Cosa sono gli attacchi ransomware?

I ransomware sono in aumento

Negli ultimi anni gli attacchi ransomware si sono evoluti rapidamente, diventando più frequenti, elusivi e costosi. I nuovi modelli di Ransomware as a Service (RaaS) offrono soluzioni già pronte per consentire agli aspiranti aggressori di generare profitti, anche se questi non dispongono di competenze specifiche.

Allo stesso tempo, gli aggressori stanno usando vecchie tecniche con nuove modalità. Alcuni ricorrono alla doppia estorsione, aumentando la pressione sulle loro vittime con la combinazione di crittografia e furto dei dati; altri iniziano a lanciare attacchi senza crittografia, per concentrarsi esclusivamente sulla minaccia della fuga di dati.

Con la diffusione di nuove tecniche, i metodi tradizionali di recupero e decifrazione dei file stanno diventando meno affidabili. In questo panorama di minacce, è più importante che mai concentrarsi sulla prevenzione.

Come funzionano gli attacchi ransomware?

Una tipica sequenza di attacco ransomware è simile a quella che segue:

Compromissione iniziale

Molti attacchi ransomware iniziano con e-mail di phishing. Potrebbero provenire da rivenditori, banche o altre entità e riguardare ritardi nelle consegne, transazioni fraudolente e così via. Queste e-mail includono file o link infetti che, una volta aperti, rilasciano un malware sul dispositivo della vittima per lanciare un attacco.

Movimento laterale

Una volta che il malware infetta un dispositivo, l'attacco si diffonde. Se il dispositivo infetto si trova su una rete, il malware tenterà di compromettere un controller di dominio o di rubare le credenziali che gli consentiranno di spostarsi attraverso la rete e infettare altri dispositivi.

Esecuzione

Una volta ottenuto un accesso sufficiente, il malware viene eseguito ed esfiltra e/o ruba i dati della vittima, la quale, infine, riceve una richiesta di riscatto, in genere riportante un limite di tempo decorso il quale i dati verranno venduti, divulgati o persi. Se la vittima paga, gli aggressori che utilizzano strategie di crittografia tipicamente promettono di fornire una chiave di decifrazione per sbloccare i dati. Tuttavia, questa spesso non funziona, oppure non viene fornita.

Come si sono evoluti gli attacchi ransomware?

Il primo attacco ransomware noto si è verificato nel 1989. In seguito a una conferenza dell'Organizzazione Mondiale della Sanità sull'AIDS, i partecipanti hanno ricevuto dei floppy disk di "Informazioni sull'AIDS" contenenti un virus trojan. Il trojan cifrava i file su un sistema infetto e poi chiedeva alla vittima di inviare un pagamento di 189 dollari a un indirizzo di Panama per ripristinare l'accesso.

Nei primi anni '90 arrivò lo "scareware", così chiamato per l'uso dell'ingegneria sociale basata sulla paura. I computer infetti mostravano un messaggio di errore seguito da un link per acquistare e scaricare un software che avrebbe risolto il problema. (Naturalmente il software era solitamente un altro malware, spesso progettato per rubare dati). Lo scareware persiste ancora oggi in molte forme, come malspam e pop-up del browser.

La pratica della condivisione dei file ha reso particolarmente diffusa una categoria di ransomware chiamata screen locker. Invece di cifrare i file, questi bloccavano il sistema dell'utente e richiedevano un riscatto o una "multa" (citando spesso la polizia, l'FBI, ecc.). In realtà, molti locker limitano semplicemente il movimento del mouse, e il riavvio del sistema potrebbe essere sufficiente per ripristinarne il normale funzionamento. Ciononostante, la paura ha spinto molte vittime a pagare.

Il legame tra ransomware e criptovaluta

All'inizio, venivano richiesti riscatti di qualche centinaio di dollari a singoli utenti. Inoltre, i pagamenti del riscatto venivano solitamente effettuati con normali carte di pagamento, rendendo le transazioni molto più facili da tracciare e gli autori delle minacce più facili da catturare.

Oggi però, le innovazioni nel campo della criminalità informatica e della tecnologia crittografica hanno contribuito a far esplodere la popolarità dei ransomware. In particolare, le criptovalute, ovvero valute digitali basate sull'anonimato e sulla crittografia, hanno consentito agli utenti malintenzionati di coprire le proprie tracce rendendo le transazioni praticamente irrintracciabili.

Ransomware as a Service (RaaS)

Gli strumenti RaaS (Ransomware as a Service), nati di conseguenza a tale popolarità e successo, sono spesso economici e basati su abbonamenti, proprio come le offerte SaaS legali. Molti sono facilmente reperibili sul dark web, e consentono anche a persone senza competenze di programmazione di lanciare un attacco informatico e ottenere una parte dei profitti. Alcuni provider RaaS offrono addirittura supporto tecnico e programmi bug bounty a pagamento.

Doppia estorsione

I miglioramenti nelle tecnologie di backup e di decifrazione dei dati hanno però iniziato a spostare l'ago della bilancia a favore delle vittime. In risposta, nel 2019 un gruppo criminale chiamato TA2102 ha perpetrato il primo attacco ransomware a doppia estorsione di alto profilo, cifrando ed esfiltrando i dati della vittima per poi minacciarne la divulgazione a meno che non fossero pagati 2,3 milioni di dollari in bitcoin. Così facendo, anche se la vittima fosse riuscita a ripristinare i propri dati, se avesse deciso di non pagare, avrebbe comunque subito una grave violazione dei dati.

Ransomware senza crittografia

Nel 2022 e nel 2023, è emersa una tendenza insidiosa che ha ridefinito il modo centrale in cui i ransomware agiscono. Gli attacchi ransomware senza crittografia sono un'evoluzione, ma anche una sorta di regressione, in quanto i file delle vittime non vengono cifrati. Gli aggressori si concentrano quindi solo sull'esfiltrazione dei dati sensibili, in modo da fare pressione per l'estorsione.

Le vittime di questi attacchi tendono a operare in settori che gestiscono informazioni personali altamente sensibili, come quello legale o sanitario. Dato che la loro preoccupazione principale è di impedire la fuga dei propri dati, molte organizzazioni sono spinte a pagare il riscatto indipendentemente dalla cifratura. Inoltre, le vittime possono recuperare i dati non cifrati più rapidamente e facilmente, e questo aspetto spesso porta a pagamenti più rapidi.

Tipi/esempi di attacchi ransomware

Tra le varie tipologie di ransomware e di gruppi di ransomware, alcuni dei più comuni e conosciuti sono:

• CryptoLocker: questo ransomware, caratterizzato da una potente crittografia e da una massiccia botnet, ha avuto molto successo nel 2013 e nel 2014, e continua a ispirare attacchi che ne imitano la tecnica.
• WannaCry: un criptoworm che prende di mira il sistema operativo Windows, e che dal suo rilascio nel 2017 ha colpito più di 300.000 sistemi in tutto il mondo (un numero che continua a crescere). A causa della sua portata e diffusione globale, rimane uno degli attacchi ransomware più grandi della storia.
• NonPetya: apparso subito dopo WannaCry, NotPetya sembrava essere una nuova versione del ransomware Petya del 2016. Tuttavia, non c'era modo di recuperare i dati cifrati. L'attacco era in realtà un violento "destructionware" attribuito al gruppo di hacker russi Sandworm.
• Ryuk: questo ceppo di ransomware è stato collegato a una serie di gruppi che hanno colpito settori come la sanità, la pubblica amministrazione e l'istruzione, in particolare i sistemi scolastici statunitensi.
• REvil: noto per le violazioni nei settori legale, dell'intrattenimento e pubblico, REvil ha lanciato una raffica di attacchi tra maggio 2020 e ottobre 2021, incluso l'attacco a Kaseya VSA.
• DarkSide: questa variante di ransomware, responsabile dell'attacco a Colonial Pipeline del 2021, è uno degli esempi più famosi di ransomware a doppia estorsione. DarkSide è una comune variante "as a service", in cui i licenziatari condividono i profitti.
• GandCrab: il report del 2021 "Ransomware in a Global Context " di VirusTotal ha citato GandCrab come l'attacco ransomware più diffuso dell'anno, attribuendolo al 78,5% dei campioni prelevati.
• LockBit: uno strumento di creazione di questo sofisticato ransomware è emerso alla fine del 2022. Nelle mani di innumerevoli nuovi aggressori, è stata la variante più prolifica del 2023, con oltre 800 vittime note di fughe di dati.

Come può essere distribuito il ransomware?

Gli aggressori escogitano sempre nuovi metodi per diffondere i ransomware, ma alcuni si distinguono come i più popolari ed efficaci. I principali vettori di attacco ransomware sono:

• Phishing: e-mail o messaggi analoghi ingannevoli solitamente contenenti dei collegamenti o allegati infetti che inducono gli utenti a consentire l'ingresso di ransomware nel proprio sistema.
• Download drive-by: gli aggressori sfruttano le vulnerabilità presenti nei software, nel sistema operativo o nel browser per far partire download furtivi di ransomware quando le vittime interagiscono con siti web o collegamenti compromessi.
• Vulnerabilità dei software: gli aggressori sfruttano i punti deboli nelle applicazioni o nei sistemi che forniscono punti di ingresso in una rete da cui riescono a distribuire direttamente il ransomware.
• Siti web dannosi: gli aggressori creano siti fraudolenti che ospitano ransomware e poi convincono i visitatori a scaricarli con falsi pretesti.
• Attacchi watering hole: gli aggressori compromettono siti web legittimi utilizzati dalle vittime e utilizzano l'ingegneria sociale per indurre i visitatori a scaricare il ransomware.
• Attacchi RDP (Remote Desktop Protocol): gli hacker ottengono l'accesso illecito alle connessioni RDP, generalmente violando o rubando le credenziali di accesso per distribuire il ransomware direttamente su una rete target designata.
• Malvertising (pubblicità dannosa): gli aggressori inseriscono annunci infetti su siti web altrimenti legittimi e, quando le vittime interagiscono con questi annunci, il ransomware infetta il sistema.

Il riscatto va pagato?

La domanda più difficile che molte vittime dei ransomware si pongono è: "Bisogna pagare o no?"

Molte organizzazioni sono disposte a pagare per proteggere i propri dati, ma è davvero la decisione giusta? Numerosi report dal 2021 hanno rilevato che circa l'80% delle organizzazioni che lo fanno subiscono comunque attacchi ripetuti. Oltre a ciò, come ha affermato il CISO Brad Moldenhauer: "... il pagamento dei riscatti digitali potrebbero favorire il terrorismo, cosa che già accade con il crimine informatico".

Considera anche questi altri aspetti:

• Non esiste alcuna garanzia di recuperare i dati, sempre presupponendo che questo fosse l'intento dell'aggressore sin dal principio (leggi di più su NotPetya).
• In alcune circostanze e ordinamenti, il pagamento di un riscatto è illegale. Leggi di più.
• In caso di doppia estorsione, anche se i dati vengono recuperati, gli aggressori hanno comunque copie che, in caso di mancato pagamento, possono rendere pubbliche.

Spesso la scelta dipende dalle circostanze specifiche. Dovrai valutare in che modo una violazione e una possibile perdita di dati incideranno sulle tue operazioni, gli utenti e i clienti.

Quali sono gli effetti dei ransomware sulle aziende?

Il ransomware colpisce organizzazioni di ogni tipo in tutto il mondo, e ogni anno è associato a un numero sempre maggiore di attacchi. Può avere effetti negativi sui ricavi, sull'opinione pubblica e molto altro.

Fatturato e/o dati persi

Scegliere tra perdere dati e perdere denaro è un dilemma pericoloso, in particolare nei settori che gestiscono i dati sensibili. Se si ignorano le richieste di riscatto, si rischia di incorrere in una perdita di dati. Anche qualora si decidesse di pagare, non c'è alcuna garanzia di rientrare in possesso dei dati.

Danno alla reputazione

Che si paghi o meno, si è comunque obbligati a denunciare il crimine, e questo può comportare la copertura mediatica del caso. Se questo accade, l'azienda può perdere soldi, fiducia dei clienti o entrambe le cose, anche se l'attacco non è stato causato da una negligenza dell'organizzazione.

Ripercussioni legali

In un numero crescente di Stati degli USA, pagare un riscatto è illegale nella maggior parte dei casi. Anche altre giurisdizioni in tutto il mondo stanno valutando statuti simili. Inoltre, una violazione può comportare un ulteriore controllo normativo, che può portare a sua volta a sanzioni e altre spese legali.

Come rimuovere i ransomware

Se sospetti un'infezione da ransomware, devi adottare immediatamente alcune misure fondamentali per impedirne la diffusione. In seguito, in alcuni casi è possibile rimuovere l'infezione ransomware. Inizia con:

Passaggio 1: isolare i dispositivi infetti Scollegali da qualsiasi connessione cablata o wireless e, se necessario, anche dall'alimentazione CA, per prevenire la diffusione dell'infezione. Se rilevi un ransomware prima che venga eseguito, potrebbe essere possibile rimuoverlo prima che l'aggressore presenti la richiesta di riscatto.

Passaggio 2: determinare cosa si ha davanti. Consulta il tuo team IT o di sicurezza per identificare l'infezione e comprendere come procedere. Potrai trovare strumenti di decifrazione per alcune varianti, ma è importante non fare affidamento su di essi. I decryptor sono spesso inefficaci contro i ransomware più sofisticati, e non sono di grande aiuto nel caso della doppia estorsione.

Passaggio 3: recuperare i dati persi. Di solito, per farlo è necessario ripristinarli da un backup. Effettuare backup periodici è l'unico modo per assicurarsi di poter recuperare i dati. Se recuperare i dati è impossibile, prima di pagare un riscatto, vanno considerate attentamente le potenziali conseguenze legali e finanziarie.

Passaggio 4: rimuovere il ransomware. In questo caso, avrai probabilmente bisogno dell'aiuto di un professionista della sicurezza, e potrebbe essere opportuno rivolgersi anche alle autorità, come l'FBI. Il tuo supporto dovrebbe indagare sulla causa principale dell'infezione e determinare la vulnerabilità che ha consentito l'attacco.

Passaggio 5: valutare e affrontare la causa radice. Adotta misure per rafforzare le difese nei passaggi in cui hanno fallito, che si tratti dell'exploit di una backdoor, di un difetto nel filtraggio della posta elettronica, formazione degli utenti insufficiente o altro. Gli attacchi ripetuti accadono e possono sempre accadere, ed è importante farsi trovare preparati.

La prevenzione dei ransomware è fondamentale

La realtà è che, una volta che gli aggressori cifrano o esfiltrano i dati, la partita è persa. Ecco perché prevenire le infezioni ransomware è la vera chiave per difendersi.

È impossibile fermare tutti gli attacchi che arrivano, ma con la due diligence, una formazione che sensibilizzi i dipendenti sulla tematica della sicurezza e la giusta tecnologia, è possibile ridurre al minimo i rischi. Avrai bisogno di una strategia anti-ransomware efficace che includa principi e strumenti in grado di:

• Ispezionare e mettere in quarantena i contenuti sospetti con una sandbox basata sull'intelligenza artificiale
• Ispezionare tutto il traffico criptato con TLS/SSL
• Implementare una protezione sempre attiva, seguendo le connessioni fuori dalla rete

L'abbinamento di soluzioni moderne a un approccio difensivo proattivo è il modello di protezione dai ransomware più efficace nelle attuali strategie di sicurezza informatica.

Cosa può fare Zscaler

Zscaler offre una protezione dai ransomware nativa nel cloud per difendere i tuoi dati durante l'intero ciclo di vita dell'attacco. La nostra architettura zero trust, collaudata a livello globale e distribuita tramite cloud, ti consente di:

Eliminare la superficie di attacco
Rendi tutti i punti di ingresso invisibili agli aggressori. L'architettura zero trust non espone mai gli utenti, le reti o le applicazioni a Internet.

Prevenire la compromissione iniziale
Ispeziona il 100% delle connessioni in entrata e in uscita Le minacce vengono bloccate prima ancora che possano causare danni.

Bloccare il movimento laterale
Stabilisci connessioni univoche tra utenti, workload e applicazioni, in modo che la rete rimanga invisibile agli aggressori.

Bloccare l'esfiltrazione dei dati
Ispeziona tutto il traffico in tempo reale e su scala cloud. I dati sensibili non escono mai dalla rete tramite una connessione non attendibile.