Node.js con un payload JavaScript)
• Utilizzo di nuove tecniche, come la crittografia dell'intero disco anziché di file selezionati

I ladri di oggi non devono nemmeno essere esperti di tecnologia. Online sono spuntati punti vendita di ransomware che offrono ceppi di malware per qualsiasi aspirante criminale informatico e generano ulteriori profitti per gli autori del malware stesso, i quali spesso chiedono una quota dei proventi dei riscatti.

Perché è così difficile trovare gli autori del ransomware?

L'uso di criptovalute anonime per il pagamento, come bitcoin, rende difficile seguire la pista del denaro e rintracciare i criminali. Sempre di più i gruppi di cybercrime escogitano schemi di ransomware per realizzare un rapido profitto. La facile disponibilità di codice open source e di piattaforme per lo sviluppo del ransomware con funzione di trascinamento, accelera la creazione di nuove varianti e aiuta i principianti degli script a creare il proprio ransomware. In genere i malware all'avanguardia come i ransomware sono polimorfici per progettazione, il che consente ai criminali informatici di aggirare facilmente la tradizionale sicurezza basata sulle firme ossia sugli hash dei file.

Che cos'è il RaaS (Ransomware-as-a-Service)?

Il Ransomware-as-a-Service è un modello economico del crimine informatico che consente agli sviluppatori di malware di guadagnare dalle proprie creazioni senza bisogno di distribuirle. Vengono infatti acquistate dai criminali non tecnici, che lanciano le infezioni e versano poi agli sviluppatori una percentuale del profitti. Gli sviluppatori corrono relativamente pochi rischi, mentre la maggior parte del lavoro è svolta dai loro clienti. Alcune istanze di Ransomware-as-a-Service utilizzano abbonamenti mentre altre richiedono la registrazione per ottenere l'accesso al ransomware.

Come difendersi dal ransomware

Per evitare il ransomware e mitigare i danni in caso di attacco, seguire questi suggerimenti:

• Effettuare il backup dei dati. Il modo migliore per evitare la minaccia di essere esclusi dai propri file critici è assicurarsi di avere sempre copie di backup di essi, preferibilmente nel cloud e su un disco rigido esterno. In questo modo, se si subisce un'infezione di ransomware, si può cancellare il computer o dispositivo e reinstallare i file dal backup. I dati sono così al sicuro e non si verrà tentati di premiare gli autori del malware pagando un riscatto. I backup non prevengono il ransomware, ma possono mitigare i rischi.
• Proteggere i backup. Assicurarsi che i dati di backup non siano accessibili per la modifica o l'eliminazione dai sistemi in cui risiedono i dati. Il ransomware cercherà i backup dei dati per crittografarli o eliminarli in modo che non possano essere recuperati, quindi bisogna utilizzare dei sistemi che non consentano l'accesso diretto ai file di backup.
• Usare un software di sicurezza e mantenerlo aggiornato. Assicurarsi che tutti i computer e dispositivi siano protetti con un software di sicurezza esaustivo e mantenuto aggiornato. Assicurarsi di aggiornare il software dei dispositivi presto e spesso, poiché ogni aggiornamento include generalmente le patch per i difetti.
• Praticare la navigazione sicura. Attenzione a dove si fa clic. Non rispondere alle email e ai messaggi di testo di persone che non si conoscono e scaricare le applicazioni solo da origini affidabili. Questo è importante poiché gli autori di malware utilizzano spesso il social engineering per indurre all'installazione dei file pericolosi.
• Usare solo reti sicure. Evitare l'uso delle reti Wi-Fi pubbliche, poiché molte di esse non sono sicure e i criminali informatici possono spiare l'utilizzo di Internet. Considerare invece l'installazione di una VPN, che fornisce una connessione sicura a Internet ovunque si vada.
• Restare informati. Tenersi aggiornati sulle ultime minacce di ransomware in modo da sapere a cosa prestare attenzione. Nel caso in cui si riceva un'infezione di ransomware e non sia stato eseguito il backup di tutti i file, è bene sapere che alcune società tecnologiche mettono a disposizione alcuni strumenti di decrittografia per aiutare le vittime.
• Attuare un programma di sensibilizzazione alla sicurezza. Impartire regolarmente una formazione di sensibilizzazione alla sicurezza a ogni membro dell'organizzazione, in modo che possa evitare il phishing e gli altri attacchi di social engineering. Condurre esercitazioni e test regolari per assicurarsi che la formazione venga osservata.

Dati fondamentali sulla risposta agli eventi di ransomware

Le seguenti tendenze sono comunemente osservate dai nostri esperti di risposta agli eventi in prima linea, quando indagano e risolvono il ransomware.

Tempo di permanenza medio degli attacchi di ransomware (in giorni)

Il tempo medio di permanenza per gli attacchi di ransomware è di 72,75 giorni, rispetto ai 56 giorni di tutte le minacce (compreso il ransomware).

Giorni della settimana preferiti per la distribuzione del ransomware

Days of the week highlighted above represent when deployment and execution of the ransomware attack begins, not when the attacker gains initial access.

Ridurre al minimo i rischi e il tempo di permanenza del ransomware

Focus on attacker behavior to reduce the average dwell time of a strategic ransomware actor
from 72 days to only 24 hours or less.

9 passi per rispondere a un attacco di ransomware

If you suspect you’ve been hit with a ransomware attack, it’s important to act quickly. Fortunatamente, ci sono alcuni passi da seguire per avere le maggiori possibilità di ridurre al minimo i danni e tornare rapidamente alla normalità.

1. Isolare il dispositivo infetto: se colpisce un solo dispositivo, il ransomware è un inconveniente moderato. Se invece gli si consente di infettare tutti i dispositivi è una catastrofe, che potrebbe provocare il fallimento dell'azienda. La differenza tra i due scenari spesso sta nel tempo di reazione. Per garantire la sicurezza della rete, delle unità di condivisione e di altri dispositivi, è essenziale disconnettere il dispositivo interessato dalla rete, da Internet e dagli altri dispositivi il più rapidamente possibile. Prima lo si fa, minore è la probabilità che altri dispositivi vengano infettati.
2. Fermare la diffusione: poiché il ransomware si muove rapidamente e il dispositivo infetto non è necessariamente il paziente zero, l'isolamento immediato non garantisce che il ransomware non esista altrove sulla rete. Per limitarne efficacemente la portata, bisogna disconnettere dalla rete tutti i dispositivi che si comportano in modo sospetto, inclusi quelli operanti fuori sede: se sono connessi alla rete, rappresentano un rischio ovunque si trovino. Anche disattivare la connettività wireless (Wi-Fi, Bluetooth ecc.) a questo punto è una buona idea.
3. Valutare i danni: per determinare quali dispositivi sono stati infettati, controllare i file crittografati di recente con strane estensioni e cercare le segnalazioni di nomi di file strani o di utenti che hanno problemi ad aprire dei file. If you discover any devices that haven’t been completely encrypted, they should be isolated and turned off to help contain the attack and prevent further damage and data loss. L'obiettivo è quello di creare un elenco completo di tutti i sistemi interessati, inclusi i dispositivi di archiviazione di rete, l'archiviazione nel cloud, l'archiviazione su disco rigido esterno (incluse le chiavette USB), i computer portatili, gli smartphone e qualsiasi altro possibile vettore. A questo punto, è prudente bloccare le condivisioni. Se possibile, vanno limitate tutte o il maggior numero possibile. In questo modo si interromperanno tutti i processi di crittografia in corso e si eviterà anche che ulteriori condivisioni vengano infettate mentre si attua il processo di correzione. Ma prima di farlo, è consigliabile dare un'occhiata alle condivisioni crittografate. Ciò può fornire un'informazione utile: se un dispositivo ha un numero di file aperti molto più alto del solito, quello potrebbe essere il paziente zero. In caso contrario…
4. Individuare il paziente zero: il monitoraggio dell'infezione diventa notevolmente più semplice una volta identificata la fonte. Per fare ciò, controllare eventuali avvisi che potrebbero provenire da antivirus/antimalware, EDR o qualsiasi piattaforma di monitoraggio attiva. E poiché la maggior parte dei ransomware entra nelle reti tramite collegamenti e allegati email dannosi, che richiedono un'azione da parte dell'utente finale, può essere utile anche chiedere alle persone informazioni sulle loro attività (come l'apertura di email sospette) e su ciò che hanno notato. Infine, anche dare un'occhiata alle proprietà dei file stessi può fornire un indizio: la persona indicata come proprietario è probabilmente il punto di ingresso (tenere presente, tuttavia, che può esserci più di un paziente zero).
5. Identificare il ransomware: prima di procedere ulteriormente è importante scoprire con quale variante di ransomware si ha a che fare. Un modo è quello di visitare No More Ransom, un'iniziativa mondiale di cui fa parte Trellix. Il sito ha una suite di strumenti per agevolare la liberazione dei dati, incluso lo strumento Crypto Sheriff: basta caricare uno dei file crittografati, che verrà scansionato per trovare una corrispondenza. Si possono anche utilizzare le informazioni incluse nella nota di riscatto: se non indica direttamente la variante del ransomware, può essere utile immettere l'indirizzo email o la nota stessa in un motore di ricerca. Dopo aver identificato il ransomware e fatto un po' di ricerche rapide sul suo comportamento, bisogna avvisare il prima possibile tutti i dipendenti non colpiti in modo che sappiano come individuare gli indicatori di infezione.
6. Denunciare il ransomware alle autorità: non appena il ransomware è stato contenuto è consigliabile contattare le forze dell'ordine, per diversi motivi. Innanzitutto il ransomware è illegale e, come qualsiasi altro reato, va denunciato alle autorità competenti. In secondo luogo, come afferma l'FBI (Federal Bureau of Investigation): "Le forze dell'ordine potrebbero essere in grado di utilizzare mandati e strumenti non disponibili alla maggior parte delle organizzazioni". Le collaborazioni con le forze dell'ordine internazionali possono essere sfruttate per trovare i dati rubati o crittografati e consegnare i colpevoli alla giustizia. Infine, l'attacco può avere implicazioni sulla conformità: ai sensi del GDPR, se non notifica al garante della privacy entro 72 ore una violazione che interessa i dati dei cittadini dell'UE, un'azienda potrebbe incorrere in multe salate.
7. Valutare i propri backup: ora è il momento di iniziare il processo di risposta. Il modo più rapido e semplice per farlo è di ripristinare i sistemi da un backup. Idealmente, bisogna avere un backup non infetto e completo creato abbastanza di recente da essere utile. In tal caso, il passaggio successivo consiste nell'utilizzare una soluzione antivirus/antimalware per garantire che tutti i sistemi e i dispositivi infetti vengano ripuliti dal ransomware, che altrimenti continuerà a bloccare il sistema e a crittografare i file, danneggiando potenzialmente il backup. Una volta eliminate tutte le tracce di malware, sarà possibile ripristinare i sistemi a partire dal backup e, una volta verificato che tutti i dati siano stati ripristinati e che tutte le applicazioni e i processi siano di nuovo in funzione, si potrà tornare alla normale attività. Purtroppo molte organizzazioni non si rendono conto dell'importanza di creare e mantenere i backup fino a quando non ne hanno bisogno e non ne hanno. Poiché il ransomware moderno è sempre più sofisticato e resistente, alcuni di coloro che creano i backup scoprono presto che il ransomware li ha corrotti o crittografati, rendendoli completamente inutili.
8. Research your decryption options: If you find yourself without a viable backup, there’s still a chance you can get your data back. A growing number of free decryption keys can be found at No More Ransom. Se ce n'è una per la variante di ransomware con cui si ha a che fare (e supponendo di aver già cancellato tutte le tracce di malware dal sistema), si potrà utilizzare la chiave di decrittografia per sbloccare i dati. Anche se si ha la fortuna di trovare una chiave, tuttavia non è ancora finita: il processo di correzione può richiedere ore o giorni di inattività.
9. Move on: Unfortunately, if you have no viable backups and cannot locate a decryption key, your only option may be to cut your losses and start from scratch. La ricostruzione non sarà un processo né rapido né economico, ma una volta esaurite le altre opzioni, è il meglio che si può fare.

Perché non dovrei semplicemente pagare il riscatto?

Di fronte alla possibilità di settimane o mesi per il ripristino, si potrebbe essere tentati di cedere a una richiesta di riscatto, ma ci sono diversi motivi per cui questa è una cattiva idea.

• Si potrebbe non ottenere mai la chiave. Quando si paga un riscatto, si dovrebbe ricevere in cambio una chiave di decrittografia, ma durante una transazione di ransomware ci si deve fidare dei criminali. Molte persone e organizzazioni hanno pagato il riscatto per poi non ricevere nulla in cambio: hanno quindi perso decine o centinaia o migliaia di dollari trovandosi comunque a dover ricostruire i propri sistemi da zero.
• Si potrebbero ricevere ripetute richieste di riscatto. Una volta pagato un riscatto, si è alla mercé dei criminali informatici che hanno distribuito il ransomware. Potrebbero dare una chiave funzionante solo se si è disposti pagare un po' (o molto) di più.
• Si potrebbe ricevere una chiave di decrittografia che funziona (più o meno). I creatori di ransomware non operano nel settore del recupero file, ma del fare soldi. In altre parole, la chiave ricevuta potrebbe essere sufficiente solo a far affermare ai criminali di aver mantenuto la loro parte dell'accordo. Inoltre, non è raro che il processo di crittografia stesso danneggi alcuni file in modo irreparabile. In tal caso, anche una chiave di decrittografia buona non sarà in grado di sbloccare i file, che andranno perduti per sempre.
• Si potrebbe diventare un bersaglio preferito. Una volta che si paga un riscatto, si diventa un buon investimento per i criminali. Un'organizzazione con precedenti di pagamento del riscatto è un obiettivo più allettante di uno nuovo che potrebbe o non potrebbe pagare. Cosa impedirà allo stesso gruppo di criminali di attaccare di nuovo tra un anno o due o di accedere a un forum e indicare ad altri criminali informatici un bersaglio facile?
• Even if everything somehow ends up fine, you’re still funding criminal activity Say you pay the ransom, receive a good decryptor key, and get everything back up and running. Questo è semplicemente il miglior scenario negativo (e non solo perché si buttano un sacco di soldi). Pagando il riscatto si finanziano delle attività criminose. Tralasciando le ovvie implicazioni morali, si rafforza l'idea che il ransomware sia un modello di business che funziona. D'altronde, se nessuno pagasse mai un riscatto, non varrebbe la pena diffondere il ransomware. Galvanizzati dal successo e dagli enormi profitti, questi criminali continueranno a devastare aziende ignare, dedicando tempo e denaro allo sviluppo di ceppi di ransomware nuovi e ancora più nefasti, uno dei quali potrebbe incrociare di nuovo la strada di una vittima che ha pagato.