Cos'è il ransomware?

Se acquisti qualcosa tramite i nostri link, potremmo guadagnare denaro dai nostri partner affiliati. Scopri di più.

Il ransomware è un tipo di programma dannoso o malware che può limitare l'accesso a un dispositivo Internet o ai dati su di esso fino a quando non si paga un riscatto in cambio della possibilità di accedere al dispositivo o ai dati.

In questo articolo, esploreremo come il ransomware entra nel tuo computer, come funziona e come prevenire un attacco ransomware.

Entriamo in:

Che cos'è un attacco ransomware?

Un attacco ransomware è un tipo di attacco malware che limita o impedisce l'accesso al dispositivo o ai dati fino al pagamento del riscatto. Quel che è peggio, gli attori malintenzionati che effettuano attacchi ransomware minacciano di pubblicare o vendere dati sul dark web se il riscatto non viene pagato.

Secondo un rapporto di Verizon, il ransomware contribuisce al 10% di tutte le violazioni dei dati. Al giorno d'oggi, non è necessario sviluppare personalmente un kit di ransomware. Molti operatori di ransomware offrono ransomware come servizio, consentendo agli attori delle minacce di accedere facilmente a strumenti sofisticati e software dannosi per attacchi mirati.

Le seguenti due forme di ransomware sono ampiamente utilizzate dagli autori di ransomware in tutto il mondo:

1. Locker ransomware che blocca l'accesso a un sistema informatico o a un dispositivo mobile
2. Crypto ransomware che crittografa file e dati sensibili su un dispositivo

Come funziona il ransomware?

Come qualsiasi altro malware, Ransomware può entrare nel dispositivo del tuo computer in molti modi. Ma quando si tratta di modus operandi, tutte le varianti di ransomware hanno le seguenti fasi in comune:

• Il ransomware entra nel dispositivo del tuo computer e rimane inattivo per alcuni giorni/mesi, valutando i tuoi dati critici.
• Una volta che il ransomware ottiene l'accesso ai tuoi dati critici, inizia a crittografare i file con una chiave di crittografia controllata da un utente malintenzionato. Il ransomware può anche eliminare i file di backup o crittografare il backup dei dati
• Dopo aver crittografato i file o bloccato il sistema del computer, verrà richiesta un riscatto

Potrebbero esserci alcuni passaggi aggiuntivi, a seconda della variante del ransomware. Ad esempio, alcune varianti di ransomware esfiltrano i dati prima di inviare una richiesta di riscatto.

Sebbene gli aggressori di ransomware promettano di rilasciare una chiave di decrittazione una volta ricevuto il riscatto, non è sempre così. Inoltre, pagare il riscatto incoraggia gli attori delle minacce a infettare altri dispositivi. Quindi, il pagamento di un riscatto non dovrebbe essere in cima alla tua lista quando hai a che fare con un attacco ransomware.

Breve storia degli attacchi ransomware

Di seguito è riportata una breve cronologia degli attacchi ransomware:

• Joseph Popp, Ph.D., ricercatore sull'AIDS, ha avviato il primo attacco ransomware conosciuto nel 1989 distribuendo floppy disk ai ricercatori sull'AIDS
• La prima versione di CryptoLocker è apparsa a dicembre 2013
• CryptoWall è emerso nel 2014, causando danni per circa 18 milioni di dollari
• Locky è apparso nel 2016 e ha molte varianti
• Il famigerato ransomware WannaCry ha infettato più di 200.000 computer in tutto il mondo nel 2017
• Nel 2021, il gruppo ransomware DarkSide ha attaccato Brenntag, intascando $ 4,4 milioni dall'azienda come riscatto

I moderni attacchi ransomware sono sofisticati e richiedono un grosso riscatto. Secondo una stima di Cybersecurity Ventures, il costo della criminalità informatica globale crescerà del 15% all'anno nei prossimi cinque anni, raggiungendo i 10,5 trilioni di dollari all'anno entro il 2025.

Come prevenire un'infezione da ransomware

I sistemi infettati da ransomware possono infettare ulteriormente più dispositivi collegati a un server di rete prima che tu sia in grado di rimuovere il ransomware. Quindi, è fondamentale essere proattivi per bloccare il ransomware.

Ecco alcune strategie per prevenire le infezioni da ransomware:

1. Avere buone politiche di rete

Che si tratti di una rete domestica o di una rete aziendale, dovresti seguire le migliori pratiche di rete per proteggerti da ransomware o altri attacchi informatici.

Dovresti assicurarti che:

• Installi tutte le patch software e gli aggiornamenti del firmware in modo tempestivo
• Gli endpoint sono protetti
• Impiega un approccio di difesa a più livelli alla sicurezza della rete

Inoltre, la mancata segmentazione della rete può diffondere il ransomware dall'endpoint ai server. Quindi, assicurati che la tua rete sia segmentata. Ciò può impedire al ransomware di diffondersi da un sistema infetto all'altro.

2. Proteggi i tuoi server

L'hardware e il software, incluso il sistema operativo, devono essere aggiornati. E non dovresti mai usare password predefinite per i tuoi dispositivi. Proteggi sempre i tuoi dispositivi con password complesse.

Se possibile, usa le chiavi SSH. Sono più sicuri delle password.

3. Backup dei dati

Il ransomware può crittografare dati e file archiviati sul tuo computer o server. In molti casi, le vittime del ransomware non hanno accesso a dati crittografati o file crittografati. Pertanto, dovresti eseguire regolarmente il backup di tutti i dati critici offline e online.

Puoi trovare facilmente uno spazio di archiviazione cloud affidabile con un'opzione per crittografare i file per una maggiore sicurezza.

4. Incoraggiare un comportamento online sicuro

Tu e i tuoi dipendenti dovreste praticare un comportamento online sicuro.

Dovresti assicurarti che i tuoi dipendenti:

• Non disattivare mai gli aggiornamenti dei sistemi operativi
• Non scaricare software crackato
• Evita di fare clic su un collegamento dannoso
• Non aprire popup su siti Web dannosi

Formare regolarmente i tuoi dipendenti sulle migliori pratiche di sicurezza informatica può aiutarti a rimanere al sicuro da ransomware o altri tipi di attacchi malware.

5. Installare il software di sicurezza

Nessuno strumento blocca completamente il ransomware. Ma avere applicazioni specifiche per ransomware può bloccare gli allegati dannosi nelle e-mail di phishing e mantenere i tuoi file e dati preziosi al sicuro in misura significativa.

Risposta agli attacchi ransomware

Se disponi di una macchina infetta da ransomware, la seguente strategia dettagliata può aiutarti a superare la crisi:

Passo 1:

Isolare il dispositivo infetto e bloccare la rete per impedire al ransomware di diffondersi ulteriormente e crittografare i file su altri sistemi.

Passo 2:

Valuta il tuo danno. E scansiona il tuo sistema con un buon strumento anti-ransomware per sbarazzarti dell'eseguibile ransomware attivo.

Passaggio 3:

Controlla risorse come Id Ransomware e No MoreRansom per vedere se è disponibile una chiave di decrittazione per crittografare il ransomware che ha colpito il tuo sistema.

Nella maggior parte dei paesi, le autorità raccomandano di non effettuare pagamenti di riscatto. Ma tutto dipende dalla tua situazione.

Se non vuoi pagare il riscatto, dovresti considerare di crittografare i dati che l'attore della minaccia ha già crittografato. Ciò può impedire l'uso improprio dei dati controllati dall'attore della minaccia.

Passaggio 4:

Ripristina la macchina da un backup pulito o installa nuovamente il sistema operativo per rimuovere completamente il malware dal tuo dispositivo.

Non è facile navigare attraverso un attacco ransomware. Potresti non sapere se hai a che fare con un singolo hacker o un gruppo ransomware.

Quindi, è meglio ottenere un aiuto professionale per aumentare le possibilità di recupero dei dati e la rimozione completa del ransomware.

In che modo il ransomware arriva sul tuo computer?

Le e-mail di spam e phishing sono la principale causa di ransomware sul tuo dispositivo. Altri motivi per l'infezione da ransomware includono, a titolo esemplificativo, popup dannosi su siti Web casuali, software piratato, protocollo desktop remoto (RDP), USB e supporti rimovibili, download drive-by e password deboli.

Come vengono pagati gli aggressori ransomware?

Gli aggressori di ransomware preferiscono essere pagati in criptovaluta, specialmente in Bitcoin. Ciò è dovuto alla natura della criptovaluta riservata, anonima e difficile da rintracciare.

Il ransomware può diffondersi tramite Wi-Fi?

Sì, il ransomware può diffondersi tramite Wi-Fi. Gli attacchi ransomware effettuati tramite Wi-Fi possono infettare tutti i dispositivi connessi alla rete. Il Wi-Fi a volte può essere un modo semplice per gli hacker di diffondere codice dannoso ed effettuare infezioni ransomware attive.

Immagine: elementi Envato