Il ransomware è un malware che cripta file importanti sui sistemi di archiviazione locale e di rete e chiede un riscatto per decriptarli. Gli hacker sviluppano questo malware per ottenere denaro attraverso l'estorsione digitale.
Il ransomware cripta i file, la chiave non può essere forzata e l'unico modo per recuperare le informazioni è da un backup.
Il modo in cui funziona il ransomware lo rende particolarmente dannoso. Altri tipi di malware distruggono o rubano i dati ma lasciano aperte altre opzioni di recupero. Con il ransomware, se non ci sono backup, è necessario pagare il riscatto per recuperare i dati. A volte le aziende pagano il riscatto e l'aggressore non invia comunque la chiave di decrittazione.
Una volta che il ransomware inizia a lavorare, scansiona i sistemi di archiviazione locali e di rete, alla ricerca di file da criptare. Prende di mira i file che ritiene importanti per l'azienda o per gli individui. Questi includono i file di backup che potrebbero aiutare a recuperare le informazioni. Di seguito sono riportati alcuni tipi di file che il ransomware prende di mira:
Diversi tipi di ransomware prendono di mira diversi insiemi di file, ma ci sono anche obiettivi comuni. La maggior parte dei ransomware prende di mira i file di Microsoft Office perché spesso contengono informazioni aziendali critiche. Prendere di mira i file importanti aumenta la possibilità di ottenere il pagamento del riscatto.
Il ransomware è diverso dagli altri malware per ciò che fa dopo l'attivazione. Di solito viene eseguito quando un utente apre un allegato o clicca su un link in un'email di phishing. Il malware viene quindi scaricato da un server controllato dall'attaccante.
Dopo che il ransomware viene scaricato, può rimanere inattivo sull'unità di rete o essere eseguito direttamente su un computer infetto. Quando viene eseguito, analizza i sistemi di archiviazione locali e di rete disponibili alla ricerca di file con estensioni mirate e li crittografa. La crittografia può essere asimmetrica o simmetrica, ma molti recenti attacchi ransomware usano entrambe le tecniche.
Un aggressore richiede sempre un pagamento in criptovaluta, generalmente in Bitcoin. Ricevere i pagamenti in questo modo riduce il rischio di essere scoperti. Per evitare di essere identificati, gli aggressori usano anche server appartenenti a TOR, una rete che tutela l'anonimato.
Dopo che il ransomware cripta i file, mostra un messaggio all'azienda. Gli aggressori chiedono un pagamento in cambio delle chiavi per sbloccare i file. Il riscatto può essere di poche centinaia o di qualche milione di dollari. Se non si paga subito, il gestore del malware aumenta l'importo del riscatto.
Alcuni attacchi ransomware presentano una doppia estorsione. L'aggressore richiede un riscatto per liberare i file e pubblica anche una lista di aziende che sono state attaccate ma che si sono rifiutate di pagare. La doppia estorsione motiva ulteriormente la vittima a pagare il riscatto per evitare danni di immagine al proprio marchio.
Ci sono varianti di ransomware che differiscono nel modo in cui criptano i dati e impediscono alle vittime di ottenere la chiave di decrittazione. I vecchi ransomware usavano la crittografia asimmetrica sul client o sul server o la semplice crittografia simmetrica. I ransomware più recenti combinano le due tecniche per aumentare l'efficacia di un attacco.
Gli hacker che utilizzano il ransomware oggi raramente usano la sola crittografia simmetrica. La crittografia simmetrica di per sé utilizza una singola chiave per la crittografia e la decrittografia. La chiave è spesso memorizzata sul sistema locale. Qui, specialisti e ricercatori possono individuarla e decifrare i dati senza pagare il riscatto. Per risolvere questo problema, gli hacker ora usano più comunemente la crittografia ibrida.
La crittografia asimmetrica utilizza una chiave pubblica per crittografare i dati e una chiave privata separata per decifrarli. Un metodo di crittografia comune è la crittografia RSA, utilizzata anche da HTTPS. RSA è più lento della crittografia simmetrica, e tutti i file devono essere crittografati prima che l'attaccante possa inviare la chiave privata al server.
Il software termina la crittografia, invia la chiave privata al server dell'attaccante e la cancella dalla memoria locale. Il rischio è che il computer vada offline prima che il processo di crittografia sia completato. In questo caso, la chiave privata non viene mai trasferita al server dell'aggressore. L'attaccante non è quindi in grado di chiedere un riscatto.
La crittografia asimmetrica lato server risolve il problema della crittografia lato client crittografando i file quando il computer si collega online. Il server dell'aggressore genera una coppia di chiavi privata/pubblica e cripta i file con la chiave pubblica del server.
Quando si paga il riscatto, l'aggressore trasferisce la chiave privata per la decrittazione. Il rischio per l'aggressore è che quando viene trasferita la chiave privata, è possibile eseguire un'intercettazione e ottenere la chiave. Il rischio per l'aggressore è che quando viene trasferita la chiave privata, è possibile eseguire un'intercettazione e ottenere la chiave, che può poi essere condivisa con altre aziende colpite, rendendo il ransomware inoffensivo.
Gli hacker hanno scoperto che le prime versioni del ransomware erano vulnerabili, così hanno progettato delle versioni ibride. Nelle versioni ibride, il software genera due set di chiavi, e una catena di crittografia risolve i problemi presenti nelle versioni precedenti. La catena di crittografia funziona così:
Il modo migliore per proteggersi dal ransomware è attraverso i backup. I file di backup memorizzati localmente o su un'unità di rete sono vulnerabili. I sistemi di archiviazione in cloud sono protetti dalle scansioni di rete dei ransomware, quindi sono una buona soluzione per il recupero. Un'eccezione è il caso in cui si mappa un sistema di archiviazione in cloud sotto forma di un'unità o una sottocartella locali.
Per prevenire i danni del ransomware, è meglio arrestarlo prima che si attivi. La maggior parte degli attacchi inizia quando gli utenti scaricano involontariamente il software direttamente o eseguono uno script dannoso per sbaglio.
Due modi per impedire agli utenti di scaricare ransomware sono il filtraggio dei contenuti basato sul DNS e la cybersecurity delle email che incorpori la quarantena basata sull'intelligenza artificiale. Il filtraggio dei contenuti basato sul DNS impedisce agli utenti di navigare sui siti web inclusi nella lista dei siti non consentiti. I filtri email inviano contenuti e allegati dannosi alla quarantena per la revisione da parte dell'amministratore.
Infine, è opportuno eseguire sempre un software anti-malware con machine learning e monitoraggio del comportamento su ogni dispositivo, compreso quello mobile. Una buona applicazione anti-malware rileva il ransomware prima che possa accedere alla memoria e criptare i file. Per la massima efficacia, il software anti-malware deve essere sempre patchato e aggiornato in modo che possa riconoscere le ultime minacce.
Gli attacchi ransomware colpiscono migliaia di utenti in tutto il mondo. In alcuni casi, anche dopo che le vittime pensano che il ransomware sia contenuto, questo può continuare a causare problemi. I programmi anti-malware rilevano molte vecchie versioni, ma gli hacker ne sviluppano continuamente di nuove per evitare il rilevamento.
Per esempio, nel 2018 e 2019, il ransomware Ryuk ha disabilitato la funzionalità di ripristino del sistema di Windows. Gli utenti non erano quindi in grado di recuperare lo stato da un punto di ripristino precedente del sistema operativo. Poiché ha preso di mira le imprese, Ryuk ha richiesto centinaia di migliaia di dollari di riscatto.
CryptoLocker, WannaCry e Petya sono state tutte forme diverse di ransomware che hanno causato il blocco di infrastrutture globali, colpendo anche banche e agenzie governative. WannaCry, in particolare, ha preso di mira le macchine Windows e ha utilizzato un exploit sviluppato dalla National Security Agency (NSA) degli Stati Uniti per analizzare le unità di rete aperte e crittografare i file vulnerabili.
Le minacce ransomware ancora in atto includono Gandcrab, SamSam, Zeppelin e REvil. Nonostante queste varianti sono più recenti, costituiscono comunque forme di malware pericolose con la capacità di distruggere i sistemi aziendali.
Fonte: David Sancho - Senior Threat Researcher - Trend Micro
Il ransomware prende di mira aziende di qualsiasi dimensione, paralizzandone le attività nel caso in cui non siano disponibili dei backup. Comprendere il modo in cui funziona il ransomware e come può colpire la propria azienda aiuta a difendersi meglio. Il modo migliore per fermare un attacco è educare gli utenti, eseguire le applicazioni anti-malware su tutti i dispositivi e impedire agli utenti di accedere a messaggi email dannosi.
Scarica qui la ricerca Trend Micro
https://www.trendmicro.com/vinfo/it/security/news/cybercrime-and-digital-threats/the-future-of-ransomware
Gli attori maligni sono sempre alla ricerca di nuove tecnologie da abusare, di eventi mondiali significativi da sfruttare e di asset mal gestiti e vulnerabili da compromettere.
Utilizzando la piattaforma Trend Micro Vision One, il nostro team MDR è stato in grado di identificare e contenere rapidamente un tentativo di intrusione di ransomware Play.
Ricerche correlate
Articoli correlati