L’articolo ha l’intento di fornire una visione d’insieme sulla tematica dei ransomware. Iniziando con la descrizione della specifica categoria di attacco informatico, la trattazione proseguirà con la narrazione dell’evoluzione del ransomware nella storia per poi passare all’analisi delle fasi del ciclo di vita dello stesso e concludersi con l’inquadramento delle misure da adottare al fine di prevenire potenziali attacchi.
Introduzione
Nell’era della digitalizzazione, in cui viviamo, le informazioni sono accessibili 24 ore su 24, 7 giorni su 7. Tutto può esser fatto comodamente dal proprio divano con un semplice clic, in modo efficiente, rapido e senza alcuno sforzo. Tuttavia, esiste sempre il risvolto della medaglia. Infatti, se da un lato la digitalizzazione ha semplificato tutti quei processi di archiviazione documentale accelerandoli ed implementato le modalità di ricerca delle informazioni, dall’altro, la minaccia che tali dati possano essere oggetto di attacchi informatici[1] è dietro l’angolo.
Il ransomware è uno di questi.
Che cosa sono e che tipologie di ransomware esistono?
Il ransomware è una particolare categoria di malware che infetta il dispositivo al cui interno viene installato rendendo inaccessibili tutti i dati in esso contenuti con una chiave di criptazione al fine di richiedere il pagamento di un ransom (riscatto) per riottenerne la disponibilità.
Mentre alcune strutture fondamentali del ransomware non sono difficili da identificare per un individuo esperto, la maggior parte dei malware ransomware utilizzano una struttura chiamata “cryptoviral pressure”[2], in cui i dati nel sistema compromesso vengono criptati e resi di difficile accesso.
Gli attacchi perpetrati dai ransomware sono in costante aumento.
Non a caso, oggi, le stime portano a considerare tali attacchi come i cybersecurity threats che maggiormente intaccano ogni settore: privati, istituzioni e società sono i bersagli.
Possono essere classificati in diverse tipologie: il più dannoso e aggressivo è il crypto ransomware, capace di criptare tutti i dati della vittima prescelta, e il locker ransomware che invece blocca il computer della vittima impendendo all’utente di accedere al sistema.
In un attacco ransomware opportunamente lanciato, recuperare i dati senza la chiave di decrittazione è un problema concreto. Gli aggressori lanciano convenzionalmente attacchi ransomware utilizzando un Trojan che viene rappresentato come una funzionalità legittima in modo che l’utente sia indotto a scaricarlo o aprirlo. A questo punto il trojan svolge la funzionalità prevista contestualmente all’installazione di diversi tipi di malware compreso il ransomware.
Sfortunatamente la vittima non ha la garanzia che, a seguito del pagamento del riscatto, il cyberattackerprovveda alla decodifica dei dati. Molto spesso accade che le vittime vengano truffate e venga chiesto loro il pagamento di un ulteriore riscatto per riottenere i dati “rubati”.
L’evoluzione del ransomware nella storia
Le prime varianti di ransomware risalgono alla fine degli anni ’80, e i pagamenti dovevano essere effettuati tramite posta. Oggi, il pagamento del riscatto viene richiesto mediante criptovaluta o carta di credito.
Il primo ransomware nacque alla fine degli anni ’80, diffondendosi con il nome di “PC Cyborg o AIDS”. Il malware aveva la capacità di criptare tutti i file contenuti nella directory C. Tuttavia, ciò avveniva soltanto dopo il novantesimo riavvio del sistema; infatti, a quel punto, veniva richiesto all’utente di rinnovare la propria licenza attraverso l’invio della somma di 189$ in una busta indirizzata alla PC Cyborg Corp.
Con l’avvento del nuovo millennio, le strategie di attacco informatico mutarono. Nel 2007 attraverso “WinLock”, si iniziò non più a criptare i file contenuti in un PC ma a limitare l’accesso al desktop da parte degli utenti. Il ransomware, infatti, assumeva il controllo dello schermo proiettando su di esso immagini pornografiche. Lo sblocco era possibile solo a seguito del pagamento di una somma attraverso SMS.
In tempi più recenti, nel 2017, due ransomware hanno fatto conquistato la scena. Si tratta di “CryptoLocker”e “TorrentLocker”, ovvero trojan che infettano computer con sistema operativo Windows. Possono presentarsi sottoforma di allegato di posta elettronica in formato .zip ed al cui interno è presente un file .exe (eseguibile) camuffato da word o Pdf. I ransomware funzionano perché spesso vengono spediti attraverso indirizzi e-mail attribuibili apparentemente ad istituzioni. Una volta installati, i malware iniziano a cifrare tutti i file contenuti nel disco rigido e le condivisioni di rete mappate localmente con la chiave pubblica e salvano ogni file cifrato in una chiave di registro.
Le fasi di attività del ransomware
Il “ciclo di vita” di un ransomware consta di 5 fasi:
- deployment (insinuazione),
- installazione,
- comando e controllo,
- distruzione ed
- estorsione.
Per ciò che concerne il deployment, sono svariate le modalità d’insinuazione del ransomware nel sistema bersaglio. Si può ricorrere al c.d. “drive-by-download” che installa automaticamente il malware nel sistema senza l’interazione dell’utente oppure a tecniche di social engineering come il phishing che consente di inviare ad una singola vittima o ad un gruppo di individui e-mail contenenti link o allegati dannosi che installano il malware quando l’utente clicca o scarica.
La seconda fase riguarda l’installazione, il che significa che il ransomware è radicato all’interno del sistema operativo ed è pronto per spiegare i suoi effetti. Dopo l’installazione, il ransomware non inizia ad operare immediatamente ma, soltanto in un momento successivo inizia a crittografare i file di dati. Se installato in un sistema Windows, il crypto-ransomware imposta le chiavi nel registro e si attiva automaticamente quando il sistema viene riavviato.
Una volta che il ransomware è stato installato ed è attivo, esso inizia a comunicare con il server C&C(Command-and-Control) in modo da poter ottenere le istruzioni. Questi server vengono gestiti dai cyberattacker e per loro tramite trasmettono tutte le istruzioni ai sistemi compromessi. Lo scopo per il quale si comunica con il server C&C è quello di ottenere la chiave di crittografica grazie alla quale si procederà con l’encrypt dei dati del sistema bersaglio.
La fase successiva riguarda la distruzione. Infatti, dopo aver ottenuto le chiavi di crittografia, il ransomware inizia l’attività di ricerca dei contenuti all’interno del sistema al fine di procedere con la crittografia degli stessi.
La fase conclusiva riguarda l’estorsione. Dopo aver criptato i file, il ransomware fa visualizzare sullo schermo della vittima una videata in cui si afferma che all’interno del proprio sistema vi sono dei file compromessi e per riottenerne il possesso e quindi l’accesso sarà necessario pagare il riscatto entro un determinato periodo di tempo. L’importo può variare a seconda del tipo di ransomware installato e della quantità di dati compromessi. In generale la maggior parte delle varianti di ransomware richiede il pagamento di un riscatto del valore dai $ 300 ai $ 500.
Come poter fronteggiare un “ransomware attack”
Quando si ha a che fare con qualsiasi tipo di software maligno o attacco malware la migliore tecnica di prevenzione possibile è non farsi trovare del tutto impreparati. Infatti, una buona conoscenza da parte dell’utente sui vettori di attacco del malware e sulle modalità operative con cui quest’ultimo si diffonde nel sistema, spesso si rivela essere la strategia più efficace.
Tra tutti i tipi di malware, il ransomware è quello più invasivo e pericoloso; non a caso le misure preventive dovrebbero essere attuate in un momento precedente al diffondersi del ransomware nella rete del sistema preso di mira.
Alcune delle migliori tecniche di prevenzione riguardano il mantenere i backup dei dati sempre aggiornati, assicurarsi che i sistemi operativi siano aggiornati con le patch attuali e soprattutto provvedere all’installazione sul proprio sistema di software anti-malware con file di firma attendibili.
In alternativa creare delle policy di restrizione del software potrebbe tutelare da attacchi come quelli perpetrati dal già menzionato ransomware CryptoLocker.
Inoltre, sicuramente da annoverare tra le migliori strategie di prevenzione, sia in riferimento a sistemi individuali che a sistemi più complessi come quelli aziendali, è l’installazione di sistemi Intrusion Detection System e Intrusion Prevention System (IDS e IPS).
L’IDS è un sistema in grado di individuare in anticipo attacchi verso un computer o una rete ed ha la funzione di controllo e analisi di tutte le attività di reta al fine di scovare un traffico di dati insolito.
Invece, l’IPS, dopo aver appurato la possibilità di un attacco, oltre ad informare l’amministratore attiva immediatamente le misure di sicurezza adeguate ad affrontare l’eventuale attacco.
È opportuno tenere in considerazione altresì l’utilizzo di adeguati firewall al fine di monitorare l’intera attività di rete.
Infine, è fortemente raccomandato fornire al personale delle organizzazioni un’adeguata formazione in tema di sicurezza informatica, così da apprendere le tecniche di ingegneria sociale, le azioni da compiere quando si è stati attaccati ed infine i soggetti da coinvolgere quando si riscontrano attività sospette sui sistemi.
Questo articolo è stato scritto da un autore di DirittoConsenso, partner di LegalTech Italia
Bibliografia e sitografia
https://www.dirittoconsenso.it/2021/10/27/la-frode-informatica/
“Proofpoint,”[Online]. Disponible: https://www.proofpoint.com/it/threat-reference/ransomware;
[1] Si guardi anche: https://www.dirittoconsenso.it/2021/10/27/la-frode-informatica/
[2] “Proofpoint,”[Online]. Disponible: https://www.proofpoint.com/it/threat-reference/ransomware ;