Cos'è il ransomware?

Il ransomware è una forma di malware che minaccia di distruggere o trattenere i dati o i file della vittima, a meno che non venga pagato un riscatto all'aggressore per decrittografare e ripristinare l'accesso ai dati

Persona seduta alla scrivania che guarda il computer portatile aperto davanti a sé.

Come funziona il ransomware

Malware  con una  nota di riscatto 
Il ransomware è un  software dannoso  utilizzato da individui con lo scopo di estorcere denaro alle vittime. Questa forma di aggressione informatica è ad oggi uno dei modelli di business criminali più prolifici esistenti. Gli attacchi ransomware  possono costare a un'organizzazione milioni di dollari e richiedere centinaia di ore per ricostruire i dispositivi e ripristinare i dati distrutti durante un attacco.

Le organizzazioni spesso imparano a conoscere l' attacco informatico  quando ricevono una notifica da una  macchina infetta  informandoli che i loro dati sono stati presi di mira. Solitamente, esistono alcuni passaggi all'interno di un tipico  attacco ransomware. Innanzitutto, il sistema o  server di controllo  è compromesso per installare il  malware. Successivamente, il  malware  prende il controllo della macchina  crittografando  i dati con il ransomware. Quindi, la macchina compromessa visualizza un messaggio con la "nota di riscatto" e le richieste dell'aggressore nei confronti dell'individuo o della società, dicendo loro che i rispettivi  file crittografati  non saranno accessibili fino al pagamento del riscatto. 

Pagamenti del riscatto
Il pagamento è spesso richiesto sotto forma di  criptovaluta, carta di credito o carte regalo, ma ciò non garantisce che la vittima riacquisti l'accesso. Se la vittima sceglie di pagare il riscatto, gli aggressori potrebbero fornire la  chiave di decrittografia  per ripristinare l'accesso ai dati della vittima. A volte capita che la vittima paghi e gli aggressori non forniscono la  chiave di decrittografia, con conseguenti perdite finanziarie e di dati. A volte una vittima sceglie di non pagare il riscatto e si affida alla ricostruzione del sistema e al backup dei dati per ripristinare le proprie operazioni IT. Le vittime che vengono prese di mira una volta, spesso vengono riprese di mira dagli stessi  criminali informatici , in particolare se hanno mostrato disponibilità a pagare prima. 

Secondo il rapporto "Combatting Destructive Malware", in media, un singolo  attacco ransomware  costa alle grandi multinazionali 239 milioni di dollari e distrugge 12.316 postazioni di lavoro. Il panorama delle minacce informatiche è in continua evoluzione ed espansione con  nuovo ransomware  a causa della complessità delle reti, del cloud, della virtualizzazione remota e dell'IoT.


Quali sono le cause di un'infezione ransomware?

Esistono diversi modi in cui il ransomware può entrare nel tuo computer o sistema. Uno dei più comuni è il  phishing  tramite email e spam con messaggi che includono un allegato o un link dannoso di collegamento a un sito Web compromesso. Una volta che l'utente apre l'allegato o fa clic sul link, il ransomware può infettare il computer e diffondersi all'intera rete.

Un altro vettore dell' attacco ransomware  passa attraverso un  kit di exploit  che sfrutta una vulnerabilità, o falla di sicurezza, nel sistema o nel programma. WannaCry  è un esempio di un' infezione ransomware  che ha colpito centinaia di sistemi in tutto il mondo attraverso un exploit nel sistema operativo  Microsoft  Windows  nel  2018. Può anche assumere la forma di un falso aggiornamento software, che richiede agli utenti di abilitare le funzionalità admin e attivare il  codice malevolo.

Phishing,  ingegneria sociale  e altre tattiche
Il ransomware esiste dal 1989 e il panorama degli attacchi è in continua espansione man mano che aumenta la complessità della rete e dell'infrastruttura mondiale, dal cloud al mobile all'IoT.

Il ransomware spesso entra nelle organizzazioni tramite  email di  phishing  che contengono allegati dannosi o link a siti dannosi. Ad esempio,  Locky  Ransomware infetta le vittime attraverso un documento di  Microsoft  Word che incorpora macro dannose.

Il ransomware può essere difficile da combattere, ma una combinazione di formazione degli utenti, pianificazione proattiva e pratica della risposta agli incidenti e igiene di base della sicurezza come la gestione aggressiva delle patch e le soluzioni di protezione degli endpoint può essere d'aiuto. La pratica della resilienza informatica comprende la protezione dei dati, il recupero dei dati, le migliori pratiche di resilienza e la formazione sui ransomware per gli  utenti finali.  Per le organizzazioni che hanno trasferito dati sul cloud, o che usano il cloud come ubicazione per il backup, utilizzando strumenti come ad esempio la  crittografia dei dati su cloud  può aiutare nella riduzione di rischi e costi di un  unattacco ransomware.


Tipi di attacchi ransomware

 

Ci sono due classi principali di ransomware, ed entrambe sono designate per interrompere le operazioni di business ottenendo un guadagno finanziario per gli aggressori.

Cripto ransomware

Il

Crypto ransomware impedisce di accedere ai file o ai dati attraverso la crittografia con una diversa chiave simmetrica generata in modo casuale per ogni file. La chiave simmetrica viene poi crittografata con una chiave asimmetrica pubblica; gli aggressori quindi richiedono il  pagamento del riscatto  per accedere alla chiave asimmetrica.

Doxware

Doxware è una tipologia di  crypto ransomware in cui le vittime sono minacciate non solo di perdere l'accesso ai propri file, ma anche che i loro file e dati privati vengano esposti pubblicamente attraverso il "doxing".

Ransomware Locker

Il ransomware Locker blocca il computer o il dispositivo impedendo agli utenti di accedere; una  macchina infetta  può mostrare un messaggio apparentemente ufficiale che avverte l'utente. Questo  tipo di  malware  in realtà non  crittografa  i file sul dispositivo.

Se il tuo computer è infetto

Il Department of Homeland Security ha emesso un  avviso sul ransomware (link esterno a IBM) e recenti varianti con dei suggerimenti per organizzazioni e privati. La loro raccomandazione principale consiste nel disporre di un backup dei dati e un processo di recupero sicuri.

l DHS ha consigliato alle organizzazioni di:

  • Implementare un piano di backup e ripristino per tutti i dati critici;
  • Sottoporre regolarmente a test i backup per limitare l'impatto di una violazione dei dati e accelerare il processo di ripristino e
  • isolare i backup critici dalla rete per una massima protezione se i backup connessi alla rete sono affetti da ransomware.

Il ripristino da ransomware sta tutto nel mantenere il controllo dei dati nel modo più efficiente e sicuro possibile.  Normative quali il GDPR - Regolamento Generale sulla Protezione dei Dati in Europa e il Privacy Act dei Consumatori in California stanno imponendo nuovi requisiti per le notifiche sulla violazione dei dati che influiscono su come si dovrebbe gestire un  attacco ransomware. L' FBI  consiglia di segnalare qualsiasi  attacco ransomware  alle  autorità  federali in modo che possano coordinarsi con le agenzie di  forze dell'ordine  statunitensi  locali  per tenere traccia degli attacchi e identificare gli aggressori.

Se stai riscontrando un incidente di  sicurezza informatica , contatta il team di IBM Security X-Force per un'assistenza immediata.

 


Soluzioni correlate

Proteggi i dati dagli attacchi ransomware

Scopri come proteggere i dati della tua organizzazione dalle minacce ransomware che possono tenerli in ostaggio.


Sicurezza della rete

Proteggi l'infrastruttura di rete da minacce avanzate e dal malware.


SIEM (Security Information and Event Management)

Ottieni una visibilità centralizzata per rilevare, indagare e rispondere a minacce di sicurezza informatica.


IBM Security X-Force Incident Response Retainer

Scopri come puoi migliorare la preparazione della risposta all'evento e ridurre l'impatto delle violazioni.


Orchestra la risposta agli incidenti

Ottieni tassi di risposta agli incidenti più rapidi con orchestrazione e automazione intelligenti.


Rilevamento e risposta gestiti

La difesa contro le minacce inizia con la prevenzione, il rilevamento e la risposta rapida 24 ore su 24.


Rispondi più velocemente

Evita di dover pagare il ransomware isolando copie immutabili dei dati. Nel caso di un attacco, le copie possono essere recuperate rapidamente per effettuare il ripristino con fiducia.


Gestisci e controlla i dispositivi mobili

Mantieni una visione e un controllo permanenti di tutti i tuoi dispositivi mobili, app e contenuti, esegui analisi di sicurezza basate sull'intelligenza artificiale e mantieni la sicurezza su tutte le tue piattaforme.


Soluzioni di storage flash

Semplifica la gestione dei dati e dell'infrastruttura con la famiglia unificata di piattaforme IBM® FlashSystem che semplifica l'amministrazione e la complessità operativa in ambienti on-premise, di cloud ibrido, virtualizzati e containerizzati.