Il ransomware è un tipo di malware (malware) che può manifestarsi in diversi modi, colpendo sia singoli sistemi che reti di aziende, ospedali, aeroporti ed enti governativi.

Il ransomware è migliorato continuamente ed è diventato più sofisticato sin dalla sua prima apparizione nel 1989. Mentre i formati semplici in genere non crittografano il ransomware, quelli moderni utilizzano metodi crittografici per crittografare i file, rendendoli inaccessibili. La crittografia ransomware può essere utilizzata anche sui dischi rigidi per bloccare completamente il sistema operativo di un computer, impedendo alla vittima di accedervi. L'obiettivo finale è convincere la vittima a pagare per ricevere la decrittazione, che di solito viene richiesta in valute digitali difficili da tracciare (come Bitcoin o altre criptovalute). Tuttavia, non vi è alcuna garanzia che dopo il pagamento gli aggressori rispettino le loro condizioni.

Negli ultimi dieci anni (in particolare nel 2017) la popolarità del ransomware è notevolmente aumentata; in quanto attacco informatico motivato da fini economici, è attualmente la minaccia malware più nota al mondo, come riportato da Europol (IOCTA 2018).


Come si diventa vittime?

  • Phishing: una forma ricorrente di ingegneria sociale. Nel contesto del ransomware, le e-mail di phishing sono una delle forme più diffuse di distribuzione di malware. Le vittime vengono solitamente infettate tramite allegati e-mail compromessi o tramite link camuffati da legittimi. All'interno di una rete informatica, una singola vittima può essere sufficiente a compromettere un'intera organizzazione.

  • Exploit Kit: un pacchetto di vari strumenti dannosi e codice software pre-scritto. Questi kit sono progettati per sfruttare problemi e vulnerabilità nelle applicazioni software e nei sistemi operativi per diffondere malware (i più pericolosi sono i sistemi con software obsoleto).

  • Malvertising: gli aggressori sfruttano le reti pubblicitarie per distribuire ransomware.


Come proteggersi dagli attacchi ransomware?

  • Utilizza regolarmente unità esterne per eseguire il backup dei tuoi file, in modo da poterli ripristinare dopo averli eliminati perché potenzialmente infetti;

  • Fate attenzione agli allegati e ai link nelle e-mail. Non cliccare su annunci e siti provenienti da fonti sconosciute;

  • Installa un antivirus affidabile e aggiorna le tue applicazioni e il sistema operativo;

  • Abilita l'opzione "Mostra estensioni file" nelle impostazioni di Windows per poterle controllare facilmente. Evitare file come .exe .vbs e .scr;

  • Evita di visitare siti che non sono protetti tramite HTTPS (ad esempio URL che iniziano con "https://"). Tuttavia, tieni presente che molti siti web dannosi implementano il protocollo HTTPS per confondere le vittime, ovvero la presenza di un protocollo non garantisce che il sito sia legale o sicuro.

  • Visita NoMoreRansom.org, un sito creato dalle forze dell'ordine e dalle aziende di sicurezza informatica che lavorano contro le minacce ransomware. Il sito web offre strumenti gratuiti per decifrare i dati degli utenti infetti, nonché consigli preventivi.


Esempio di ransomware 

GrandCrab (2018)

Apparso per la prima volta nel gennaio 2018, il ransomware ha colpito 50.000 persone in meno di un mese, prima che venisse bloccato dalle autorità rumene insieme a Bitdefender ed Europol (con un kit di strumenti gratuito per il recupero dati). GrandCrab è stato diffuso tramite e-mail di malvertising e phishing ed è stato il primo attacco ransomware noto a richiedere un riscatto nella criptovaluta DASH. Le richieste iniziali di estorsione variavano dai 300 ai 1.500 dollari.


WannaCry (2017)

Un attacco informatico globale che ha infettato oltre 300.000 computer in 4 giorni. WannaCry veniva distribuito tramite un exploit noto come EternalBlue, che prende di mira i sistemi operativi Microsoft Windows (la maggior parte dei computer vulnerabili utilizzava Windows 7). L'attacco è stato fermato grazie alle soluzioni di emergenza rilasciate da Microsoft. Gli esperti di sicurezza statunitensi hanno affermato che la Corea del Nord è coinvolta nell'attacco, ma non è stata fornita alcuna prova.


Coniglio cattivo (2017)

Ransomware distribuito come un falso aggiornamento di Adobe Flash scaricato da siti web hackerati. La maggior parte dei computer infetti si trovava in Russia e l'infezione si basava sull'installazione manuale di un file .exe. All'epoca il costo della decrittazione era di circa 280 $ (0,05 BTC).


Locky (2016)

Solitamente distribuito via e-mail come ricevuta di richiesta di pagamento, contenente un file infetto come allegato. Nel 2016, l'Hollywood Presbyterian Medical Center venne infettato dal virus Locky e fu costretto a pagare 40 BTC (17.000 dollari dell'epoca) per riottenere l'accesso ai sistemi informatici dell'ospedale.