Ransomware: significato e come difendersi dagli attacchi

Che cos'è il ransomware?

Il ransomware è un tipo di attacco informatico in cui un malware si infiltra in un sistema informatico e crittografa i dati od ottiene il controllo del computer. Per riavere indietro i dati o il controllo, gli hacker chiedono poi alle vittime di pagare un riscatto. Sia i PC che i sistemi informatici aziendali sono vulnerabili al ransomware.

Negli ultimi anni, tuttavia, le aziende sono diventate l'obiettivo principale sia perché i loro sistemi in rete tendono a presentare vulnerabilità di sicurezza invisibili, sia perché sono più disponibili a pagare riscatti anche molto consistenti per evitare downtime prolungati.

Come funziona il ransomware?

Per sferrare un attacco ransomware a un sistema, un hacker deve prima ottenere l'accesso al sistema stesso. I metodi per farlo sono diventati piuttosto sofisticati e utilizzano exploit zero‑day sconosciuti o contro i quali non sono state applicate le apposite patch.

Spesso tutto comincia con un attacco di phishing, un'email pericolosa, allegati email compromessi, worm informatici aggressivi, exploit di vulnerabilità, attacchi mirati o di tipo clickjacking (ossia vengono inseriti collegamenti ipertestuali alternativi malevoli all'interno di contenuti cliccabili altrimenti legittimi).

Il ransomware può penetrare senza essere rilevato o causare danni a livello di file se l'antivirus installato nel sistema non possiede già la firma del malware o non esegue la scansione in tempo reale. Un computer in rete, poi, consente l'accesso anche ad altri computer e dispositivi di archiviazione collegati. 

Esistono due tipi principali di ransomware: gli attacchi di tipo screen‑locking e quelli di tipo encrypting. Gli attacchi di tipo encrypting crittografano i dati del sistema e richiedono una chiave di decriptazione per poterli ripristinare. Gli attacchi di tipo screen‑locking, invece, impediscono l'accesso a un sistema informatico tramite il blocco dello schermo.

In entrambi i tipi di attacco viene solitamente utilizzata una schermata di blocco in cui si comunica all'utente che il ransomware ha preso il controllo del computer, qual è l'importo da pagare per il riscatto, e come fare per recuperare l'accesso ai dati o riacquisire il controllo del sistema (solitamente tramite una chiave di decriptazione o altro codice). Spesso il messaggio avverte che in caso di mancato pagamento del riscatto richiesto i dati saranno eliminati o resi pubblici. 

Mentre in passato gli aggressori esigevano il pagamento del riscatto tramite carte regalo, bonifici bancari o servizi prepagati, oggi il metodo preferito è generalmente costituito da Bitcoin e altre criptovalute. Il problema è che il pagamento del riscatto comunque non garantisce che l'utente o l'azienda possa riprendere il controllo dei propri dati.

Oggi la maggior parte dei ransomware esfiltrano i dati prima di eseguire il processo di crittografia, il che comporta la perdita della governance dei dati e la violazione di norme quali HIPAA o PCI. Non vi è alcuna garanzia che i dati vengano completamente restituiti dai cybercriminali; talvolta, anzi, dopo aver ricevuto il riscatto e riportato i dati sotto il controllo dell'organizzazione, gli aggressori possono installare ancora più malware sul sistema.

Chi viene preso di mira dal ransomware?

Purtroppo il ransomware può colpire qualunque obiettivo – dai PC di casa ai sistemi informatici in rete delle multinazionali. In sostanza, qualsiasi dispositivo connesso a Internet è a rischio. 

Sebbene il ransomware abbia colpito aziende di tutte le dimensioni, in tutti i settori e in tutto il mondo, gli esperti hanno notato alcuni pattern ricorrenti. Determinati settori sono più a rischio di altri per via degli enormi volumi di dati sensibili che possiedono o della portata dei danni che causerebbe un attacco. Le aree più prese di mira sono solitamente i servizi bancari e finanziari, la sanità, il settore manifatturiero, le utilities, le agenzie governative e il settore dell'istruzione.

Quanto è comune il ransomware? 

Man mano che i metodi di attacco si evolvono e gli hacker trovano il modo di aggirare le misure di difesa, il ransomware diventa sempre più diffuso: nel solo secondo trimestre del 2021 gli attacchi ransomware sono stati 304,7 milioni (oltre 3 milioni al giorno), e l'FBI ha avvertito che in tutto il mondo circolano ormai 100 nuove tipologie di ransomware. Per farsi un'idea della crescita del fenomeno basti ricordare che nel 2020 furono registrati 304,6 milioni di attacchi ransomware nell'intero anno. 

A questi dati si aggiungono le conclusioni a cui sono giunti altri esperti: 

• Uno studio sul ransomware condotto da IDC nel 2021 ha rilevato che circa il 37% delle organizzazioni di tutto il mondo ha dichiarato di essere stata vittima di una qualche forma di attacco ransomware nel 2021. 
• L'Internet Crime Complaint Center dell'FBI ha riferito di aver ricevuto oltre 2000 denunce per attacchi ransomware nella prima metà del 2021, con un aumento del 62% rispetto all'anno precedente. 
• Alcuni degli obiettivi colpiti sono anche sistemi altamente critici. Secondo la Cybersecurity and Infrastructure Security Agency, negli Stati Uniti sono stati sferrati di recente attacchi ransomware contro 14 dei 16 settori che possiedono infrastrutture critiche per il Paese.

Esempi di ransomware 

• WannaCry: uno dei sistemi ransomware più conosciuti al giorno d'oggi. Si tratta di un worm informatico rilasciato nel maggio 2017 che utilizza l'encrypting. Noto anche con diversi altri nomi simili (WannaCrypt, WCry, ecc.), prendeva di mira i sistemi con versioni obsolete di Microsoft Windows. Il worm ha infettato circa 200˙000 computer in 150 Paesi, e si stima che abbia causato danni per miliardi di dollari. 
• CryptoLocker: questo trojan, anch'esso basato sull'encrypting, è stato attivo tra il 2013 e il 2014. Si diffondeva attraverso una botnet malevola e allegati email infetti mascherati da notifiche di tracciamento di spedizioni postali. È stato uno dei primi sistemi ransomware a richiedere il pagamento di un riscatto in Bitcoin.  
• Petya: parte di una famiglia di ransomware attiva dal 2016, Petya corrompe il record di avvio principale del computer interessato, elimina il bootloader di Windows e forza un riavvio. Quando il sistema si riaccende dopo il riavvio, il malware cripta dati preziosi e richiede un riscatto in Bitcoin. 
• NotPetya: questo ransomware, che utilizza tattiche simili a quelle di Petya, è considerato uno degli attacchi più dannosi. Infetta e cripta il record di avvio principale del computer e si diffonde tramite un worm simile a quello usato da WannaCry. Alcuni esperti lo definiscono un wiper, perché il ransomware non è in grado di annullare le modifiche che apporta al sistema rendendolo così sostanzialmente irrecuperabile. 
• Bad Rabbit: scoperto alla fine del 2017, questo ransomware si diffonde attraverso un falso aggiornamento di Adobe Flash e crittografa le tabelle file di un sistema. Ha colpito diversi obiettivi importanti tra Ucraina e Russia, tra cui l'Aeroporto internazionale di Odessa e il Ministero delle Infrastrutture ucraino. 
• Locky: rilasciato nel 2016, questo ransomware si diffondeva attraverso un'email che avvertiva di una fattura non pagata. Quando l'utente apriva l'allegato, visualizzava una pagina piena di parole senza senso, in cima alla quale si trovava un link che diceva “Abilita le macro se la codifica dei dati non è corretta”. Se l'utente cliccava sul link, un trojan criptava tutti i file che avevano una estensione specifica. 
• REvil: questo ransomware ruba i dati prima di crittografarli, in modo che anche se le vittime non pagano il riscatto, i cybercriminali possono continuare a ricattarle minacciando di pubblicare i dati sensibili in loro possesso.

L'impatto del ransomware sulle aziende 

Il ransomware può avere diverse conseguenze critiche per un'azienda. La prima e più ovvia conseguenza è di tipo economico. Secondo il Financial Crimes Enforcement Network statunitense, nella prima metà del 2021 sono stati pagati 590 milioni di dollari in riscatti. Durante l'intero 2020, stando alla stessa agenzia, la cifra si era fermata a 416 milioni di dollari. Anche se un'azienda non paga il riscatto, può comunque subire danni economici notevoli a causa della perdita di produttività e di dati. 

Oltre a causare perdite economiche il ransomware può danneggiare anche la reputazione dell'azienda, in particolare se si viene a sapere dell'attacco o se gli hacker pubblicano dati sensibili o riservati di proprietà dell'azienda vittima dell'attacco. I contenziosi relativi agli attacchi ransomware comportano costi elevati e tempi lunghi, distogliendo i dipendenti dalle loro attività quotidiane. Il sistema sanitario nazionale del Regno Unito (NHS), che ha subìto perdite per oltre 100 milioni di dollari tra visite annullate e downtime, è un esempio emblematico.  

A tutto questo vanno aggiunte le possibili e costosissime multe specifiche per i diversi settori, che vanno a sommarsi alle spese per il riscatto e il ripristino.

Come prevenire gli attacchi ransomware

Anche se non esiste un modo per prevenire o respingere al 100% qualunque tipo di attacco ransomware, ci sono comunque molte misure che un'azienda può mettere in atto per proteggersi ed eliminare le vulnerabilità che i cybercriminali prendono di mira. Te ne suggeriamo qualcuna: 

• Attua una strategia di difesa approfondita. Creare più livelli di protezione che difendano il tuo intero sistema è una mossa saggia per ridurre il rischio di ransomware e di altri cyberattacchi. 
• Insegna al personale cos'è il ransomware e come si diffonde. Spiega ai dipendenti i vari modi che i cybercriminali sfruttano per introdursi in un sistema, come per esempio le tattiche di ingegneria sociale o l'invio di documenti e allegati fasulli che invogliano gli utenti a cliccarci sopra. 
• Monitora i tuoi sistemi ed esegui frequentemente il backup dei dati. Usa gli strumenti di monitoraggio per avvisare i team IT di comportamenti e traffico insoliti nell'accesso ai dati. Per ridurre al minimo il rischio di perdita dei dati, custodisci inoltre delle copie di backup (di cui almeno una conservata in una sede diversa dal datacenter aziendale). 
• Applica le patch non appena vengono rilasciate. Dato che il ransomware entra solitamente in un sistema sfruttando le vulnerabilità esistenti, tenerti al passo con gli aggiornamenti ti permette di chiudere questo tipo di punti di accesso. 
• Sviluppa e metti alla prova le tue strategie di risposta. Pianificare in anticipo la tua strategia di risposta ti aiuta a reagire in maniera rapida ed efficiente a un attacco ransomware. Eseguire una simulazione serve inoltre a garantire che tutti i dipendenti dell'azienda sappiano cosa fare in caso di attacco. 
• Garantisci la sicurezza delle email e della navigazione sul web. Spesso i ransomware entrano nel sistema attraverso un'email. È possibile utilizzare gateway di posta elettronica sicuri che identificano e bloccano le email potenzialmente pericolose e proteggono da allegati e URL sospetti o pericolosi. Allo stesso modo, i gateway web possono monitorare il traffico online per individuare pubblicità o link sospetti. 
• Proteggi i dispositivi mobili. Alcune soluzioni di gestione dei dispositivi mobili permettono di avvisare gli utenti di app o messaggi potenzialmente nocivi ricevuti tramite un dispositivo mobile. 
• Limita i privilegi di amministrazione. Assicurati di sapere quali dipendenti hanno accesso come amministratori, e di revocare l'accesso e i privilegi quando lasciano l'azienda. 
• Stila un elenco delle applicazioni consentite. Questa pratica è in grado di ridurre i rischi consentendo l'esecuzione di applicazioni prestabilite su un dispositivo o un computer e bloccando quelle che non sono state specificamente autorizzate. Può inoltre aiutare il team IT a eliminare gli elementi installati da utenti non autorizzati e a bloccare i tentativi di esecuzione di malware. 
• Adotta e metti in atto una strategia e un'architettura Zero Trust. L'approccio Zero Trust comprende una serie di controlli basati sulla filosofia “verificare sempre, fidarsi mai”. Questa filosofia presuppone l'assenza di perimetri: significa, cioè, che nessun dispositivo può essere considerato affidabile di per sé, anche se è stato precedentemente verificato e anche se è connesso a una rete autorizzata come per esempio una LAN aziendale.
• Sfrutta la separazione gestita della rete delle applicazioni con la microsegmentazione.La microsegmentazione sfrutta un modello di policy di sicurezza a livello di applicazioni, VM o dati per controllare il traffico di rete da e verso i carichi di lavoro. Utilizzando quello che viene definito un firewall software gestito, i criteri implementati da una soluzione di microsegmentazione garantiscono che solo il traffico desiderato possa raggiungere determinate applicazioni, senza aumentare i rischi di rete indesiderati.

Mi serve una protezione contro il ransomware? 

La sicurezza dei dati dev'essere una priorità per ogni organizzazione, grande o piccola che sia. Un approccio a più livelli incentrato sui vettori d'attacco critici per la tua azienda permette di ottenere sicurezza e protezione contro il ransomware. I sistemi operativi dei computer dispongono solitamente di funzioni di sicurezza integrate che contribuiscono a ridurre il rischio di un attacco ransomware, come per esempio la protezione avanzata anti-malware dei terminali.

È fondamentale però aggiungere ulteriori livelli di protezione anche a livello di infrastruttura, di reti e di dati per garantire una protezione robusta e completa. Questo tipo di strategia è nota come “difesa in profondità” e garantisce che, anche se un attacco ransomware dovesse riuscire, avrà comunque un impatto o un raggio d'azione molto minore rispetto a quello che avrebbe in assenza di tali protezioni.

Zero Trust è una strategia leader per la protezione dal ransomware. In combinazione con Zero Trust Network Access (ZTNA), Zero Trust crea punti di controllo critici per l'accesso a ogni livello dello stack tecnologico – non solo lungo il perimetro delle reti attendibili, tradizionalmente controllato da password e VPN.

Un singolo punto di autenticazione, sebbene sia ancora fondamentale per la sicurezza, in genere fornisce subito un ampio accesso alle risorse; Zero Trust, invece, crea più punti di autenticazione in base a ciò di cui un utente ha bisogno, anziché in base a ciò a cui può accedere.

Cosa fare dopo un attacco ransomware? 

Sebbene la prevenzione sia il modo migliore per evitare i danni dovuti agli attacchi ransomware, pianificare la risposta della tua organizzazione in caso di attacco è comunque un'ottima idea. Ecco alcune best practice su cosa fare dopo un attacco ransomware. 

1. Mantieni la calma e rispondi con il tuo piano di business continuity. Non poter accedere ai file critici della tua azienda o dover affrontare la minaccia che i tuoi dati vengano cancellati può essere snervante, ma è fondamentale mantenere la calma e valutare a fondo la situazione prima di agire. Pianificando in anticipo una risposta a supporto delle operazioni aziendali critiche, sarai meglio in grado di stabilire le priorità da questo punto di vista e garantire che tutti facciano il necessario per rispondere all'attacco. 
2. Contatta i tuoi team di risposta agli incidenti. Di norma bisogna dotarsi di un team di risposta agli incidenti – all'interno dell'azienda o tramite servizi come un'assicurazione informatica – che aiuti a organizzare la risposta agli attacchi e ad assegnare la priorità alle misure da prendere.
3. Segnala l'incidente alle autorità competenti. In Italia è possibile segnalare un attacco ransomware e ottenere assistenza dalle autorità italiane usando il sito web della polizia postale https://www.commissariatodips.it.
4. Documenta la richiesta di riscatto del ransomware. Scatta una foto della richiesta di riscatto inviata dal ransomware: ti sarà utile nel caso in cui tu voglia sporgere denuncia alle forze dell'ordine. 
5. Individua e isola i sistemi compromessi. Il ransomware può infettare altri computer e dispositivi in rete: è quindi importante mettere in quarantena i sistemi interessati il più rapidamente e completamente possibile, anche disconnettendo dalla rete le macchine interessate se necessario. 
6. Disattiva immediatamente le attività di manutenzione automatica. Disattiva le attività sui sistemi interessati (come per esempio la rotazione dei file di registro o la rimozione dei file temporanei) e spegni tutti i dispositivi interessati. In questo modo impedirai che queste attività possano alterare o modificare i dati che ti serviranno in seguito per l'indagine e l'analisi dell'accaduto. 
7. Disconnetti tutti i backup dei dati. I ransomware più recenti puntano ai backup per tentare di prevenire il ripristino: per questo è importante disconnettere i backup dalla rete e impedire a chiunque di accedervi, almeno finché il malware non sarà stato rimosso. 
8. Verifica la coerenza dei backup dei dati. Una volta che i backup sicuri sono scollegati, controlla lo stato e la coerenza dei backup usando un terminale che sai con certezza essere integro. I nuovi attacchi ransomware prendono sempre più di mira i backup per garantirsi il pagamento di un riscatto.
9. Cerca di capire quale ransomware ha infettato il sistema. Se riesci a capire quale tipo di ransomware ti ha colpito, combatterlo è più facile. Esistono alcuni servizi online gratuiti molto utili, come per esempio ID Ransomware e lo strumento di identificazione dei ransomware online di Emsisoft: su questi siti è possibile caricare un'immagine della richiesta di riscatto e un campione dei dati criptati; i siti tenteranno quindi di identificare lo specifico tipo di ransomware per tuo conto. 
10. Prova a risolvere il problema sfruttando gli strumenti di decriptazione. Online sono disponibili molti strumenti che ti aiutano a decriptare i dati colpiti, come ad esempio No More Ransom. In questi casi è utile conoscere il nome del ransomware che ti ha attaccato. Troverai le decriptazioni più recenti in fondo all'elenco. 
11. Reimposta le password online e degli account. Una volta disconnessi dalla rete i sistemi interessati, crea nuove password per le applicazioni e gli account online. Cambiale nuovamente tutte non appena il ransomware sarà stato completamente rimosso. 
12. Decidi se pagare il riscatto o meno. Scegliere se pagare o meno il riscatto non è facile, tanto più che qualsiasi decisione comporta dei pro e dei contro. L'importante è però tenere a mente che è opportuno pagare un riscatto solo se hai già provato senza successo tutte le altre possibili soluzioni e hai concluso che perdere i dati è più oneroso che pagare. 
13. Rivolgiti a persone esperte per sradicare completamente il malware. Oltre a coinvolgere un team di risposta agli incidenti informatici (che, come abbiamo già detto, è essenziale), rivolgiti a una persona esperta di comprovata fama e affidabilità per effettuare un'analisi delle cause alla radice del problema e comprendere quali sono le vulnerabilità e quali sistemi sono stati colpiti. Anche le operazioni di pulizia e le indagini conclusive vanno affidate a persone esperte: i cybercriminali possono infatti utilizzare qualsiasi tipo di backdoor o altri punti di accesso sconosciuti per penetrare nel sistema.
14. Ripristina in ordine di priorità. Questo passaggio dev'essere accuratamente definito nel tuo piano di business continuity. Se non lo è, identifica i sistemi e i dati davvero critici per l'operatività aziendale e assegna loro la massima priorità di ripristino. Ricorda che per sistemi critici si intendono i sistemi che influiscono sul fatturato e sulla produttività. 
15. Esegui una analisi dettagliata dell'attacco. Per prevenire attacchi futuri è fondamentale capire fin nei minimi dettagli tecnici come è avvenuto l'incidente ransomware. In questo modo potrai anche organizzare nuove iniziative e stabilire nuovi ambiti d'azione in fatto di sicurezza.
16. Richiedi una consulenza professionale per migliorare la sicurezza. Si dice che i fulmini non colpiscono mai due volte lo stesso punto: nel caso del ransomware, questo non è vero – anzi, è abbastanza frequente che un'azienda venga colpita da un secondo attacco. Se non viene identificata, la vulnerabilità che ha permesso agli hacker di entrare nel sistema può essere infatti utilizzata nuovamente. Chiedi aiuto a dei partner di fiducia o sfrutta i suggerimenti del tuo team di risposta agli incidenti per migliorare le misure di sicurezza dell'intera organizzazione.

Conclusioni

Statisticamente, prima o poi ti capiterà di subire un attacco ransomware. Non è possibile eliminare completamente il rischio, perché gli attacchi ransomware si evolvono continuamente e diventano sempre più capaci di superare le difese esistenti. Ecco perché è fondamentale disporre in anticipo di un piano di business continuity, ossia di una strategia ben studiata sul da farsi in caso di attacco ransomware. 

Tra le misure da adottare è bene sapere come reagire e cosa fare immediatamente dopo un attacco, seguire buone pratiche complessive in fatto di sicurezza, ed esercitare il massimo zelo nel lavoro di tutti i giorni per mantenere i dati al sicuro e i sistemi aggiornati in modo da ridurre le possibili vulnerabilità. 

Infine, eliminare i punti di accesso vulnerabili dai sistemi e creare un valido piano di risposta aumenta notevolmente le probabilità che la tua organizzazione riesca ad arginare rapidamente gli effetti dell'attacco.