Che cos'è il Crypto Ransomware?
Crypto Ransomware — noto anche come crypto-Malware — è un malware che cripta i file su un dispositivo e chiede un riscatto per il loro recupero. Le vittime sono incentivate a pagare il riscatto perché solo i cybercriminali dietro l'attacco conoscono la chiave di decrittazione necessaria per recuperare i loro dati.
Come funziona il Ransomware crypto?
Un attacco ransomware è un processo in più fasi che include tutto, dall'accesso iniziale alla richiesta di un pagamento di riscatto. Alcuni dei passaggi chiave includono i seguenti:
Metodi di infezione
Per criptare i file, il ransomware ha bisogno di accedere ai file presenti sul computer della vittima. Alcuni vettori di attacco comuni includono i seguenti:
- Email di phishing: le email di phishing utilizzano l'ingegneria sociale per ingannare il destinatario e fargli installare il malware. Le email potrebbero contenere allegati contaminati da malware o includere link dannosi che puntano a pagine web infette.
- Siti web dannosi: I siti web possono avere malware disponibile per il download. Spesso questo coinvolge un cavallo di, ovvero un malware che finge di essere un software legittimo ma in realtà infetta il computer dell'utente.
- Account Compromessi: Ransomware operatori possono anche distribuire malware utilizzando account utente compromessi. Se una password viene indovinata o violata, l'attaccante può accedere tramite RDP o VPN per piazzare il proprio malware nei sistemi aziendali.
Processo di crittografia
La maggior parte dei ransomware utilizza una combinazione di algoritmi di crittografia simmetrici e asimmetrici.
Symmetric Crittografia è altamente efficiente per Crittografia in massa. Ransomware lo usa per criptare i file e negare l'accesso ai proprietari. La Crittografia Asimmetrica viene utilizzata per proteggere i tasti simmetrici della Crittografia. Se la chiave pubblica è inclusa con il malware, il ransomware può criptare e memorizzare la chiave simmetrica di Crittografia insieme ai file criptati. Gli aggressori conservano solo la copia della chiave privata e possono usarla per decriptare la chiave simmetrica una volta che la vittima ha pagato il riscatto.
Anche il processo di Crittografia di Ransomwaresi è evoluto. Ad esempio, alcune varianti di ransomware criptano solo una parte di un file. Questo permette al processo di Crittografia di avvenire più rapidamente — riducendo il rischio di interruzione — pur rendendo i file inutilizzabili.
Note di riscatto e richieste
Dopo che il file Crittografia è completato, il ransomware mostrerà le note di riscatto alla vittima. Questi solitamente informano la vittima che è stata infettata da ransomware e forniscono informazioni su come pagare il riscatto.
Pagamento in criptovalute
Il ransomware crypto utilizza criptovalute per i pagamenti. Se la vittima sceglie di pagare il riscatto, acquisterà criptovalute e trasferirla sul conto dell'attaccante, il cui indirizzo è probabilmente incluso nella nota di riscatto. Successivamente, l'attaccante dovrebbe fornire un decrittatore che possa essere utilizzato per ripristinare i file criptati della vittima.
Esempi di Ransomwarecrypto
Sono nati molti gruppi di criminalità informatica che hanno iniziato a distribuire ransomware. Alcuni dei gruppi ransomware attualmente più grandi includono LockBit, Alphv/BlackCat, CL0P, Black Basta, Play, Royal, 8Base, BianLian, Medusa e NoEscape.
Perché le criptovalute vengono utilizzate per i pagamenti del riscatto
Le criptovalute vengono utilizzate per i pagamenti di riscatto per diversi motivi. La principale è che sono pseudonimi e non affiliati al sistema bancario centrale. Gli account di criptovalute degli utenti non sono collegati alla loro identità reale a meno che non passino attraverso uno exchange che richiede il Know Your Customer (KYC). Di conseguenza, può essere difficile rintracciare un pagamento in criptovaluta fino al destinatario, proteggendo l'attaccante dal rilevamento.
Come prevenire attacchi crypto Ransomware
Gli attacchi crypto malware possono essere devastanti per un'organizzazione. Alcune delle migliori pratiche per prevenire questi attacchi includono le seguenti:
- Formazione degli utenti: Molti attacchi ransomware mirano agli utenti con attacchiphishing . L'educazione alla cybersecurity può aiutare gli utenti a identificare ed evitare di cadere in questi attacchi.
- Backup dei dati: Ransomware operazioni estorcano pagamenti di riscatto criptando i dati e rendendoli inaccessibili ai proprietari. La possibilità di ripristinare dai backup può eliminare la necessità di pagare il riscatto.
- Patching: Alcune varianti di ransomware sfruttano software vulnerabile per infettare i computer. Effettuare aggiornamenti e patch regolari può aiutare a risolvere questi problemi prima che possano essere sfruttati da malware.
- Autenticazione Forte: Alcuni malware crypto utilizzano account utente compromessi per accedere e infettare i sistemi aziendali. Per aiutare a gestire questo rischio, implementa una forte autenticazione degli utenti — inclusa Autenticazione multifattore (MFA).
- Soluzioni Anti-Ransomware : Le soluzioni anti-ransomware possono rilevare e bloccare il ransomware crypto prima che raggiunga i sistemi di un'organizzazione. Questo aiuta a limitare il rischio per l'azienda e i suoi dati.
Prevenire gli attacchi ransomware con Check Point
Ransomware è emerso come una minaccia principale per le aziende a causa del potenziale di perdite di dati persi e significative perdite finanziarie per un'organizzazione. Per saperne di più su come gestire l'esposizione della tua organizzazione a questa minaccia, consulta la CISO Guide to Ransomware Prevention.
Check Point’s Check Point Endpoint Security protects organizations against ransomware and other threats, including those outlined in the Cyber Security Report. To learn how Check Point Endpoint Security can help strengthen your organization’s endpoint security, register for a free demo today.
