Ransomware

Ransomware è un tipo di malware che crittografa file e cartelle, impedendo l'accesso a file importanti. Ransomware cerca di estorcere denaro dalle vittime chiedendo soldi, in genere in forma di cryptocurrencies, in cambio della chiave di decrittazione. Ma i criminali informatici non sempre seguono e sbloccano i file crittografati.

La tendenza a un comportamento sempre più sofisticato di malware, evidenziato dall'uso di exploit e altri vettori di attacco, rende le piattaforme meno recenti particolarmente suscettibili agli attacchi ransomware.

Funzionamento di ransomware

La maggior parte delle infezioni ransomware inizia con:

  • Messaggi di posta elettronica con allegati che provano a installare ransomware.

  • Siti Web che ospitano exploit kit che tentano di usare le vulnerabilità nei Web browser e in altri software per installare ransomware.

Quando ransomware infetta un dispositivo, viene avviata la crittografia di file, cartelle e intere partizioni del disco rigido usando algoritmi di crittografia come RSA o RC4.

Ransomware è uno dei canali di ricavi più redditizi per i criminali informatici, quindi gli autori di malware migliorano continuamente il loro codice malware per migliorare gli ambienti aziendali. Ransomware-As-a-Service è un modello di business cybercriminal in cui i creatori di malware vendono il loro ransomware e altri servizi ai criminali informatici, che quindi gestiscono gli attacchi ransomware. Il modello di business definisce anche la condivisione dei profitti tra i creatori di malware, gli operatori ransomware e altre parti che potrebbero essere coinvolte. Per i criminali informatici, il ransomware è una grande azienda, a scapito degli individui e delle aziende.

Esempi

Ransomware sofisticato come spora, WannaCrypt (noto anche come WannaCry) e Petya (noto anche come NotPetya) diffusi in altri computer tramite condivisioni di rete o exploit.

  • Lo Spora rilascia le copie di ransomware in condivisioni di rete.

  • WannaCrypt sfrutta la vulnerabilità in Server Message Block (SMB) CVE-2017-0144 (chiamata anche EternalBlue) per infettare altri computer.

  • Una variante Petya sfrutta la stessa vulnerabilità, oltre a CVE-2017-0145 (nota anche come EternalRomance), e usa le credenziali rubate per passare lateralmente tra le reti.

Ransomware più vecchio **** come blocca Reveton schermi invece di crittografare i file. Visualizzano un'immagine a schermo intero e quindi Disabilita Gestione attività. I file sono sicuri, ma sono effettivamente inaccessibili. L'immagine in genere contiene un messaggio che dichiara di essere di applicazione della legge che indica che il computer è stato usato in attività cybercriminal illegali e che deve essere pagato bene. A causa di questo, Reveton è soprannominato "polizia di Trojan" o "polizia ransomware".

Ransomware come cerber e Locky cercano e crittografano tipi di file specifici, in genere documenti e file multimediali. Al termine della crittografia, il malware lascia una nota di riscatto usando il testo, l'immagine o un file HTML con le istruzioni per pagare un riscatto per recuperare i file.

Il ransomware di coniglio cattivo è stato scoperto provando a diffondersi tra le reti usando nomi utente e password hardcoded in attacchi di forza bruta.

Come proteggersi da ransomware

Le organizzazioni possono essere mirate in modo specifico agli aggressori oppure possono essere intercettate nell'ampia rete fusa dalle operazioni di cybercriminal. Le organizzazioni di grandi dimensioni sono destinazioni di alto valore e gli aggressori possono richiedere riscatti più grandi.

È consigliabile:

  • Eseguire il backup dei file importanti regolarmente. Usare la regola 3-2-1. Mantieni tre backup dei dati, in due tipi di archiviazione diversi e almeno un backup fuori sede.

  • Applicare gli aggiornamenti più recenti ai sistemi operativi e alle app.

  • Educare i dipendenti in modo che possano identificare gli attacchi per l'ingegneria sociale e il phishing.

  • Accesso alle cartelle controllate. Può impedire a ransomware di crittografare i file e trattenere i file per il riscatto.

Per altri suggerimenti generali, vedere prevenire l'infezione da malware.