Cari lettori di Tecnogalaxy, oggi andremo a parlare di Ransomware, andremo a vedere cosa sono, come funzionano, come si diffondono e la cosa principale: come difendersi.

Come sempre entriamo subito nel dettaglio e andiamo a vedere “Che cosa è un ransomware?

I ransomware sono “virus informatici” che rendono inaccessibili i file dei computer infettati e chiedono nella maggior parte dei casi il pagamento di un riscatto per avere la chiave di ripristino.

Per i cyber criminali i ransomware sono estremamente redditizzi e proprio per questo sono molto cresciuti in questi ultimi anni.

Tecnicamente sono “trojan horse crittografici” che hanno come unico scopo l’estorsione di denaro, viene fatto un sequestro dei file mediante la cifratura rendendoli inutilizzabili.

Di solito al posto del classico sfondo verrà esposta una finestra o un PopUp che sembrerà provenire dalla polizia o da un’altra organizzazione di sicurezza proponendo un’offerta.

Per poter decriptare i file così da renderli di nuovo utilizzabili servirà una password che sarà in grado di sbloccare tutti i contenuti, ovviamente dopo aver versato una somma di denaro abbastanza elevata.

I primi erano sotto i 1.000 dollari, negli ultimi anni sono saliti anche fino a milioni di dollari e il riscatto viene richiesto in criptovaluta Bitcoin etc…

Questo è un classico esempio del messaggio che viene esposto:

Cos'è un Ransomware e come difendersi

Dietro all’industria del ransomware non ci sono ovviamente semplici cyber criminali, ma vere e proprie organizzazioni criminali che hanno raggiunto un livello altissimo di efficienza,  dopo aver criptato tutti i file nell’avviso che viene proposto vengono date dettagliate istruzioni “molto spesso in un buon italiano”,  per pagare il riscatto, generalmente attraverso la rete TOR “nel Dark Web”.

Avendo raggiunto un buon servizio di customer care “che è alla base di ogni business di successo”, alcuni attaccanti addirittura si sono attrezzati con chat in real time, offrendo addirittura un servizio di assistenza al cliente, con le indicazioni per eseguire il pagamento. PAZZESCO se ci pensate.

Quando si manifesta un ransomware?

Quando vi accorgete è già troppo tardi perchè a differenza del classico virus che rallenta il computer, apre finestre strane, invia mail in autonomia, il ransomware quando viene eseguito blocca tutto il computer mostrando il messaggio visto prima.

Come si diffonde?

La diffusione avviene in diversi modi, ma le e-mail di phishing “quelle che ci invitano a cliccare su un determinato link o a scaricare un determinato file”, continuano ad essere la modalità più diffusa, sfruttando la scarsa attenzione e la mancanza di consapevolezza degli utenti.

Nella maggior parte dei casi il messaggio di posta elettronica viene mascherato in modo che risulti inviato da qualcuno di cui ci fidiamo, potrebbe essere un collega di lavoro , oppure i cybercriminali sfruttano le vulnerabilità presenti nei vari programmi  o nei diversi sistemi operativi.

In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione.

Possiamo dividerli nei seguenti punti:

  • Email di phishing
  • Attraverso la navigazione su siti compromessi, drive-by download “scaricamento all’insaputa”
  • Utilizzando un supporto rimovibile, ad esempio una chiavetta USB contenente il software malevolo.
  • All’interno  di altri software che vengono scaricati ad esempio da programmi gratuiti che ci promettono di crackare software costosi.
  • Attacchi attraverso il desktop remoto RDP ”Remote Desktop Protocol”, posizionato in genere sulla porta 3389)
  • Attraverso lo sfruttamento di vulnerabilità.

Quali sono i ransomware più pericolosi?

Di seguito la lista dei cinque ransomware più pericolosi:

  • Il ransomware DoppelPaymer, è un ransomware le cui vittime costituiscono circa il 9% delle statistiche totali, i suoi creatori hanno lasciato il segno anche con altri malware tra cui il famoso  “Trojan bancario Dridex”.
  • Conti che è conosciuto anche come ransomware IOCP, ha fatto la sua prima apparizione alla fine del 2019 ed è stato molto attivo per tutto il 2020.
  • Netwalker chiamato anche come ransomware Mailto, si è accaparrato più del 10% delle vittime totali, i suoi obiettivi maggiori sono giganti della logistica come gruppi industriali, società di energia e altre grandi organizzazioni.
  • Maze conosciuto anche come ransomware ChaCha, individuato per la prima volta nel 2019 è salito in modo veloce in cima alla classifica dei malware più pericolosi della sua categoria.

Come difendersi?

Come prima cosa installare un buon antivirus e un buon antispam in modo da porteggere il tuo computer, investire nella sicurezza del proprio sistema è il primo passo fondamentale per difendersi da questo tipo di racket, “perché è proprio così che lo dobbiamo chiamare”.

Inoltre se volete proteggervi da questo tipo di minaccia bisogna accertarsi che tutti i software presenti sul nosto computer siano aggiornati, “incluso il sistema operativo o il browser”.

Ovviamente anche l’antivirus deve essere tenuto aggiornato, non basta installarlo e fare qualche scansione ogni tanto.

Imparare a riconoscere i ransomware è molto importante come potete immaginare, per sconfiggere un nemico devi prima di tutto imparare a conoscerlo bene 😊

Se sei un datore di lavoro o un responsabile, come prima cosa  assicurati che tutto il personale riceva un training avanzato in materia di sicurezza informatica.

Se tutti i dipendenti sono consapevoli dei rischi legati alla sicurezza informatica “in gergo tecnico security risk assessment”, saranno in grado di segnalare celermente e con precisione eventuali mail sospette o comportamenti anomali del compiuter.

Un altro punto importantissimo è quello di effettuare un backup schedulato dei file e delle applicazioni, e per un’azienda dotarsi di un Disaster Recovery Plan.

Il backup dei dati e delle applicazioni dovrà rispettare la famosa regola del “3-2-1 backup” ,  per ulteriore sicurezza dovrà anche disporre di uno storico piuttosto ampio “chiamato data retention”.

E per concludere un po’ di storia

PC Cyborg il primo ransomware della storia, era il lontano 1989 quando “quello che viene considerato il primo ransomware della storia” faceva il suo debutto.

Era stato battezzato PC Cyborg perché i pagamenti erano diretti a una fantomatica PC Cyborg Corporation, il malware bloccava il funzionamento del computer attraverso la presunta scadenza della licenza di un non meglio specificato software.

Ai tempi si chiedeva 189 dollari per far tornare tutto alla normalità, realizzato da Joseph Popp, fu diffuso a un congresso sull’Aids, tramite floppy disk infetti consegnati ai partecipanti…geniale se ci pensate,  inserendo il floppy disk il virus si installava e criptava i file.

Come potete immaginare il ransomware ebbe una diffusione estremamente limitata perché poche persone usavano un personal computer, “internet era una rete per soli addetti ai lavori”, quindi il tutto veniva trasmesso via floppy disk.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.