Cosa sono i ransomware e perché sono pericolosi: I ransomware sono un tipo di malware, ovvero di software malevolo, che hanno lo scopo di estorcere denaro alle vittime bloccando i loro dati o i loro dispositivi. Il termine “ransomware” deriva dalla parola inglese “ransom”, che significa “riscatto”. Infatti, i criminali informatici che usano i ransomware chiedono alle vittime di pagare una certa somma, spesso in criptovalute, per riottenere l’accesso ai loro file o al loro sistema operativo.
Come funzionano i ransomware
Esistono due tipi principali di ransomware: quelli di crittografia e quelli di blocco. I ransomware di crittografia, o crittografici, cifrano i dati della vittima con una chiave segreta, che viene poi richiesta come riscatto. Senza la chiave, i dati diventano illeggibili e inutilizzabili. I ransomware di blocco, o locker, invece, impediscono alla vittima di accedere al suo dispositivo, mostrando una schermata che richiede il pagamento del riscatto.
I ransomware possono infettare i dispositivi delle vittime in vari modi, ad esempio tramite email di phishing, che contengono allegati o link infetti, tramite exploit kit, che sfruttano le vulnerabilità dei browser o dei plugin, o tramite dispositivi USB, che diffondono il malware quando vengono collegati a un computer.
Perché i ransomware sono pericolosi
I ransomware sono pericolosi perché possono causare gravi danni economici, operativi e reputazionali alle vittime, sia che si tratti di singoli utenti, che di aziende, enti pubblici o organizzazioni.
Infatti, i ransomware possono:
- Rendere inaccessibili dati sensibili, personali o professionali, che potrebbero essere necessari per il lavoro, lo studio, la salute o la sicurezza delle vittime.
- Interrompere la continuità operativa, bloccando le attività produttive, commerciali o amministrative delle vittime, con conseguenti perdite di tempo, denaro e opportunità.
- Causare fughe di dati, se i criminali informatici minacciano di pubblicare online o vendere a terzi le informazioni rubate alle vittime, violando la loro privacy e la loro sicurezza.
- Danneggiare la reputazione, se le vittime vengono esposte al pubblico ludibrio o alla diffidenza dei loro clienti, partner o utenti, compromettendo la loro immagine e la loro credibilità.
Come difendersi dai ransomware
Per difendersi dai ransomware, è necessario adottare una serie di misure preventive e reattive, che possono ridurre il rischio di infezione e mitigare gli effetti di un eventuale attacco. Tra queste misure, si possono elencare:
- Effettuare backup regolari dei dati, su supporti esterni o su cloud, in modo da poterli ripristinare in caso di cifratura o perdita.
- Aggiornare costantemente i sistemi operativi e i software, in modo da correggere le eventuali falle di sicurezza che potrebbero essere sfruttate dai ransomware.
- Installare e attivare un antivirus e un firewall, in modo da rilevare e bloccare i tentativi di intrusione o di infezione da parte dei malware.
- Evitare di aprire email sospette o di cliccare su link o allegati non verificati, in modo da non cadere nelle trappole del phishing o dell’ingegneria sociale.
- Non pagare il riscatto richiesto dai criminali informatici, in modo da non finanziare le loro attività illecite e da non incoraggiare ulteriori attacchi. Inoltre, non c’è garanzia che il pagamento porti alla restituzione dei dati o del dispositivo.
Storia dei ransomware
Il primo ransomware noto fu il trojan AIDS, noto anche come “PC Cyborg”, scritto nel 1989 dal biologo Joseph Popp, che eseguiva un payload il quale mostrava all’utente un messaggio in cui si diceva che la licenza di un qualche software installato era scaduta, criptava i file dell’hard disk e obbligava l’utente a pagare 189 dollari alla “PC Cyborg Corporation” per sbloccare il sistema.
Popp fu dichiarato incapace di intendere e di volere e non fu processato, ma promise di devolvere i proventi del malware alla ricerca per la cura dell’ AIDS.
L’idea di usare la crittografia a chiave pubblica per tali attacchi fu introdotta nel 1996 da Adam L. Young e Moti Yung.
I due credevano che il trojan AIDS fosse poco efficace perché usava la crittografia simmetrica, e per esercizio di stile presentarono un criptovirus per il Macintosh SE/30 che usava algoritmi RSA e TEA.
Young e Yung definirono questo attacco un’“estorsione crittovirale”, un attacco virus dichiarato, che appartiene alla classe di attacchi definita crittovirologia e definisce sia gli attacchi manifesti sia quelli nascosti.
Nel maggio 2005, alcuni esempi di estorsioni via ransomware divennero celebri, entro metà 2006, worm come Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, e MayArchive cominciarono a usare schemi di criptazione RSA molto più sofisticati, con chiavi di dimensione sempre maggiore.
Gpcode.AG, identificato nel giugno 2006, era criptato con una chiave pubblica RSA a 660 bit.
Nel giugno 2008, fu scoperta una variante nota come Gpcode.AK. Era ritenuta impossibile da decrittare senza uno sforzo computazionale distribuito combinato, dal momento che utilizzava una chiave RSA a 1024 bit.
I ransomware a criptazione ritornarono famosi verso la fine del 2013 grazie alla diffusione di CryptoLocker, che usava la piattaforma di valuta virtuale Bitcoin per incassare il denaro del riscatto.
I Ransomware più famosi
Tra i tanti ransomware che hanno infettato milioni di dispositivi e causato danni ingenti, alcuni sono diventati famosi per la loro pericolosità, la loro diffusione o il loro impatto. Eccone alcuni esempi:
- CryptoLocker: un worm ransomware apparso alla fine del 2013, che cifrava i file della vittima con una chiave segreta, che veniva poi richiesta come riscatto. Senza la chiave, i file diventavano illeggibili e inutilizzabili. CryptoLocker ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.
- WannaCry: un worm ransomware apparso nel maggio 2017, che sfruttava una vulnerabilità di Windows nota come EternalBlue, scoperta dalla NSA e poi rivelata da un gruppo di hacker chiamato The Shadow Brokers. WannaCry ha infettato più di 200 mila computer in 150 paesi, tra cui ospedali, aziende e istituzioni pubbliche, chiedendo un riscatto di 300 dollari in Bitcoin per sbloccare i file.
- NotPetya: un worm ransomware apparso nel giugno 2017, che si presentava come una variante di Petya, un altro ransomware che criptava il master boot record del disco rigido. Tuttavia, NotPetya era in realtà un wiper, ovvero un malware che distruggeva definitivamente i dati senza possibilità di recupero. NotPetya ha colpito principalmente l’Ucraina, ma si è diffuso anche in altri paesi, causando danni stimati in 10 miliardi di dollari.
- REvil: un ransomware as a service (RaaS), ovvero un modello di business in cui i criminali informatici offrono il loro malware in affitto ad altri malintenzionati, in cambio di una percentuale sul riscatto. REvil, noto anche come Sodinokibi, è apparso nel 2019 e da allora ha condotto numerosi attacchi di alto profilo, tra cui quello alla società di cambio Travelex, che ha pagato 2,3 milioni di dollari per riottenere i suoi dati.
- Ryuk: un ransomware che prende di mira le organizzazioni con grandi risorse finanziarie, come ospedali, aziende e enti governativi. Ryuk è apparso nel 2018 e da allora ha raccolto più di 150 milioni di dollari in riscatti. Ryuk è spesso distribuito da altri malware, come TrickBot o Emotet, che aprono la strada al ransomware infiltrandosi nelle reti delle vittime.
Conclusioni
I ransomware sono una delle minacce più gravi, pericolose e diffuse nel mondo della sicurezza informatica, in grado di colpire qualsiasi tipo di vittima e di provocare danni ingenti. Per questo, è importante essere consapevoli del rischio e adottare le opportune contromisure per prevenire e contrastare gli attacchi ransomware. In caso di infezione, è consigliabile rivolgersi a esperti di sicurezza informatica o alle autorità competenti, per ricevere assistenza e denunciare il fatto.
