Che cos'è il Ransomware?

Il ransomware è un malware progettato per negare a un utente o a un'organizzazione l'accesso ai file sul proprio computer. Crittografando questi file e richiedendo il pagamento di un riscatto per la chiave di decrittazione, i cyberattaccanti mettono le organizzazioni in una posizione in cui il pagamento del riscatto è il modo più semplice ed economico per riottenere l'accesso ai propri file. Alcune varianti hanno aggiunto funzionalità aggiuntive - come il furto di dati - per incentivare ulteriormente le vittime del ransomware a pagare il riscatto.

Il ransomware è diventato rapidamente il più prominente e visibile tipo di malware. I recenti attacchi ransomware hanno compromesso la capacità degli ospedali di fornire servizi cruciali, hanno paralizzato i servizi pubblici nelle città e hanno causato danni significativi a diverse organizzazioni.

Ransomware Prevention CISO Guide Parli con un esperto

Attacco ransomware - Cos'è e come funziona?

Perché stanno emergendo gli attacchi ransomware?

La moderna mania del ransomware è iniziata con l'epidemia di WannaCry del 2017. Questo attacco su larga scala e molto pubblicizzato ha dimostrato che gli attacchi ransomware sono possibili e potenzialmente redditizi. Da allora, sono state sviluppate decine di varianti di ransomware, utilizzate in una varietà di attacchi.

The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.

In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.

In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.

Come funziona il ransomware

Per avere successo, il ransomware deve ottenere l'accesso a un sistema di destinazione, criptare i file presenti e chiedere un riscatto alla vittima.
Anche se i dettagli dell'implementazione variano da una variante di ransomware all'altra, tutte condividono le stesse tre fasi principali.

  • Fase 1. Vettori di infezione e distribuzione

Il ransomware, come qualsiasi malware, può accedere ai sistemi di un'organizzazione in diversi modi. Tuttavia, gli operatori di ransomware tendono a preferire alcuni vettori di infezione specifici.

Una di queste è rappresentata dalle e-mail di phishing. Un malicious email può contenere un link a un sito web che ospita un download dannoso o un allegato che ha una funzionalità di downloader incorporata. Se il destinatario dell'e-mail cade nel phish, il ransomware viene scaricato ed eseguito sul suo computer.

Un altro vettore di infezione ransomware molto diffuso sfrutta servizi come il Protocollo Desktop Remoto (RDP). Con RDP, un aggressore che ha rubato o indovinato le credenziali di accesso di un dipendente può utilizzarle per autenticarsi e accedere da remoto a un computer all'interno della rete aziendale. Con questo accesso, l'aggressore può scaricare direttamente il malware ed eseguirlo sulla macchina sotto il suo controllo.

Altri possono tentare di infettare direttamente i sistemi, come WannaCry ha sfruttato la vulnerabilità EternalBlue. La maggior parte delle varianti di ransomware ha più vettori di infezione.

  • Passo 2. Crittografia dei dati

 Dopo che il ransomware ha ottenuto l'accesso a un sistema, può iniziare a criptare i suoi file. Poiché la funzionalità di crittografia è integrata in un sistema operativo, si tratta semplicemente di accedere ai file, crittografarli con una chiave controllata dall'aggressore e sostituire gli originali con le versioni crittografate. La maggior parte delle varianti di ransomware sono caute nella selezione dei file da criptare, per garantire la stabilità del sistema. Alcune varianti si attivano anche per eliminare le copie di backup e le copie shadow dei file, per rendere più difficile il recupero senza la chiave di decriptazione.

  • Passo 3. Richiesta di riscatto

Una volta completata la crittografia dei file, il ransomware è pronto a fare una richiesta di riscatto. Le diverse varianti di ransomware lo implementano in numerosi modi, ma non è raro che lo sfondo del display venga modificato in una nota di riscatto o che vengano inseriti dei file di testo in ogni directory crittografata contenente la nota di riscatto. In genere, queste banconote richiedono una determinata quantità di criptovaluta in cambio dell'accesso ai file della vittima. Se il riscatto viene pagato, l'operatore del ransomware fornirà una copia della chiave privata utilizzata per proteggere la chiave di crittografia simmetrica o una copia della chiave di crittografia simmetrica stessa. Queste informazioni possono essere inserite in un programma di decriptazione (anch'esso fornito dal criminale informatico) che può utilizzarle per invertire la crittografia e ripristinare l'accesso ai file dell'utente.

Sebbene questi tre passaggi fondamentali siano presenti in tutte le varianti di ransomware, diversi ransomware possono includere implementazioni diverse o passaggi aggiuntivi. Ad esempio, le varianti di ransomware come Maze eseguono la scansione dei file, delle informazioni del registro e il furto dei dati prima della crittografia dei dati, mentre il ransomware WannaCry esegue la scansione di altri dispositivi vulnerabili da infettare e crittografare.

Types of Ransomware Attacks

Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:

  • Double Extortion: Double-extortion ransomware like Maze combines data encryption with data theft. This technique was developed in response to organizations refusing to pay ransoms and restoring from backups instead. By stealing an organization’s data as well, the cybercriminals could threaten to leak it if the victim doesn’t pay up.
  • Triple Extortion: Triple extortion ransomware adds a third extortion technique to double extortion. Often, this includes demanding a ransom from the victim’s customers or partners or performing a distributed denial-of-service (DDoS) attack against the company as well.
  • Locker Ransomware: Locker ransomware is ransomware that doesn’t encrypt the files on the victim’s machine. Instead, it locks the computer — rendering it unusable to the victim — until the ransom has been paid.
  • Crypto Ransomware: Crypto ransomware is another name for ransomware that underscores the fact that ransomware payments are commonly paid in cryptocurrency. The reason for this is that cryptocurrencies are digital currencies that are more difficult to track since they’re not managed by the traditional financial system.
  • Wiper: Wipers are a form of malware that is related to but distinct from ransomware. While they may use the same encryption techniques, the goal is to permanently deny access to the encrypted files, which may include deleting the only copy of the encryption key.
  • Ransomware as a Service (RaaS): RaaS is a malware distribution model in which ransomware gangs provide “affiliates” with access to their malware. These affiliates infect targets with the malware and split any ransom payments with the ransomware developers.
  • Data-Stealing Ransomware: Some ransomware variants have focused on data theft, abandoning data encryption entirely. One reason for this is that encryption can be time-consuming and easily detectable, providing an organization with an opportunity to terminate the infection and protect some files from encryption.

Varianti popolari di ransomware

Esistono decine di varianti di ransomware, ognuna con le sue caratteristiche uniche. Tuttavia, alcuni gruppi di ransomware sono stati più prolifici e di successo di altri, distinguendosi dalla massa.

1. Ryuk

Ryuk è un esempio di variante di ransomware molto mirata. Viene comunemente consegnato tramite e-mail di spear phishing o utilizzando credenziali utente compromesse per accedere ai sistemi aziendali tramite il Protocollo Desktop Remoto (RDP). Una volta infettato un sistema, Ryuk cripta alcuni tipi di file (evitando quelli cruciali per il funzionamento del computer), quindi presenta una richiesta di riscatto.

Ryuk è noto come uno dei tipi di ransomware più costosi esistenti. Ryuk chiede riscatti che mediamente oltre 1 milione di dollari. Di conseguenza, i criminali informatici dietro Ryuk si concentrano principalmente sulle imprese che hanno le risorse necessarie per soddisfare le loro richieste.

2. Labirinto

Il Maze Il ransomware è famoso per essere stato la prima variante di ransomware a combina la crittografia dei file e il furto di dati. Quando gli obiettivi hanno iniziato a rifiutarsi di pagare i riscatti, Maze ha iniziato a raccogliere i dati sensibili dai computer delle vittime prima di crittografarli. Se le richieste di riscatto non fossero soddisfatte, questi dati verrebbero esposti pubblicamente o venduti al miglior offerente. Il potenziale di una costosa violazione dei dati è stato usato come ulteriore incentivo a pagare.

Il gruppo dietro il ransomware Maze ha ha ufficialmente terminato le sue attività. Tuttavia, questo non significa che la minaccia del ransomware si sia ridotta. Alcuni affiliati di Maze sono passati a utilizzare il ransomware Egregor, e si ritiene che le varianti Egregor, Maze e Sekhmet abbiano una fonte comune.

3.REvil (Sodinokibi)

Il gruppo REvil (noto anche come Sodinokibi) è un'altra variante di ransomware che prende di mira le grandi organizzazioni.

REvil è una delle famiglie di ransomware più conosciute in rete. Il gruppo di ransomware, gestito dal gruppo di lingua russa REvil dal 2019, è stato responsabile di molte grandi violazioni come 'Kaseya' e 'JBS'.

Negli ultimi anni ha gareggiato con Ryuk per il titolo di variante ransomware più costosa. REvil è noto per avere ha richiesto il pagamento di un riscatto di 800.000 dollari..

Sebbene REvil sia nato come una variante di ransomware tradizionale, si è evoluto nel tempo.
Utilizza la tecnica della Doppia Estorsione: ruba i dati delle aziende e cripta i file. Ciò significa che, oltre a richiedere un riscatto per decriptare i dati, gli aggressori potrebbero minacciare di rilasciare i dati rubati se non viene effettuato un secondo pagamento.

4. Lockbit

LockBit è un malware per la crittografia dei dati in funzione da settembre 2019 e un recente ransomware-as-a-Service(RaaS). Questo pezzo di ransomware è stato sviluppato per criptare rapidamente le grandi organizzazioni, in modo da impedirne la rapida individuazione da parte delle apparecchiature di sicurezza e dei team IT/SOC. 

5. CaroCry

Nel marzo 2021, Microsoft ha rilasciato delle patch per quattro vulnerabilità all'interno dei server Microsoft Exchange. DearCry è una nuova variante di ransomware progettata per sfruttare quattro vulnerabilità recentemente rivelate in Microsoft Exchange.

Il ransomware DearCry cripta alcuni tipi di file. Una volta terminata la crittografia, DearCry mostrerà un messaggio di riscatto che istruisce gli utenti a inviare un'e-mail agli operatori del ransomware per imparare a decriptare i loro file.

6. Lapsus$

Lapsus$ è una banda di ransomware sudamericana che è stata collegata a cyberattacchi su alcuni obiettivi di alto profilo. La cyber gang è nota per l'estorsione, minacciando il rilascio di informazioni sensibili, se non vengono soddisfatte le richieste delle sue vittime. Il gruppo si è vantato di aver fatto irruzione in Nvidia, Samsung, Ubisoft e altri. Il gruppo utilizza il codice sorgente rubato per mascherare i file malware come affidabili.

How Does Ransomware Affect Businesses?

A successful ransomware attack can have various impacts on a business. Some of the most common risks include:

  • Financial Losses: Ransomware attacks are designed to force their victims to pay a ransom. Additionally, companies can lose money due to the costs of remediating the infection, lost business, and potential legal fees.
  • Data Loss: Some ransomware attacks encrypt data as part of their extortion efforts. Often, this can result in data loss, even if the company pays the ransom and receives a decryptor.
  • Data Breach: Ransomware groups are increasingly pivoting to double or triple extortion attacks. These attacks incorporate data theft and potential exposure alongside data encryption.
  • Downtime: Ransomware encrypts critical data, and triple extortion attacks may incorporate DDoS attacks. Both of these have the potential to cause operational downtime for an organization.
  • Brand Damage: Ransomware attacks can harm an organization’s reputation with customers and partners. This is especially true if customer data is breached or they receive ransom demands as well.
  • Legal and Regulatory Penalties: Ransomware attacks may be enabled by security negligence and may include the breach of sensitive data. This may open up a company to lawsuits or penalties being levied by regulators.

Common Ransomware Target Industries

Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:

  • Education/Research: The Education/Research sector experienced 2046 ransomware attacks in 2023, a 12% drop from the previous year.
  • Government/Military: Government and military organizations were the second most targeted industry with 1598 attacks and a 4% decrease from 2022.
  • Healthcare: Healthcare experienced 1500 attacks and a 3% increase, which is particularly concerning due to the sensitive data and critical services that it provides.
  • Communications: Communications organizations experienced an 8% growth in 2023, totaling 1493 known attacks.
  • ISP/MSPs: ISPs and MSPs — a common ransomware target due to their potential for supply chain attacks — experienced 1286 ransomware attacks in 2023, a 6% decrease.

Come proteggersi dal ransomware

  • Utilizza le Best Practice

Una preparazione adatta può ridurre drasticamente il costo e l'impatto di un attacco ransomware. Seguire le seguenti best practice può ridurre l'esposizione di un'organizzazione al ransomware e minimizzare il suo impatto:

  1. Formazione ed educazionealla consapevolezza informatica : Il ransomware si diffonde spesso tramite e-mail di phishing. La formazione degli utenti su come identificare ed evitare potenziali attacchi ransomware è fondamentale. Poiché molti degli attuali cyber attack iniziano con un'e-mail mirata che non contiene nemmeno un malware, ma solo un messaggio socializzato che incoraggia l'utente a cliccare su un link dannoso, l'educazione dell'utente è spesso considerata come una delle difese più importanti che un'organizzazione può implementare.
  2. Backup continui dei dati:  La definizione di ransomware dice che si tratta di un malware progettato per far sì che il pagamento di un riscatto sia l'unico modo per ripristinare l'accesso ai dati criptati. I backup automatizzati e protetti dei dati consentono a un'organizzazione di riprendersi da un attacco con una perdita minima di dati e senza pagare un riscatto. Il mantenimento di backup regolari dei dati come processo di routine è una pratica molto importante per evitare di perdere i dati e per poterli recuperare in caso di corruzione o di malfunzionamento dell'hardware del disco. I backup funzionali possono anche aiutare le organizzazioni a riprendersi dagli attacchi ransomware.
  3. Patching: il patching è un componente critico nella difesa dagli attacchi ransomware, in quanto i criminali informatici spesso cercano gli ultimi exploit scoperti nelle patch rese disponibili e poi prendono di mira i sistemi che non sono ancora stati patchati. Per questo motivo, è fondamentale che le organizzazioni si assicurino che a tutti i sistemi siano applicate le patch più recenti, in quanto ciò riduce il numero di potenziali vulnerabilità all'interno dell'azienda che un aggressore può sfruttare.
  4. Autenticazione utente: L'accesso a servizi come RDP con credenziali utente rubate è una tecnica preferita dagli aggressori di ransomware. L'uso di un'autenticazione forte dell'utente può rendere più difficile per un aggressore utilizzare una password indovinata o rubata.
  • Riduzione della Superficie di Attacco

Dati gli elevati costi potenziali di un'infezione ransomware, la prevenzione è la migliore strategia di difesa. Ciò può essere raggiunto riducendo la superficie di attacco affrontando:

  1. I messaggi phishing
  2. Le vulnerabilità senza patch
  3. Soluzioni di accesso remoto
  4. Malware mobile
  • Implementareransomware la soluzione Anti-

La necessità di criptare tutti i file di un utente significa che il ransomware ha un'impronta digitale unica quando viene eseguito su un sistema. Le soluzioni anti-ransomware sono costruite per identificare queste impronte digitali. Le caratteristiche comuni di una buona soluzione anti-ransomware includono:

  • Rilevamento ampio delle varianti
  • Rilevamento rapido
  • Ripristino automatico
  • Il meccanismo di ripristino non si basa su strumenti integrati comuni (come la 'Shadow Copy', che viene presa di mira da alcune varianti di ransomware).

Come rimuovere il ransomware?

Un messaggio di riscatto non è qualcosa che nessuno vorrebbe vedere sul proprio computer, perché rivela che l'infezione da ransomware è andata a buon fine. A questo punto, si possono adottare alcune misure per rispondere a un'infezione ransomware attiva, e l'organizzazione deve scegliere se pagare o meno il riscatto.

  • Come mitigare un'infezione ransomware attiva

Molti attacchi ransomware di successo vengono rilevati solo dopo che la crittografia dei dati è stata completata e una nota di riscatto è stata visualizzata sullo schermo del computer infetto. A questo punto, i file crittografati sono probabilmente irrecuperabili, ma è necessario adottare immediatamente alcune misure:

  1. Mettere in quarantena la macchina: Alcune varianti di ransomware cercano di diffondersi alle unità collegate e ad altre macchine. Limitare la diffusione del malware eliminando l'accesso ad altri potenziali obiettivi.
  2. Lasciare il computer acceso: la crittografia dei file può rendere il computer instabile e lo spegnimento del computer può causare la perdita della memoria volatile. Mantenga il computer acceso per massimizzare la probabilità di recupero.
  3. Creare un backup: La decriptazione dei file per alcune varianti di ransomware è possibile senza pagare il riscatto. Esegua una copia dei file crittografati su un supporto rimovibile, nel caso in cui una soluzione si renda disponibile in futuro o un tentativo di decrittografia fallito danneggi i file.
  4. Verifichi la presenza di decrittatori: Verifichi con il No More Ransom Project se è disponibile un decriptatore gratuito. In tal caso, lo esegua su una copia dei dati crittografati per vedere se è in grado di ripristinare i file.
  5. Chieda aiuto: I computer a volte conservano copie di backup dei file memorizzati. Un esperto di medicina legale digitale può essere in grado di recuperare queste copie, se non sono state eliminate dal malware.
  6. Pulire e ripristinare: Ripristina la macchina da un backup pulito o da un'installazione del sistema operativo. Questo assicura che il malware venga completamente rimosso dal dispositivo.

Come può aiutare Check Point

La tecnologia Anti-Ransomware di Check Point utilizza un motore appositamente costruito che difende dalle varianti zero-day più sofisticate ed evasive del ransomware e recupera in modo sicuro i dati criptati, garantendo la continuità aziendale e la produttività. L'efficacia di questa tecnologia viene verificata ogni giorno dal nostro team di ricerca e dimostra costantemente risultati eccellenti nell'identificazione e nella mitigazione degli attacchi.

Harmony Endpoint, il prodotto leader di Check Point per la prevenzione e la risposta degli endpoint, include la tecnologia Anti-ransomware e fornisce protezione ai browser web e agli endpoint, sfruttando le protezioni di rete leader del settore di Check Point. Harmony Endpoint offre un threat prevention completo e in tempo reale e la bonifica di tutti i vettori di minacce malware, consentendo ai dipendenti di lavorare in sicurezza ovunque si trovino, senza compromettere la produttività.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK