Quando un criminale informatico vuole fare un bel po' di soldi, utilizza il ransomware per infettare un computer e crittografare tutti i dati sul disco rigido. Il software dannoso invia un avviso all'utente indicando che deve pagare un riscatto o perdere i propri file per sempre.
In passato, i criminali chiedevano che i riscatti venissero inviati in contanti o vaglia postali alle caselle postali. Tuttavia, questo non è sempre durato perché le caselle postali sono riconducibili a un individuo. Oggi, il riscatto viene quasi sempre richiesto nella valuta anonima e non rintracciabile di Bitcoin. Ora che i riscatti possono essere pagati in modo non tracciabile, la frequenza degli attacchi ransomware è esplosa.
Il primo attacco ransomware documentato fu perpetrato nel dicembre 1989 da un biologo evoluzionista di nome Joseph L. Popp. Nel 1989, Internet esisteva ma non era quello che è oggi, quindi l'attacco è stato eseguito attraverso un disco infetto.
Popp inviò 20.000 dischi infetti ai partecipanti alla conferenza internazionale sull'AIDS. I dischi erano etichettati come "AIDS Information – Introductory Diskettes". Con il pretesto di essere un questionario per aiutare gli utenti a determinare il rischio di contrarre l'AIDS, i dischi venivano segretamente infettati da un ransomware soprannominato "AIDS Trojan", noto anche come "PC Cyborg".
Dopo 90 riavvii, le ignare vittime hanno ricevuto una richiesta di riscatto di 189 dollari. Popp voleva che i pagamenti venissero inviati alla sua casella postale a Panama, che alla fine è stata rintracciata. Sorprendentemente, è stato catturato ma mai perseguito.
Da allora, migliaia di attacchi ransomware sono stati perpetrati contro privati, piccole imprese e persino grandi aziende. Sebbene gli attacchi ransomware fossero inizialmente piuttosto semplici, sono diventati complessi e praticamente irrintracciabili. Sfortunatamente, a causa della redditività, gli attacchi ransomware sono destinati a restare.
Sebbene la maggior parte delle persone comprenda il concetto di ransomware, dovrebbe essere definito per quello che realmente è: estorsione. L'estorsione è un crimine negli Stati Uniti ed è per questo che i criminali moderni sono abbastanza coraggiosi da lanciare attacchi ransomware facendo affidamento sull'anonimato delle criptovalute.
Gli attacchi ransomware si basano sulla tecnologia di crittografia per impedire l'accesso ai file. Nel corso degli anni '90, con il continuo progresso dei metodi di crittografia, anche gli attacchi ransomware sono diventati più sofisticati e impossibili da decifrare. Intorno al 2006, gruppi di criminali informatici hanno iniziato a sfruttare la crittografia RSA asimmetrica per rendere i propri attacchi ancora più impossibili da contrastare.
Ad esempio, il trojan Archiveus utilizzava la crittografia RSA per crittografare il contenuto della cartella "Documenti" di un utente. Il riscatto richiedeva alle vittime di acquistare beni tramite una farmacia online in cambio di una password di 30 cifre che avrebbe sbloccato i file.
Un altro attacco ransomware in quel periodo fu l’attacco GPcode. GPcode era un Trojan distribuito come allegato di posta elettronica mascherato da applicazione di lavoro. Questo attacco ha utilizzato una chiave RSA a 660 bit per la crittografia. Diversi anni dopo Gpcode.AK, il suo predecessore, è passato al livello fino a utilizzare la crittografia RSA a 1024 bit. Questa variante mirava a più di 35 estensioni di file.
Anche se all'inizio gli attacchi ransomware erano semplicistici e audaci, oggi sono diventati il peggior incubo di un'azienda e la mucca da mungere di un criminale.
I criminali informatici sanno che possono guadagnare con il ransomware ed è diventato un settore ampiamente redditizio.
Secondo uno studio di Google intitolato Tracking ransomware End-to-End , i criminali informatici guadagnano oltre 1 milione di dollari al mese con ransomware . "È diventato un mercato molto, molto redditizio ed è qui per restare", ha detto un ricercatore. Lo studio ha monitorato più di 16 milioni di dollari che sembravano essere pagamenti di riscatti effettuati da 19.750 persone nell'arco di due anni.
La BBC ha riferito su questo studio di Google e ha spiegato che esistono molteplici "ceppi" di ransomware e alcuni ceppi guadagnano più soldi di altri. Ad esempio, un'analisi della blockchain di Bitcoin ha mostrato che le due varietà più popolari – Locky e Cerber – hanno guadagnato 14,7 milioni di dollari in un solo anno.
Secondo lo studio, oltre il 95% degli aggressori di ransomware ha incassato i propri pagamenti in Bitcoin attraverso l'ormai defunto scambio BTC-e russo. Probabilmente non verranno mai catturati.
Gli imprenditori che non sono preparati a un attacco ransomware non si riprenderanno senza conseguenze, sempre che si riprendano. Pagheranno il riscatto (che non sempre porta al ripristino dei file) oppure spenderanno tempo e denaro cercando senza successo di decifrare la crittografia.
Quando non funziona nulla, si procurano una versione precedente dei loro file da dipendenti, appaltatori e altri che potrebbero averne delle copie. Anche se potrebbero trovare la maggior parte dei loro file, non saranno versioni aggiornate e l'intero team dovrà dedicare ore extra solo per riportare l'attività alla normalità.
L'unico modo per prevenire un attacco ransomware è essere preparati prima che accada. Ciò richiede la creazione di backup offline regolari su un dispositivo che non rimane connesso a Internet. I malware, incluso il ransomware, possono infettare allo stesso modo le unità di backup e le unità USB. È fondamentale assicurarsi di mantenere i backup offline correnti.
Se non l'hai ancora fatto, è giunto il momento di proteggere tutti gli endpoint con un software anti-ransomware . Noi di Check Point Software offriamo questa soluzione a tutti i clienti della nostra suite Endpoint Security . La nostra suite Endpoint Security , Harmony Endpoint , offre threat prevention in tempo reale a tutti gli endpoint della tua organizzazione.
Con così tanti dispositivi che accedono alla rete della tua azienda, non puoi permetterti di tralasciare la protezione degli endpoint e threat prevention . La rete senza confini di oggi richiede un software potente per proteggersi dagli attacchi informatici di ogni tipo, compresi i ransomware.
Con Harmony Endpoint, la tua rete sarà protetta dinamicamente 24 ore su 24 da ransomware e altre minacce.
Per saperne di più su come Check Point può proteggere la tua rete, pianifica una demo gratuita per Harmony Endpoint o contattaci per ulteriori informazioni. Se non sei sicuro di quali servizi hai bisogno, i nostri esperti di protezione dei dati ti aiuteranno a trovare quello giusto per te.