Cos'è un ransomware? Il virus che ti ricatta spiegato semplicemente

Aggiornato il: lug 2


Il ransomware è un sottoinsieme di malware in cui l'accesso ai dati sul computer della vittima viene bloccato, in genere mediante crittografia, e viene richiesto il pagamento di un riscatto prima che i dati vengano decrittografati e l'accesso venga restituito alla vittima.


Rappresentazione di un ransomware

L'obiettivo di un attacco ransomware è solitamente monetario e, a differenza di altri tipi di attacchi, la vittima viene solitamente informata che si è verificato un attacco e riceve istruzioni su come risolvere la situazione. Il pagamento è spesso richiesto in una criptovaluta, come bitcoin, in modo che l'identità del criminale informatico rimanga anonima.


Un ransomware può essere diffuso tramite allegati di posta elettronica dannosi, app infette, dispositivi di archiviazione esterni infetti e siti web compromessi.



Tipi di ransomware

Gli aggressori possono utilizzare uno dei diversi approcci per estorcere valuta digitale alle loro vittime. Per esempio:

  • Scareware: questo malware si spaccia come software di sicurezza o supporto tecnico. La vittima inizia a ricevere notifiche pop-up che la informano di un fantomatico malware presente nel sistema e di dover acquistare una licenza per liberarsene. Ignorare queste notifiche porterà solo al moltiplicarsi di queste, di fatto rendendo inutilizzabile il sistema.

  • Screen locker: noto anche semplicemente come locker, è un tipo di ransomware progettato per bloccare completamente gli utenti fuori dai loro computer. All'avvio del computer, una vittima potrebbe vedere quello che sembra essere un sigillo ufficiale del governo, portando la vittima a credere di essere oggetto di un'inchiesta ufficiale. Dopo essere stata informata che sul computer sono stati trovati software senza licenza o contenuti illegali, alla vittima vengono fornite istruzioni su come pagare una multa elettronica. Tuttavia, le organizzazioni governative ufficiali non lo farebbero mai; passerebbero invece attraverso adeguati canali e procedure legali.

  • Ransomware crittografico: anche noto come attacco di rapimento dati, questo consente all'aggressore di accedere e crittografare i dati della vittima e richiede un pagamento per sbloccare i file. Una volta che ciò accade, non c'è alcuna garanzia che la vittima riesca a riavere i propri dati, anche una volta pagato il riscatto. L'aggressore potrebbe anche, dopo aver cifrato i dati della vittima, cercare di ingannarla vendendo un prodotto che promette di aiutare la vittima a sbloccare i file e prevenire futuri attacchi di malware.

  • Doxware: con questo malware, un utente malintenzionato può minacciare di pubblicare i dati della vittima online se la vittima non paga un riscatto.

  • Ransomware mobile: questo ransomware colpisce i dispositivi mobili. Un utente malintenzionato può utilizzare il ransomware mobile per rubare dati da un telefono o bloccarlo e richiedere un riscatto per restituire i dati o sbloccare il dispositivo.


Gli screen locker e i ransomware crittografici sono i due principali tipi di ransomware. Conoscere la differenza tra loro ti aiuterà a sapere cosa fare in caso di infezione.


Come descritto sopra, gli screen locker bloccano completamente gli utenti fuori dai loro computer fino a quando non viene pagato un riscatto. Gli screen locker negano a un utente l'accesso al sistema e ai file afflitti; tuttavia, i dati non vengono crittografati. Nei sistemi Windows, uno screen locker blocca anche l'accesso a componenti di sistema come il Task Manager di Windows. Lo schermo è bloccato fino al pagamento. In genere alla vittima vengono date istruzioni su come pagare. Gli screen locker cercano anche di indurre l'utente a pagare fingendosi un'organizzazione governativa ufficiale.


Il ransomware crittografico è oggi una delle forme più efficaci di ransomware. Come accennato in precedenza, un utente malintenzionato ottiene l'accesso e crittografa i dati della vittima, chiedendo il pagamento per sbloccare i file. Gli aggressori utilizzano algoritmi di crittografia complessi per crittografare tutti i dati salvati sul dispositivo. Di solito viene lasciata una nota sul sistema infetto con le informazioni su come recuperare i dati crittografati dopo il pagamento. Rispetto agli screen locker, il ransomware crittografico mette i dati della vittima in un pericolo più immediato e non vi è alcuna garanzia che la vittima riesca a recuperarli dopo il pagamento del riscatto.


In entrambi i casi, la vittima potrebbe ricevere un messaggio pop-up o un'e-mail di richiesta di riscatto che avverte che se la somma richiesta non viene pagata entro una data specifica, la chiave privata necessaria per sbloccare il dispositivo o decrittografare i file verrà distrutta.



Ransomware: i numeri

Uno dei motivi principali per cui i ransomware possono raggiungere una scala così dannosa è la mancanza di segnalazioni. Nel 2018, safeatlast.co, un sito web che offre ai consumatori valutazioni, recensioni e statistiche su vari sistemi di sicurezza, ha rilevato che meno di un quarto delle piccole e medie imprese segnala gli attacchi ransomware ricevuti. Questo è molto probabilmente dato dal fatto che c'è una bassa probabilità che riescano a recuperare i soldi del riscatto.


La mancanza di segnalazioni non significa che gli attacchi ransomware siano rari, tuttavia, soprattutto tra le piccole imprese. Symantec ha stimato che le organizzazioni più piccole (1-250 dipendenti) hanno il più alto tasso di e-mail dannose mirate tra tutti i dati demografici, con 1 su 323 e-mail dannose.


Un'analisi di safeatlast.co ha stimato che nel 2019 un'azienda cade vittima di un attacco ransomware ogni 14 secondi. Si prevede che tale intervallo si ridurrà a una ogni 11 secondi entro il 2021. Ciò può essere attribuito in parte alla crescente prevalenza di dispositivi IoT, che secondo Symantec subiscono una media di 5.200 attacchi al mese.


Ancora più importante, safeatlast.co ha stimato nel 2018 che il 77% delle aziende soggette a un attacco ransomware fosse fornito di tecnologia di sicurezza informatica all'avanguardia. Ciò dimostra che l'utilizzo e la corretta manutenzione di un software di sicurezza medio non è sufficiente per scoraggiare gli attacchi ransomware.


Le statistiche sui ransomware generalmente indicano il ransomware come potenzialmente la preoccupazione numero uno per le aziende perché colpiscono frequentemente, hanno la capacità di vincolare ingenti somme di denaro e possono diffondersi ed evolversi molto rapidamente oltre le difese standard. Inoltre, i riscatti stessi sono difficili da monitorare, con circa il 95% di tutti i profitti scambiati utilizzando criptovalute.


Effetti dei ransomware sulle aziende

L'impatto di un attacco ransomware su un'azienda può essere devastante. Secondo safeatlast.co, i ransomware sono costati alle aziende oltre 8 miliardi di dollari nell'ultimo anno e oltre la metà di tutti gli attacchi di malware erano attacchi ransomware. Alcuni effetti includono:

  • Tempo di inattività a causa di un'infrastruttura compromessa

  • Perdita di produttività a causa dei tempi di fermo

  • Sforzi di recupero costosi che potenzialmente superano il riscatto stesso

  • Danni a lungo termine sia ai dati che all'infrastruttura dati

  • Danni alla reputazione di un'azienda ritenuta sicura

  • Perdita di clienti e, nei casi peggiori, potenziale danno personale se l'azienda si occupa di servizi pubblici come l'assistenza sanitaria



Prevenzione degli attacchi ransomware

Per proteggersi dalle minacce ransomware e da altri tipi di estorsione informatica, gli esperti invitano gli utenti a eseguire regolarmente il backup dei dispositivi informatici e ad aggiornare il software, compreso il software antivirus. Gli utenti devono fare attenzione a non fare clic sui collegamenti nelle e-mail di estranei o ad aprire allegati e-mail sospetti. Bisognerebbe soprattutto fare tutto il possibile per evitare di pagare i riscatti, in quanto il pagamento incoraggerebbe i malintenzionati a ripetere l'attacco.


Sebbene gli attacchi ransomware possano essere quasi impossibili da fermare, gli individui e le organizzazioni possono adottare importanti misure di protezione dei dati per garantire che il danno sia minimo e il ripristino sia il più rapido possibile. Le strategie includono:

  • Compartimentazione dei sistemi e dei domini di autenticazione

  • Mantenere gli snapshot di archiviazione aggiornati al di fuori del pool di archiviazione principale

  • Imporre limiti rigidi su chi può accedere ai dati e quando l'accesso è consentito


Come rimuovere un ransomware

Non vi è alcuna garanzia che tu possa fermare un attacco ransomware e recuperare i tuoi dati; tuttavia, esistono dei metodi che potrebbero funzionare in alcuni casi. Ad esempio, puoi provare ad arrestare e riavviare il sistema in modalità provvisoria, installare un programma antimalware, eseguire la scansione del computer e ripristinare il computer a uno stato precedente, non infetto.


In caso tutto ciàò non dovesse funzionare, l'unica soluzione sarebbe ripristinare il sistema da un backup archiviato su un disco separato. In mancanza di un backup rimasto intatto, l'unica soluzione è formattare il computer e reinstallare il sistema operativo.


0 commenti

Post correlati

Mostra tutti

Resta Informatizzato

Non perderti mai un nuovo post.

Grazie per l'iscrizione!