Attacco Ransomware: Cos'è e Come Proteggersi

I ransomware sono una delle minacce più pericolose per le aziende, i privati e le istituzioni. Si tratta infatti di attacchi che possono propagarsi velocemente all'interno di una rete privata, azzerando la produttività fino alla risoluzione del problema.

Visto che la maggior parte degli attacchi informatici ai PC riguarda appunto i ransomware, nei paragrafi successivi di questa guida è possibile scoprire cos'è un attacco ransomware, come funziona, quali sono gli attacchi ransomware più famosi e cosa è possibile fare per difendersi efficacemente.

Oltre alla prevenzione, è fondamentale anche prendersi cura delle postazioni infettate dai virus ransomware, eliminando le minacce prima che queste possano arrecare ulteriori danni e propagare l'infezione alle postazioni o ai dispositivi non ancora colpiti.

Le migliori offerte di antivirus del mese

Cos'è un ransomware (definizione)

 

I ransomware (termine derivante dall'inglese "ransom", il cui significato è "riscatto") sono dei tipi di malware complessi in grado di bloccare l'attività dell'utente sul PC: questi uniscono alle caratteristiche dei trojan gli strumenti di cifratura più avanzati. I ransomware, una volta eseguiti sul computer, rendono impossibile eseguire qualsiasi operazione (anche muovere il mouse). Per sbloccare il PC, i cyber criminali chiedono una somma di denaro.

Non a caso, la definizione e traduzione letterale del termine ransomware è proprio "virus del riscatto".

Questi pericolosi malware mostrano una schermata di blocco con avvisi a tempo, pieni di minacce pensate appositamente per scatenare paura e per convincere le vittime a pagare la somma di denaro richiesta, utilizzando canali di pagamento non rintracciabili come le criptovalute.

La caratteristica più pericolosa di questi malware è il sistema di cifratura dei file: una volta eseguito, infatti, il ransomware cifra i file presenti sul computer in archivi compressi, bloccando quindi l'accesso a documenti, foto, immagini e qualsiasi altro file presente sul dispositivo; anche in caso di rimozione della minaccia principale, i file risulteranno comunque non accessibili senza la password fornita dai malintenzionati solo dietro pagamento della somma di denaro.

Pagare la somma richiesta dai malintenzionati non è sempre la scelta più saggia: non c'è alcuna garanzia che mantengano la parola data, infatti, e nulla vieta all'hacker di avviare subito una nuova infezione, ripetendo il ricatto all'infinito.

Come funzionano i ransomware

Dopo aver visto cosa sono i ransomware, è importante soprattutto capire come funzionano. Come si prende un ransomware? Un virus di questo tipo può insidiarsi all'interno dei computer in diversi modi, ma i più utilizzati sono sicuramente il phishing via email (o tramite messaggi social) e i link di siti compromessi, modificati per risultare del tutto identici agli originali (che copiano) o destinati esclusivamente alla diffusione del malware.

La relazione tra ransomware e phishing è molto stretta: questo, infatti, è uno strumento molto efficace per diffondere malware. Il malcapitato apre un'email dai contenuti sensazionalistici (conti correnti bloccati, soldi trasferiti da un conto corrente all'altro, ricezione di una grande somma di denaro etc.), preme sul link e avvia il download del ransomware, che spesso viene eseguito senza nessuna interazione da parte dell'utente (basta aprire la pagina infetta per avviare l'infezione).

Il problema dei link presenti nelle email di phishing si ricollega al problema dei siti compromessi, ossia siti dove gli hacker hanno nascosto un attacco ransomware all'interno del codice o degli elementi della pagina (file, immagini etc.): nella maggior parte dei casi basta aprire il sito per ritrovarsi con la schermata di blocco, in altri si dovrà avviare il download di un file e avviarlo per scatenare l'infezione.

Non sono da escludere anche la diffusione tramite PDF, file infetti e download pirata, ma rispetto al passato hanno un'incidenza decisamente minore.

Fasi di un attacco ransomware

Qualsiasi sia il metodo di diffusione utilizzato, l'attacco ransomware, una volta avviato, procede in maniera simile su qualsiasi PC in cui viene eseguito:

1. scala i privilegi del sistema operativo, usando spesso exploit o sistemi non aggiornati;
2. si pone in auto-avvio insieme al PC, modificando i file d'avvio e nascondendosi nei processi di sistema;
3. avvia il sistema di cifratura dei file presenti sul sistema, privilegiando i documenti, i PDF e le immagini;
4. mostra la schermata di blocco del sistema, con il messaggio su come riscattare l'accesso al PC e ai file criptati.

Come si manifesta all'utente, dunque, un ransomware? Semplicemente con una schermata sul PC che blocca tutto il desktop e non può essere chiusa in alcun modo. Questa schermata rende impossibile utilizzare il computer e non è possibile recuperare i file cifrati, nemmeno con sistemi di recupero al di fuori del sistema operativo (come per esempio distribuzioni GNU/Linux). Solo dopo il pagamento viene fornita dagli hacker la chiave di decrittazione del sistema, che lo "pulisce" dal ransomware e sblocca gli archivi cifrati.

Questo però non garantisce che il sistema sia veramente al sicuro dal malware appena rimosso: i file di sistema modificati possono rimanere "silenti" per anni prima di risvegliarsi e dare l'avvio a una nuova infezione da ransomware o da qualsiasi altro virus.

Tipi e gli attacchi di ransomware più noti

Esistono diversi tipi di virus ransomware che possono infettare e criptare i file di qualsiasi computer connesso a Internet. Conoscerli può rivelarsi molto utile per comprendere meglio la minaccia, capire come si comporta e quali rischi si corre a lasciare l'infezione attiva senza intervenire tempestivamente.

• Ransomware crittografico: la tipologia di malware più comune, pensato per bloccare tutti i file presenti sul computer o sulla rete interna. La chiave di cifratura può essere molto difficile da trovare senza usare il codice fornito dall'hacker (che aggiorna e potenzia sempre il sistema di cifratura, così da renderlo sempre più difficile da violare). Rientra in questa categoria il temuto ransomware WannaCry.
• Locker ransomware: spesso incluso all'interno del tipo crittografico, questo malware mostra la classica schermata di blocco che impedisce di avviare qualsiasi applicazione, rendendo impossibile anche l'uso del mouse. I ransomware moderni hanno sia la componente crittografica che il modulo "locker", da mostrare per fornire le informazioni per "riscattare" i file cifrati. Uno dei più famosi malware di questo tipo è CryptoLocker.
• Ransomware DDoS: malware avanzato che avvia attacchi DDoS verso il PC o verso il server su cui viene eseguito. Agisce anche a livello di rete: basta eseguirlo su un terminale per propagare l'infezione sull'intera rete (in stile worm), bloccando infine il server centrale o il server che fornisce il servizio aziendale. Bloccando l'accesso al server e a tutti i dispositivi a esso connessi (specie in ambito aziendale) può azzerare totalmente la produttività, causando danni economici ingenti mentre il servizio o il sito web resta offline. Un esempio di malware di questo tipo è Armada Collective.
• Scareware ransomware: questo malware mostra finti avvisi di virus e di minacce nascoste sul PC, con alert via via sempre più insistenti e impossibili da rimuovere. In ultima istanza blocca totalmente la schermata del computer (ormai invasa dagli avvisi), chiedendo il pagamento di una licenza anti-virus farlocca per poter rimuovere gli alert.
• Ransomware MBR: malware pensato per infettare il master boot record (MBR), ossia il primo settore d'avvio del sistema operativo, così da bloccare anche l'accesso ad altre partizioni e cifrando l'intero disco. Si tratta di un ransomware difficile da rimuovere senza danneggiare il file system e il corretto avvio del sistema, per fortuna è molto raro. Uno dei malware più famosi di questo tipo è Petya.
• Ransomware a doppia estorsione: malware che espongono a una minaccia doppia chiunque venga colpito. Oltre a cifrare i file, i malintenzionati li copiano in cloud, minacciando di rivelare password, dati d'accesso e altre informazioni sensibili sul dark web. Questi malware colpiscono spesso siti istituzionali, siti pubblici e siti con molti utenti connessi.

Una nuova categoria di ransomware, infine, è quella dei RaaS, che meritano un approfondimento a parte.

Cosa è Ransomware-as-a-Service (RaaS)

Visti i facili guadagni che è possibile ottenere con un virus ransomware, molti malintenzionati hanno avviato un vero business sfruttando un altro tipo di malware: il Ransomware-as-a-Service (RaaS).

I malintenzionati forniscono tutte le loro competenze in una vera e propria "vetrina", vendendo le loro abilità e ransomware già pronti all'uso. Chiunque desidera avviare un attacco hacker o ransomware verso un sito o un servizio web non deve far altro che contattare un gestore di RaaS, scegliere il malware o farsene creare uno su misura, pagare con le criptovalute e avviare l'attacco, riducendo quindi il tempo necessario per avviare nuove infezioni e colpire siti, istituzioni, servizi e obiettivi sensibili.

Questo modello di business è ovviamente illegale ma spopola nel dark web, dove è possibile trovare anche "virus in vetrina" pronti per essere utilizzati da malintenzionati non esperti di informatica o che non vogliono perdere troppo tempo a creare da zero un nuovo ransomware, utilizzando gli strumenti messi a disposizione da hacker più abili.

Come difendersi dai ransomware

Finora si è visto cosa è e come funziona un attacco ransomware: a questo punto è fondamentale però capire quali sono le misure "anti ransomware" più efficaci che aiutano a evitare questi pericoli e a difendersi in caso di attacco.

Come per tutti i malware, la migliore difesa è la prudenza, specie quando si gestiscono email aziendali o si ha accesso a server o servizi che coinvolgono altre persone. Per evitare efficacemente i pericoli derivanti da un'infezione ransomware è possibile seguire i seguenti suggerimenti:

1. Creare backup online: i file più importanti vanno salvati su cloud sicuri, così da evitare che possano finire vittima di un attacco cifrato da parte di un ransomware.
2. Utilizzare un antivirus efficace: non tutti gli antivirus gratuiti (come Windows Defender, che si trova preinstallato su Windows 10 e 11) sono in grado di contrastare i ransomware di ultima generazione, intervenendo quando ormai è troppo tardi. Per impedire l'avvio dei malware e bloccare subito i link e le email di phishing infette è consigliabile affidarsi subito a un antivirus commerciale completo e professionale, come per esempio Norton 360 Deluxe che, tra le altre cose, include nel pacchetto anche il Dark Web Monitoring, la protezione minori e una VPN. Questo è ancor più importante se il proprio dispositivo è connesso a una rete aziendale o se si utilizzano spesso servizi web accessibili anche ad altri utenti.
3. Ridurre al minimo il software installato: meno programmi sono installati e meno punti di ingresso saranno presenti all'interno del sistema, specie se si installa solo il minimo indispensabile per lavorare.
4. Aggiornare il sistema operativo: un sistema operativo costantemente aggiornato ridurrà l'impatto di un ransomware, che troverà sempre più difficile scalare i privilegi del sistema se tutte le falle (su cui è stato progettato) sono stati chiuse con un aggiornamento mirato.
5. Aggiornare le applicazioni utilizzate: il browser e il client di posta elettronica devono essere tenuti costantemente aggiornati, così da evitare i pericoli derivati da bug ed exploit presenti sui browser obsoleti. Molte suite antivirus (come per esempio Norton) segnalano le applicazioni non aggiornate e propongono di aggiornarle.
6. Proteggere la connessione di rete: abbinare un firewall e una VPN al sistema aumenterà il livello di protezione dai ransomware e la resistenza a qualsiasi malware. Anche in questo caso scegliere una buona suite di sicurezza come Norton terrà al sicuro dagli attacchi mirati.
7. Salvare le password in un archivio protetto: molti virus ransomware recuperano i dati d'accesso salvati sui computer infetti, rivendendoli successivamente sul dark web. L'utilizzo di un sistema di gestione delle password cloud impedirà il recupero delle password e la violazione della privacy, visto che solo chi conosce la master password potrà vedere tutte le password salvate.  

Seguendo queste semplici regole è possibile proteggersi dalla maggior parte degli attacchi portati tramite ransomware, minimizzando i danni e l'impatto sulle finanze e sulla produttività.

Cosa fare dopo un attacco ransomware

Chi si imbatte in un ransomware sul proprio PC, come prima cosa non deve cedere al panico e alla paura, preparandosi ad agire velocemente per evitare che i danni diventino ancora più gravi. Le soluzioni da mettere in atto dopo aver subito un attacco ransomware di questo tipo sono le seguenti:

• Disconnettere Internet: rimuovendo l'accesso a Internet si eviterà che il malware possa scaricare altri elementi nocivi, comunicare informazioni all'hacker, infettare altri sistemi e caricare informazioni e dati personali verso il server del malintenzionato.
• Spegnere il PC: spegnere il prima possibile il computer, così da evitare che il ransomware possa cifrare altri file o documenti importanti. Prima si effettua questa operazione e meno danni si subiranno.
• Utilizzare strumenti di pulizia offline: utilizzando un altro PC non infetto è possibile procurarsi dei tool di pulizia, da installare su chiavetta USB o su DVD, ottimi per effettuare scansioni offline (senza avviare il sistema operativo infetto).
• Installare nuovo antivirus: dopo aver pulito il sistema, avviarlo e installare subito un antivirus, effettuando un'ulteriore scansione alla ricerca di eventuali residui o file di sistema compromessi dalla vecchia infezione.
• Recuperare i file cifrati: a questo scopo è fondamentale usare un sistema di backup. Altrimenti, è possibile provare il sito NoMoreRansom per tentare di decifrare i file bloccati. Anche in questo caso, però, prevenire è meglio che curare. Attivando un sistema di backup cloud valido è possibile evitare la maggior parte dei grattacapi dei ransomware: si potrà infatti pulire velocemente il computer dalla minaccia e ripristinare i file bloccati utilizzando i backup presenti online (al sicuro da qualsiasi attacco).

Rimuovere un ransomware non è semplice, conviene quindi prestare attenzione e cercare di evitare del tutto l'infezione, visto che è possibile anche subire un doppio ricatto (con tutti i dati personali pubblicati sul dark web).

Conclusioni

Gli attacchi informatici basati su virus ransomware sono diventati molto più frequenti, visto che generano grandi introiti ai criminali informatici, arrecano il massimo danno con il minimo sforzo e sono difficili da contrastare, specie se viene utilizzato un sistema di cifratura robusto dei file.

I ransomware possono essere contrastati aggiornando sempre il sistema operativo, prestando attenzione agli allegati e ai siti sospetti, evitando di aprire programmi e file insicuri e utilizzando un antivirus efficace e potente come Norton 360 Deluxe, che protegge fino a 5 dispositivi diversi dagli attacchi dei ransomware e da qualsiasi altra minaccia informatica, bloccando il malware ancor prima che possa avviarsi ed iniziare a cifrare i file (fondamentale per evitare problemi successivamente).

Domande frequenti sui ransomware

Che differenza c'è tra phishing e ransomware?

Il phishing è una truffa effettuata tramite messaggio di posta elettronica, dove sono presenti messaggi sensazionalistici pensati per far cliccare su siti web compromessi o scaricare allegati infetti.

Il ransomware è un tipo di malware pensato per cifrare i file presenti sul PC e bloccare l’utilizzo del sistema, chiedendo in cambio un riscatto. Spesso i ransomware vengono diffusi tramite phishing, risultando quindi fortemente collegati tra loro.

Come funziona il virus WannaCry?

Il virus WannaCry sfruttava una vulnerabilità nella condivisione dei file di rete su Windows (SMB) per diffondersi velocemente all’interno delle reti, cifrando i file e mostrando una schermata di blocco con la richiesta di riscatto.

Prima della patch rilasciata da Microsoft per tutti i sistemi Windows il ransomware ha colpito oltre 230.000 computer in 150 Paesi, rendendolo uno dei maggiori contagi informatici mai avvenuti nella storia.

Cosa succede ad un PC colpito da un ransomware?

Un computer colpito da un ransomware è facilmente riconoscibile: nella maggior parte dei casi apparirà una finestra a schermo intero che blocca l’intero desktop, con le informazioni per pagare il riscatto. Nel mentre il malware cifra tutti i file presenti sul computer, prediligendo i PDF, i documenti Word, i file Excel o altri documenti importanti.

Questo tipo di malware non può essere rimosso con i normali strumenti di pulizia, essendo il desktop inutilizzabile. Per pulirlo è possibile utilizzare dei tool di pulizia esterni, in grado di rimuovere la minaccia in pochi secondi; il problema rimane anche dopo la rimozione del ransomware, visto che i file cifrati rimarranno tali finché non si inserisce la chiave di cifratura.

Per fortuna esistono siti online in grado di decifrare i file cifrati dai principali ransomware in circolazione, ma il consiglio principale è di evitare del tutto un’infezione di questo tipo, aiutandosi con un buon antivirus come Norton e utilizzando il suo sistema di backup cloud, l’unico vero strumento efficace per recuperare velocemente i file da un’infezione.