Passa al contenuto principale

Riconoscere i ransomware: differenze tra i trojan di criptaggio

Cos'è il ransomware?

Il ransomware è un tipo di malware (software dannoso) utilizzato dai cybercriminali. Quando il ransomware infetta un computer o una rete, blocca l'accesso al sistema o ne cripta i dati. I cybercriminali chiedono alle vittime un riscatto in denaro in cambio del rilascio dei dati. Per proteggervi da un'infezione da ransomware, è consigliabile prestare sempre attenzione e utilizzare un software di sicurezza. Le vittime di tali attacchi malware, in caso di infezione, hanno tre opzioni: pagare il riscatto, provare a eliminare il malware o riavviare il dispositivo. I vettori di attacco più utilizzati dai trojan di estorsione includono Remote Desktop Protocol, le e-mail di phishing e le vulnerabilità del software. Un attacco ransomware può quindi colpire sia gli utenti privati che le aziende.

Come identificare un ransomware: occorre fare una distinzione di base

In particolare, due tipi di ransomware sono molto popolari:

  • Ransomware locker. Questo tipo di malware blocca le funzioni di base del computer. Ad esempio, potrebbe esservi negato l'accesso al desktop mentre il mouse e la tastiera sono solo parzialmente disabilitati. In questo modo potete continuare a interagire con la finestra contenente la richiesta di riscatto per effettuare il pagamento. A parte ciò, il computer è inutilizzabile. C'è però una buona notizia: il malware locker in genere non colpisce i file critici perché l'obiettivo è solo quello di bloccarvi l'accesso. La distruzione completa dei dati è quindi improbabile.
  • Crypto-ransomware. Lo scopo del crypto-ransomware è quello di criptare i dati importanti, ad esempio documenti, foto e video, ma senza interferire con le funzioni di base del computer. Di conseguenza, gli utenti vanno nel panico perché possono vedere i file, ma non riescono ad accedervi. Gli sviluppatori di crypto-ransomware aggiungono spesso un conto alla rovescia alla richiesta di riscatto: "Se non paghi il riscatto entro la scadenza, tutti i tuoi file verranno eliminati". Considerato il numero di utenti che ignorano la necessità di eseguire il backup nel cloud o su dispositivi di archiviazione fisici esterni, il crypto-ransomware può avere un impatto devastante. Perciò molte vittime pagano il riscatto per riavere indietro i propri file.

Locky, Petya e altri

Ora sapete che cos'è il ransomware e quali sono le due tipologie principali. Di seguito vengono illustrati alcuni esempi noti che vi aiuteranno a identificare i pericoli derivanti dal ransomware:

Locky

Locky è un ransomware utilizzato per la prima volta in un attacco nel 2016 da un gruppo di hacker organizzati. Locky ha criptato più di 160 tipi di file ed è stato diffuso da e-mail fasulle con allegati infetti. Gli utenti si lasciavano ingannare dalle e-mail e installavano il ransomware nei computer. Questo metodo di diffusione, chiamato phishing, è una forma del cosiddetto social engineering. Il ransomware Locky prende di mira estensioni di file utilizzate di frequente da progettisti, sviluppatori, ingegneri e tester.

WannaCry

WannaCry è stato un attacco ransomware che nel 2017 si è diffuso in più di 150 paesi. Creato dalla NSA per sfruttare una vulnerabilità della sicurezza di Windows, è stato trafugato dal gruppo di hacker Shadow Brokers. WannaCry ha complessivamente colpito 230.000 computer, situati in ogni angolo del mondo. L'attacco ha interessato un terzo di tutte le strutture del sistema sanitario nazionale del Regno Unito, con un danno stimato pari a 92 milioni di sterline. WannaCry bloccava l'accesso al computer-vittima, per poi esigere il pagamento di un riscatto in bitcoin. L'attacco ha reso evidente il problema dei sistemi obsoleti, perché gli hacker sfruttavano una vulnerabilità del sistema operativo per la quale, al momento dell'attacco, esisteva da tempo una patch. Il danno economico a livello mondiale causato da WannaCry è stato di circa 4 miliardi di dollari.

Bad Rabbit

Bad Rabbit è stato un attacco ransomware del 2017 che si è diffuso tramite i cosiddetti attacchi drive-by. Per sferrare l'attacco, sono stati utilizzati siti Web non sicuri. In un attacco ransomware di tipo drive-by, un utente visita un sito Web reale, senza sapere che è stato compromesso dagli hacker. Nella maggior parte degli attacchi drive-by, è sufficiente che un utente acceda a una pagina che è stata compromessa in questo modo. In questo caso, tuttavia, l'infezione è stata causata dall'esecuzione di un programma di installazione che conteneva il malware mascherato, il cosiddetto malware dropper. Bad Rabbit chiedeva all'utente di eseguire un'installazione fasulla di Adobe Flash e infettava il computer con il malware.

Ryuk

Ryuk è un trojan di criptaggio che si è diffuso nell'agosto del 2018 e ha disabilitato la funzione di ripristino dei sistemi operativi Windows. Senza un backup esterno era quindi impossibile ripristinare i dati criptati. Ryuk criptava ugualmente i dischi rigidi di rete. L'impatto è stato enorme e molte delle organizzazioni statunitensi prese di mira hanno pagato le somme richieste come riscatto. Il danno totale stimato è stato di oltre 640.000 dollari.

Shade/Troldesh

L'attacco ransomware Shade o Troldesh, avvenuto nel 2015, si è diffuso tramite e-mail di spam contenenti file allegati o collegamenti infetti. È interessante notare come gli autori dell'attacco Troldesh comunicassero direttamente con le vittime tramite e-mail. Le vittime con cui avevano stabilito un "buon rapporto" ricevevano degli sconti. Tuttavia, questo tipo di comportamento è un'eccezione alla regola.

Jigsaw

Gli attacchi ransomware Jigsaw hanno avuto inizio nel 2016. Il nome dell'attacco deriva dall'immagine che lo accompagnava: quella del noto pupazzo apparso nella saga cinematografica Saw. Per ogni ora di ritardo in più nel pagamento del riscatto, il ransomware Jigsaw eliminava altri file. L'utilizzo dell'immagine tratta dai film horror era un'ulteriore causa di stress per gli utenti.

CryptoLocker

CryptoLocker, comparso per la prima volta sulla scena del ransomware nel 2007, si diffondeva attraverso allegati e-mail infetti. Il ransomware cercava dati importanti sui computer infetti e li criptava. Si stima che siano stati colpiti 500.000 computer. L'azione congiunta di corpi di polizia specializzati e società del settore sicurezza IT ha tuttavia consentito di ottenere il controllo di una vasta rete mondiale di computer domestici compromessi, utilizzati per diffondere CryptoLocker. I corpi di polizia e le società del settore sicurezza hanno così potuto intercettare i dati inviati attraverso la rete a insaputa dei criminali. Infine, è stato creato un portale online dove le vittime hanno avuto la possibilità di ottenere la chiave per sbloccare i propri dati e recuperarli senza dover pagare alcun riscatto ai criminali.

Petya

Petya (da non confondere con ExPetr) è un attacco ransomware sferrato per la prima volta nel 2016 ed è nuovamente comparso sulla scena del malware nel 2017, con il nome di GoldenEye. Invece di criptare solo alcuni file, questo ransomware criptava l'intero disco rigido della vittima. L'intera operazione si basava sul criptaggio della Master File Table (MFT), che rendeva di fatto impossibile l'accesso ai file presenti sul disco rigido. Il ransomware Petya si è propagato attraverso le divisioni Risorse Umane delle varie aziende grazie a una falsa richiesta di impiego contenente un collegamento nocivo a Dropbox.

Un'altra variante di Petya è Petya 2.0. Le due varianti si differenziano per alcuni aspetti chiave, ma la modalità di attacco di entrambe è ugualmente fatale per il dispositivo.

GoldenEye

In seguito alla ricomparsa di Petya come GoldenEye, nel 2017 si è diffusa in tutto il mondo un'infezione da ransomware. GoldenEye, noto come il "fratello mortale" di WannaCry, ha colpito più di 2.000 obiettivi, tra cui importanti produttori di petrolio in Russia e diverse banche. In un'allarmante catena di eventi, GoldenEye ha costretto il personale della centrale nucleare di Chernobyl a controllare manualmente il livello di radiazioni emesse, dopo aver bloccato il funzionamento dei loro computer Windows.

GandCrab

GandCrab è un ransomware alquanto sgradevole e molesto: in effetti, i malintenzionati minacciavano di rivelare presunte frequentazioni di siti porno da parte delle vittime designate, affermando di aver violato la webcam della vittima e chiedendo un riscatto. Se il riscatto non fosse stato pagato, avrebbero reso di pubblico dominio immagini e video a dir poco imbarazzanti. Dopo la sua prima comparsa nel 2018, il ransomware GandCrab ha continuato a essere sviluppato in diverse versioni. Nell'ambito dell'iniziativa "No More Ransom", i provider di sicurezza e i corpi di polizia hanno sviluppato uno strumento di decriptaggio del ransomware per consentire alle vittime di recuperare i propri dati sensibili da GandCrab.

B0r0nt0k

B0r0nt0k è un crypto-ransomware che prende di mira soprattutto i server basati su Windows e Linux. Questo pericoloso ransomware cripta i file di un server Linux e aggiunge un'estensione di file ".rontok". Il malware non solo costituisce una minaccia per i file, ma apporta anche modifiche alle impostazioni di avvio, disabilita funzioni e applicazioni e aggiunge voci del Registro di sistema, file e programmi.

Ransomware Dharma Brrr

Brrr, il nuovo ransomware Dharma, viene installato manualmente dagli hacker che riescono a violare i servizi desktop connessi a Internet. Non appena il ransomware viene attivato dall'hacker, inizia a criptare tutti i file che trova. Ai dati criptati viene aggiunta l'estensione di file ".id-[id].[email].brrr".

Ransomware FAIR RANSOMWARE

Lo scopo del ransomware FAIR RANSOMWARE è il criptaggio dei dati. Grazie a un potente algoritmo, tutti i documenti e i file privati della vittima vengono criptati. Ai file criptati con questo malware viene aggiunta l'estensione di file ".FAIR RANSOMWARE".

Ransomware MADO

Il ransomware MADO è un altro tipo di crypto-ransomware. Ai dati criptati da questo ransomware viene aggiunta l'estensione ".mado" che rende impossibili aprirli.

Attacchi ransomware

Come si è accennato, un ransomware può colpire chiunque. Il riscatto richiesto ammonta di solito a 100-200 dollari. In alcuni attacchi, tuttavia, vengono chieste somme molto più alte, soprattutto se l'autore dell'attacco è consapevole che il blocco dei dati comporta un danno economico consistente per l'azienda colpita. Questi metodi consentono dunque ai cybercriminali di guadagnare cifre enormi. Nei due esempi descritti di seguito, la vittima del cyberattacco è, o era, più importante del tipo di ransomware utilizzato.

Ransomware WordPress

Il ransomware WordPress, come suggerisce il nome, prende di mira i file dei siti Web WordPress. Alla vittima viene estorto un riscatto in denaro, come avviene normalmente con i ransomware. I siti WordPress più richiesti hanno le maggiori probabilità di venire attaccati dai cybercriminali per mezzo di ransomware.

Il caso Wolverine

Nel mese di settembre 2018 Wolverine Solutions Group (un fornitore operante nel settore sanitario) è stato vittima di un attacco ransomware. Il malware ha criptato un numero elevatissimo di file aziendali, impedendone l'apertura a molti dei dipendenti. Fortunatamente, gli esperti di analisi forense sono stati in grado di decriptare i dati, ripristinandoli il 3 ottobre successivo. Tuttavia, durante l'attacco una grande quantità di dati relativi ai pazienti è stata compromessa. Nomi, indirizzi, dati medici e altre informazioni personali potrebbero essere caduti nelle mani dei cybercriminali.

Ransomware-as-a-Service

Il modello Ransomware-as-a-Service offre ai cybercriminali con competenze tecniche limitate l'opportunità di condurre attacchi ransomware. Dal momento che il malware può essere acquistato da chi lo desidera, i programmatori del software corrono meno rischi e realizzano guadagni maggiori.

Conclusione

Gli attacchi ransomware possono essere molto diversi l'uno dall'altro e avere ogni tipo di forma e dimensione. Il vettore di attacco è un fattore importante dei tipi di ransomware utilizzati. Per stimare le dimensioni e la portata dell'attacco, si deve sempre considerare qual è la posta in gioco o quali dati potrebbero essere eliminati o pubblicati. Indipendentemente dal tipo di ransomware, eseguendo in anticipo il backup dei dati e gestendo correttamente il software di sicurezza è possibile limitare considerevolmente l'intensità di un attacco.

Riconoscere i ransomware: differenze tra i trojan di criptaggio

Grazie a Kaspersky potete imparare a identificare e distinguere Bad Rabbit, CryptoLocker, GandCrab e molti altri ransomware.
Kaspersky logo