I ransomware sono un particolare tipo di malware che blocca l’accesso ai dati di una vittima attraverso una complessa crittografia, rendendo i file inutilizzabili finché non viene pagato, solitamente tramite una criptovaluta, un riscatto (in inglese, “ransom”). Rappresentano una minaccia informatica in grado di mettere in ginocchio utenti privati, aziende e persino interi settori pubblici. Per difendersi, la semplice creazione di backup non è più una difesa sufficiente, visto che gli aggressori moderni puntano anche a compromettere queste copie di sicurezza, impedendo il ripristino dei dati. La situazione è resa ancora più grave da tattiche di estorsione che minacciano di diffondere informazioni rubate. In questo articolo vi spiegheremo più nel dettaglio come funziona un attacco ransomware, quali sono le fasi principali in cui avviene e, soprattutto, cosa fare per proteggersi e/o reagire in caso di attacco.
Cosa fa un ransomware e come avviene l’attacco del malware
Come abbiamo visto, i ransomware sono programmi malevoli che limitano l'accesso a dispositivi digitali (PC, smartphone, tablet, smart TV ecc.) o a specifici dati (video, file ecc.) con successiva richiesta di riscatto (ransom in inglese vuol dire proprio “riscatto”). Che questi malware siano una delle minacce informatiche più importanti degli ultimi anni sono i dati a dirlo. Secondo il 2023 Data Breach Investigations di Verizon, nel 2023 i ransomware erano presenti nel 24% di tutte le violazioni dei dati e l’indagine The State of Ransomware 2023 di Sophos ha rilevato che il 66% delle organizzazioni aveva subìto almeno un attacco nel 2023. Stando al 2024 Ransomware Trends Report di Veeam, inoltre, il 96% degli attacchi ransomware aveva colpito i dati di backup e solo il 28% di coloro che avevano pagato il riscatto (meno di un terzo praticamente) era riuscito a rientrare in possesso dei dati presi in ostaggio.
Ma com'è possibile che avvenga tutto ciò? Come avviene un attacco ransomware? Alcuni esperti di sicurezza schematizzano questo genere di attacchi in 6 differenti fasi.
- Distribuzione: questa fase viene perpetrata tramite messaggi ed e-mail di phishing che inducono le vittime a cliccare su link pericolosi o a scaricare allegati dannosi. Altre vie di ingresso sono i protocolli di accesso remoto non protetti e vulnerabilità software non corrette.
- Comando e controllo: una volta infettato il sistema, il malware comunica con un server di comando e controllo, detto anche C&C, che è configurato e gestito dai criminali informatici che perpetrano l'attacco, utilizzandolo per ricevere istruzioni e chiavi di crittografia. In questo modo vengono installati eventuali altri malware facilitando agli aggressori le altre fasi di vita del ransomware.
- Scoperta: in questa fase gli hacker esplorano il sistema su cui si sono infiltrati alla ricerca di dati importanti (o compromettenti) e si sposta tra i dispositivi e diffondendo così l'infezione.
- Crittografia: a questo punto i file vengono bloccati e i dati sottratti vengono inviati al server C&C.
- Estorsione: è in questa fase che i criminali chiedono un riscatto. Come alcune delle statistiche menzionate poc'anzi dimostrano, il pagamento non garantisce il ripristino dei file, poiché in alcuni casi il malware è programmato per distruggerli, indipendentemente dal riscatto.
- Risoluzione: a questo punto la vittima deve decidere se negoziare o meno con gli attaccanti, se ripristinare i dati tramite backup (a patto che anche questi non siano stati compromessi) o persino ricostruire l’intero sistema da zero.
Come proteggersi in caso di attacco ransomware
Facciamo uno “zoom” sull'ultima fase dell'attacco, ovvero quella della risoluzione, andando a vedere cosa fare in caso di attacco ransomware. Di seguito vi forniamo una sorta di “prontuario” che potrebbe tornarvi utile in una situazione così complessa.
- Contattate le autorità: il ransomware è a tutti gli effetti un'estorsione informatica. Contattare la Polizia Postale e sporgere denuncia dell'accaduto, non solo potrebbe aumentare le vostre probabilità di tornare in possesso dei dati crittografati, ma potreste anche proteggere altri da violazioni come quelle che purtroppo avete subìto.
- Scatta una foto del messaggio ransomware: in questo modo potrete allegare la foto nella denuncia che presenterete alle autorità.
- Interrompete le connessioni in entrata e in uscita: questo significa disconnettervi dal Wi-Fi, scollegare il cavo Ethernet dal computer o fare qualsiasi altra azione necessaria per terminare la connessione. Interrompere la connessione Internet è infatti il modo migliore per mettere in quarantena il dispositivo infetto.
- Scollegate i dispositivi di archiviazione esterni: se avete creato dei backup dei vostri file, dovete immediatamente scollegarli per evitare che anche questi vengano presi in ostaggio dai criminali informatici che stanno perpetrando l'attacco.
- Fate una reinstallazione “pulita” del sistema operativo: se avete copie di backup al sicuro, cancellare il contenuto del disco rigido e reinstallare il sistema operativo potrebbe essere l'unico modo possibile per debellare il malware.
- Usate i tool di decrittazione dell'antivirus: se disponete di un buon antivirus, può darsi che questo disponga di uno strumento di questo tipo, pensato proprio per riappropriarsi dei file crittografati dal ransomware senza pagare alcun riscatto.
- Identificate il ceppo di ransomware: questo può mettervi nelle condizioni di risalire al codice di crittografia necessario per sbloccare il dispositivo. Potreste trovarne alcuni utili a questo scopo sul sito NoMoreRansom.org. Trovare il ceppo di ransomware che vi ha colpiti può essere un'altra informazione preziosa da condividere con le autorità nel momento in cui vi rivolgerete loro.
- Reimpostate tutte le tue password: questo vale anche nel caso in cui siate riusciti a debellare il ransomware. Non fermatevi solo a reimpostare alcune password, ma agite su tutte quelle in vostro possesso, comprese quelle salvate nel browser Web o nel portachiavi del sistema operativo.
Oltre ai suggerimenti indicati nei punti precedenti, vi invitiamo a prendere visione dell'elenco di controllo diffuso dalla CISA (Cybersecurity and Infrastructure Security Agency), che è presente in una in una guida congiunta che è stata prodotta insieme a FBI (Federal Bureau of Investigation), NSA (National Security Agency) e MS-ISAC (Multi-State Information Sharing and Analysis Center).
Come prevenire un attacco ransomware
Se finora non avete avuto problemi con i ransomware, fate attenzione a non peccare di eccessiva sicurezza. Al contrario, fareste bene a imparare a mitigare i rischi di attacchi ransomware che, ribadiamolo, possono colpire chiunque.
A questo riguardo gli esperti di sicurezza informatica raccomandano di implementare, come minimo, strumenti e strategie di sicurezza informatica essenziali, tra cui l'uso di antimalware, autenticazione a più fattori, firewall, filtraggio della sicurezza della posta elettronica, filtraggio Web, analisi del traffico di rete, tecnologie di accesso remoto sicuro (come le VPN), e così via.
È importante anche mantenere aggiornati i software, quindi sia il sistema operativo che i programmi applicativi. Quando l'attacco ransomware WannaCry (uno dei più famosi della storia) ha colpito per la prima volta a maggio 2017, sfruttò proprio una vulnerabilità nota per la quale Microsoft aveva rilasciato una patch due mesi prima. Coloro che l'avevano installata poterono evitare il peggio.
Altra cosa importante, create più copie di backup. Cosa ancora più importante, specialmente in ambito aziendale, fate in modo che il backup sia inaccessibile dall'ambiente IT primario, ricordandovi che i criminali informatici cercano di propagare l'infezione all'intera infrastruttura informatica.