Cosa è un ransomware?
Il ransomware è un tipo di malware che tenta di estorcere denaro dal proprietario di un computer, infettando o prendendo il controllo dei file e dei documenti presenti su un determinato PC.
Normalmente, il ransomware può bloccare il computer, impedendo così il normale utilizzo o può criptare i file, rendendoli così inutilizzabili.
Se conosci il nemico e te stesso, la tua vittoria è sicura.
Se conosci te stesso ma non il tuo nemico, le tue probabilità di vincere e perdere sono uguali
Se non conosci il nemico e nemmeno te stesso, soccomberai in ogni battaglia.
L'arte della guerra
Perchè i ransomware sono così efficaci?
Gli utenti attaccati da un ransomware che ha criptato tutti i dati sono aumentati del 48,3% nel 2015!
Fonte: Kaspersky Lab Security Bulletin
Il ransomware è una vera e propria estorsione, in versione digitale.
Il ransomware fa leva sulle emozioni umane della paura, dell'imbarazzo o della curiosità dell'utente.
Una situazione tipica è quella in cui una persona riceve un messaggio anonimo in cui gli viene notificato che ha violato un protocollo di internet visitando un sito dal contenuto non appropriato o illegale e per questo si deve pagare una multa. Una volta cliccato su un link contenuto in questa comunicazione, tutti i file sono criptati e, se il malcapitato non paga, i documenti non vengono restituiti. Talvolta si viene addirittura minacciati con la possibilità di veder pubblicati tutti i file, se non si paga il riscatto.
La minaccia sembra talmente reale che l'utente decide di pagare.
Altre volte ancora un impiegato riceve una email da un collega o da un amico. Nell'email si richiede di scaricare una fattura. Non appena l'utente scarica il documenti, tutto il suo computer viene bloccato. E' raro che si contatti il tecnico informatico prima di fare il download di questo file, e così si viene colpiti dal ransomware.
Per quale motivo gli hacker diffondono ransomware?
Come per tutti i crimini, anche nel caso del ransomware è naturale domandarsi il motivo della sua esistenza e diffusione.
Nel caso dei ransomware la motivazione è puramente economica.
Quando si parla di criminalità informatica, talvolta ci sono motivazioni articolate, come creare imbarazzo nell''individuo o in una organizzazione oppure vi sono ragioni politiche.
Il ransomware è invece solo un mezzo molto profittevole per fare soldi.
A fronte di 2,453 attacchi di ransomware, le vittime hanno pagato 24 milioni di dollari nel 2015.
Fonte: FBI Internet Crime Complaint Center
Secondo una ricerca condotta dall'Interdisciplinary Research Centre in Cyber Security dell'università di Kent, più del 40% delle vittime del CrytpoLocker hanno pagato il riscatto.
Non stupisce dunque che i criminali informatici considerino il ransomware come una vera opportunità di business.
Il riscatto medio per recuperare i file criptati si aggira sui 300 dollari per i privati e per le aziende sui 10.000 dollari.
Il pagamento viene richiesto in bitcoin, così che sia difficile da tracciare.
Come funziona il ransomware?
Il ransomware è un cybercrimine molto particolare. A differenza degli hacker che tentano di rubare i dati, il ransomware te ne impedisce semplicemente l'accesso e l'utilizzo. Chi rimane vittima, è completamente bloccato nel lavoro e rischia di perdere tutti i documenti e i file.
Quando si è attaccati da un ransomware, gli step sono sostanzialmente simili:
- il ransomware si installa sul computer quando l'utente apre un file infetto, generalmente via email, social network o visitando un sito internet maligno.
- si genera un pop-up, una pagina internet o un'email che informa il malcapitato dell'accaduto.
- il ransomware crea una chiave di criptazione unica per ciascun file.
3 tipologie di ransomware
Tutti i ransomware possono essere classificati in 3 categorie. All'interno di ciascuno di queste 3 categorie troviamo poi diverse varianti.
ENCRYPTION O CRYPTO-RANSOMWARE
Vengono criptati i file personali, come documenti, foto, video.
La vittima può utiizzare comunque il computer, ad eccezion fatta per i file criptati.
Una volta criptati, i file vengono cancellati e, al loro posto, appare un file di testo con le istruzioni per il riscatto.
Spesso questo tipo di ransomware ha anche una scadenza entro cui bisogna effettuare il pagamento.
Potrebbe apparire un blocca-schermo, ma questo dipende dalla variante di virus.
LOCKSCREEN RANSOMWARE
Il computer è bloccato e completamente inutilizzabile.
Compare una immagine su tutto lo schermo che impedisce l'accesso a qualsiasi finestra.
Non vengono criptati i file personali.
MASTER BOOT RECORD (MBR) RANSOMWARE
IL MBR è un settore dell'hard disk, che contiene la sequenza di comandi e istruzioni necessarie all'avvio del sistema operativo.
Questo malware cambia il MBR di un computer così che il normale sistema di avvio è bloccato.
Il ransomware che ha più successo è il crypto-ransomware, grazie anche al limite temporale che impone per il riscatto.
Il Lockscreen ransomware, sebbene ancora sviluppato, è al momento il meno diffuso. Tuttavia gli esperti di sicurezza informatica prevedono una sua seconda rinascita collegata all'imminente diffusione dell'IoT (Internet of Things).
MA VALE SOLO PER I COMPUTER ?
Secondo le previsioni di Gartner, entro il 2020 una vettura su cinque nel mondo sarà connessa a internet, arrivando così a 250 milioni di auto "online".
Quanto pagheresti per riscattare la tua auto?
Ma anche il tuo frigorifero, il tuo braccialetto sportivo o addirittura la casa?
Le principali credenze sui ransomware
Il target dei criminali informatici sono gli individui, e non le aziende.
Falso! Basta domandarsi "quanto può essere pericoloso un ransomware per un'azienda" e, soprattutto, quanto può pagare un'azienda per rientrare in possesso di tutti i file criptati?
I riscatti pagati dagli individui impallidiscono se paragonati ai riscatti che può pagare un'azienda, che non può proseguire nelle sue consuete attività senza i documenti e il sistema operativo.
E, come visto prima, i riscatti richiesti alle aziende sono decisamente superiori rispetto a quanto viene richiesto agli individui.
Il target dei criminali informatici sono le grandi aziende, non le PMI.
I criminali informatici non considerano le dimensioni dell'azienda. L'importante è bloccare il business di un'azienda, costringendola dunque a pagare il riscatto
Tutto sommato, il ransomware non è una vera minaccia
Solo il 37% delle aziende considera il ransomware come una vera minaccia. Questo implica che la maggior parte delle aziende ha la guardia abbassata, e di questo i criminali informatici ne sono coscienti.
Pagare o non pagare?
Questo è il problema.
Non bisogna pagare il riscatto, per varie motivazioni:
- Non c'è nessuna garanzia che ti verrà effettivamente fornita la chiave di decriptazione. Ci sono stati svariati casi in cui i cybercriminali non avevano effettivamente accesso alla chiave per decriptare i file infettati. Infatti i ransomware sono ormai disponibili sul mercato nero. Perciò alcuni hackers prendono tali malware, modificano le credenziali per il pagamento e diffondono il virus.
- Il ransomware non è il tuo unico problema. Se pagare il riscatto è la tua unica opzione, significa che non hai nè un sistema di disaster recovery nè di back-up. Se è così, difficilmente sarai in grado di ripulire interamente la tua infrastruttura informatica dal malware.
- Non cedere a questa estorsione. Pagare il riscatto, significa alimentare un circolo vizioso. Parte dei ricavi del riscatto verranno presumibilmente investiti nello sviluppo di ransomware sempre più pericolosi.
Ora sai cosa non fare in caso di infezione. Ma come prevenire prevenire l'attacco di un ransomware? Leggi i nostri 10 consigli per prevenire un attacco ransomware.