Il ransomware è un tipo di malware, o software dannoso, che blocca i dati o il dispositivo informatico di una vittima e minaccia di tenerlo bloccato, o peggio, a meno che la vittima non paghi un riscatto all'aggressore. Nel 2021, gli attacchi ransomware hanno rappresentato il 21% di tutti gli attacchi informatici (PDF, 4,1 MB) e sono costati complessivamente alle vittime circa 20 miliardi di dollari (link esterno di ibm.com).
I primi attacchi ransomware richiedevano un riscatto per sbloccare i dati o un dispositivo. Ma i criminali informatici di oggi hanno alzato notevolmente la posta in gioco. L'X-Force Threat Intelligence Index 2022 (PDF, 4,1 MB) riporta che praticamente tutti gli attacchi ransomware odierni avvengono sotto "doppia estorsione" che prevede un riscatto per sbloccare i dati e prevenirne il furto. Sono in aumento anche gli attacchi con "tripla estorsione", che aggiungono la minaccia di un attacco DDoS (Distributed Denial of Service).
Le strategie con doppia e tripla estorsione, la maggiore disponibilità di soluzioni "ransomware-as-a-service" e l'avvento della criptovaluta come forma di pagamento non rintracciabile si sono combinate per alimentare la crescita esponenziale degli incidenti ransomware. L'Internet Crime Complaint Center dell'FBI ha registrato un aumento di circa il 243% nel numero di episodi di ransomware segnalati tra il 2013 e il 2020 (link esterno a ibm.com).
Le vittime di attacchi ransomware e i negoziatori sono riluttanti a rivelare gli importi pagati per il riscatto. Tuttavia, secondo il rapporto Definitive Guide to Ransomware 2022 (PDF, 966 KB) , gli importi dei riscatti che si orientavano su quote a sole due cifre sono aumentati fino a importi a sette e otto cifre. Nei casi più estremi, le aziende possono arrivare a pagare fino a 40-80 milioni di dollari per ottenere nuovamente il controllo sui propri dati. E i pagamenti del riscatto non sono l'unico costo di un'infezione da ransomware. Secondo il report di IBM Cost of a Data Breach del 2021, il costo medio di un attacco ransomware, escluso il riscatto, è stato pari a 4,62 milioni di dollari.
Gli attacchi ransomware possono utilizzare diversi metodi o vettori per infettare un dispositivo o una rete. Alcuni dei più importanti vettori di infezione da ransomware includono:
- E-mail di phishing e altri attacchi di ingegneria sociale: le e-mail di phishing manipolano gli utenti affinché scarichino ed eseguano un allegato dannoso (che contiene il ransomware mascherato da innocuo .pdf, documento Microsoft Word o altro file) o visitino un sito Web dannoso che passa il ransomware tramite il browser web dell'utente. Nel Cyber Resilient Organization Study 2021 di IBM, il phishing e altri attacchi di ingegneria sociale hanno rappresentato il 45% di tutti gli attacchi ransomware segnalati dai partecipanti al sondaggio, rendendoli il più comune di tutti i vettori di attacco ransomware.
- Vulnerabilità del sistema operativo e del software: i criminali informatici spesso sfruttano le vulnerabilità esistenti per iniettare codice dannoso in un dispositivo o in una rete. Le vulnerabilità zero-day, che sono vulnerabilità sconosciute alla comunità della sicurezza o identificate ma non ancora corrette, rappresentano una minaccia particolare. Alcune bande di ransomware acquistano informazioni sui difetti zero-day da altri hacker per pianificare i propri attacchi. Gli hacker hanno anche utilizzato efficacemente vulnerabilità per cui è stata applicata una patch come vettori di attacco, come è avvenuto nell'attacco WannaCry del 2017 trattato di seguito.
- Furto delle credenziali: i criminali informatici possono rubare le credenziali degli utenti autorizzati, acquistarle sul dark web o crackarle con brute force. Possono quindi utilizzare queste credenziali per accedere a una rete o a un computer e distribuire direttamente il ransomware. Remote Desktop Protocol (RDP), un protocollo proprietario sviluppato da Microsoft per consentire agli utenti di accedere a un computer in remoto, è un popolare obiettivo di furto di credenziali tra gli aggressori ransomware.
- Altri malware: gli hacker utilizzano spesso malware sviluppati per altri attacchi per inviare un ransomware ad un dispositivo. Il trojan Trickbot, ad esempio, originariamente progettato per rubare credenziali bancarie, è stato utilizzato per diffondere la variante ransomware Conti per tutto il 2021.
- Download Drive-by: Gli hacker possono utilizzare i siti Web per trasmettere ransomware ai dispositivi all'insaputa degli utenti. Gli exploit kit utilizzano siti Web compromessi per scansionare i browser dei visitatori alla ricerca di vulnerabilità delle applicazioni Web da utilizzare per iniettare ransomware nel dispositivo. Il malvertising, annunci digitali legittimi che sono stati compromessi dagli hacker, possono trasmettere ransomware ai dispositivi, anche se l'utente non fa clic sull'annuncio.
I criminali informatici non devono necessariamente sviluppare un proprio ransomware per sfruttare questi vettori. Alcuni sviluppatori di ransomware condividono il loro codice malware con i criminali informatici tramite accordi ransomware-as-a-service (RaaS). Il criminale informatico, o "affiliato", utilizza il codice per eseguire un attacco, quindi divide il pagamento del riscatto con lo sviluppatore. È una relazione reciprocamente vantaggiosa: gli affiliati possono trarre profitto dall'estorsione senza dover sviluppare il proprio malware e gli sviluppatori possono aumentare i propri profitti senza lanciare manualmente attacchi informatici.
I distributori di ransomware possono vendere ransomware tramite mercati digitali o reclutare affiliati direttamente tramite forum online o vie simili. Grandi bande di ransomware hanno investito ingenti somme di denaro per attirare affiliati. Il gruppo REvil, ad esempio, ha speso 1 milione di dollari in una campagna di reclutamento nell'ottobre 2020 (link esterno a ibm.com).
Una volta che gli hacker ottengono l'accesso a un dispositivo, un attacco ransomware procederà in genere attraverso le seguenti fasi.
Fase 1: Ricognizione. Gli aggressori scansionano il sistema infettato per comprendere meglio il dispositivo e la rete e per identificare i file che possono prendere di mira, inclusi i file contenenti informazioni sensibili che l'attaccante può utilizzare per un attacco di doppia o tripla estorsione. La maggior parte cerca anche credenziali aggiuntive che potrebbero consentire loro di spostarsi lateralmente nella rete, diffondendo il ransomware a più dispositivi lungo il percorso.
Fase 2: Attivazione. Il ransomware di crittografia inizia a identificare e crittografare i file. La maggior parte dei ransomware di crittografia applica una crittografia asimmetrica, utilizzando una chiave pubblica per crittografare il ransomware e conservando una chiave privata in grado di decrittografare i dati. Poiché le vittime non dispongono della chiave privata, non possono decrittare i dati crittografati senza l'aiuto degli hacker. Alcuni ransomware di crittografia disabilitano anche le funzionalità di ripristino del sistema o eliminano o crittografano i backup sul computer o sulla rete della vittima per aumentare la pressione per pagare la chiave di decrittazione.
Il ransomware non di crittografia blocca lo schermo del dispositivo o inonda il dispositivo di popup o impedisce in altro modo alla vittima di utilizzare il dispositivo.
Fase 3: La richiesta di riscatto. Una volta che i file sono stati crittografati e/o il dispositivo è stato disabilitato, il ransomware avvisa la vittima dell'infezione, spesso tramite un file .txt depositato sul desktop del computer o tramite una notifica pop-up. La richiesta di riscatto conterrà le istruzioni su come pagare il riscatto, di solito in criptovaluta o un metodo altrettanto non rintracciabile, in cambio di una chiave di decrittazione o ripristino delle operazioni standard.
Esistono due tipi generali di ransomware. Il tipo più comune, chiamato "ransomware di crittografia" o "crypto ransomware", tiene in ostaggio i dati di un utente crittografandoli. La forma meno comune di ransomware, a volte chiamata "loker ransomware", blocca l'intero dispositivo della vittima.
Questi possono essere ulteriormente suddivisi nelle seguenti sottocategorie:
- Leakware/Doxware è un ransomware che ruba o estrae dati sensibili e minaccia di pubblicarli. Mentre le forme precedenti di leakware o doxware spesso rubavano i dati senza crittografarli, le varianti odierne spesso fanno entrambe le cose.
- Ransomware mobile include tutti i ransomware che colpiscono i dispositivi mobili. Inserito tramite app dannose o download drive-by, il ransomware mobile è in genere un ransomware non crittografato perché i backup automatizzati dei dati nel cloud, standard su molti dispositivi mobili, consentono di annullare gli attacchi di crittografia.
- Ramsomware wipers/distruttivi minaccia di distruggere i dati se il riscatto non viene pagato, tranne nei casi in cui il ransomware distrugge i dati anche se il riscatto viene pagato. Si sospetta spesso che quest'ultimo tipo di wiper venga utilizzato da attori o attivisti di stati nazione piuttosto che da comuni criminali informatici.
- Scareware è proprio ciò che sembra: un ransomware che tenta di spaventare gli utenti facendogli pagare un riscatto. Lo scareware a volte si manifesta fingendo di essere un messaggio di un'agenzia delle forze dell'ordine, accusando la vittima di un crimine e richiedendo il pagamento di una multa; in altri casi appare come un avviso di infezione da virus valido, incoraggiando la vittima ad acquistare software antivirus o antimalware. A volte, lo scareware è un ransomware, che crittografa i dati o blocca il dispositivo; in altri casi, è il vettore del ransomware, che non crittografa ma che costringere la vittima a scaricare il ransomware.
Dal 2020, i ricercatori sulla sicurezza informatica hanno identificato più di 130 famiglie o varianti di ransomware distinte e attive: ceppi di ransomware unici con le proprie firme di codice e funzioni
Tra le numerose varianti di ransomware che sono circolate nel corso degli anni, diversi ceppi sono particolarmente degni di nota per l'entità del loro livello di distruzione, il modo in cui hanno influenzato lo sviluppo del ransomware o le minacce che rappresentano ancora oggi.
CryptoLocker
Apparso per la prima volta nel settembre 2013, CryptoLocker è ampiamente accreditato per aver dato il via all'era moderna del ransomware. Diffuso tramite una botnet (una rete di computer manomessi), CryptoLocker è stata una delle prime famiglie di ransomware a crittografare fortemente i file degli utenti. Ha estorto circa 3 milioni di dollari prima che le forze dell'ordine internazionali lo disattivassero nel 2014. Il successo di CryptoLocker ha generato numerosi imitatori e ha aperto la strada a varianti come WannaCry, Ryuk e Petya (descritte di seguito).
WannaCry
Il primo cryptoworm di alto profilo, un ransomware che può diffondersi ad altri dispositivi in rete, WannaCry ha attaccato oltre 200.000 computer (in 150 paesi) su cui gli amministratori avevano trascurato di correggere per la vulnerabilità EternalBlue di Microsoft Windows. Oltre a crittografare i dati sensibili, il ransomware WannaCry ha minacciato di cancellare i file se il pagamento non fosse avvenuto entro sette giorni. Rimane a tutt'oggi uno dei più grandi attacchi ransomware, con costi stimati fino a 4 miliardi di dollari.
Petya e NotPetya
A differenza di altri crypto ransomwarei, Petya crittografa la tabella del file system anziché i singoli file, impedendo al computer infetto di avviare Windows. Una versione notevolmente modificata, NotPetya, è stata utilizzata per effettuare un attacco informatico su larga scala, principalmente contro l'Ucraina, nel 2017. NotPetya era un wiper incapace di sbloccare i sistemi anche dopo il pagamento del riscatto.
Ryuk
Apparso per la prima volta nel 2018, Ryuk ha reso popolari gli attacchi "ransomware di grandi dimensioni" contro specifici obiettivi di alto valore, con richieste di riscatto in media di oltre 1 milione di dollari. Ryuk può individuare e disabilitare i file di backup e le funzionalità di ripristino del sistema; un nuovo ceppo con capacità di criptoworm è stato scoperto nel 2021.
DarkSide
Gestito da un gruppo sospettato di operare fuori dalla Russia, DarkSide è la variante di ransomware che ha attaccato il Colonial Pipeline degli Stati Uniti il 7 maggio 2021, considerato il peggior attacco informatico fino ad oggi alle infrastrutture critiche degli Stati Uniti. Di conseguenza, l'oleodotto che fornisce il 45% del carburante della costa orientale degli Stati Uniti è stato temporaneamente chiuso. Oltre a lanciare attacchi diretti, il gruppo DarkSide concede in licenza il proprio ransomware agli affiliati tramite accordi RaaS.
Locky
Locky è un ransomware crittografato con un metodo di infezione distinto: utilizza macro nascoste negli allegati di posta elettronica (file Microsoft Word) mascherati da fatture valide. Quando un utente scarica e apre il documento Microsoft Word, le macro dannose scaricano segretamente il payload del ransomware sul dispositivo dell'utente.
REvil/Sodinokibi
REvil, alias Sodin o Sodinokibi, ha contribuito a rendere popolare l'approccio RaaS alla distribuzione dei ransomware. Conosciuto per essere utilizzato contro obiettivi importanti e negli attacchi a doppia estorsione, REvil era dietro gli attacchi del 2021 contro JBS USA e Kaseya Limited. JBS ha pagato un riscatto di 11 milioni di dollari dopo che l'intera operazione di lavorazione della carne bovina negli Stati Uniti è stata interrotta e più di 1.000 clienti software di Kaseya hanno sopportato significativi tempi di inattività. Il servizio di sicurezza federale russo ha riferito di aver smantellato REvil e accusato molti dei suoi membri all'inizio del 2022.
Pagare un riscatto è comune. Nel Cyber Resilient Organization Study 2021 di IBM, il 61% delle aziende partecipanti che hanno riferito di aver subito un attacco ransomware ha dichiarato di aver pagato un riscatto.
Tuttavia, tutte le forze dell'ordine federali statunitensi scoraggiano le vittime di ransomware dal pagare richieste di riscatto. Secondo la National Cyber Investigative Joint Task Force (NCIJTF), una coalizione di 20 agenzie federali statunitensi partner incaricate di indagare sulle minacce informatiche:
"L'FBI scoraggia dal pagare un riscatto agli attori criminali. Il pagamento di un riscatto può incoraggiare gli aggressori a prendere di mira altre organizzazioni, incoraggiare altri criminali a impegnarsi nella distribuzione di ransomware e/o finanziare attività illecite. Il pagamento del riscatto, inoltre, non garantisce il recupero dei file della vittima".
Le forze dell'ordine raccomandano che le vittime di ransomware segnalino gli attacchi alle autorità competenti, come l'Internet Crime Complaint Center (IC3) dell'FBI, prima di pagare un riscatto. Alcune vittime di attacchi ransomware potrebbero essere legalmente obbligate a segnalare infezioni ransomware indipendentemente dal fatto che sia stato pagato un riscatto. Ad esempio, gli adempimenti HIPAA richiedono generalmente agli enti sanitari di segnalare qualsiasi violazione dei dati, inclusi gli attacchi ransomware, al Department of Health and Human Services.
In determinate condizioni, pagare un riscatto può essere illegale. Secondo un avviso del 2020 dell'Office of Foreign Assets Control (OFAC) del Tesoro degli Stati Uniti, il pagamento di un riscatto ad aggressori provenienti da paesi soggetti a sanzioni economiche statunitensi, quali Russia, Corea del Nord o Iran, rappresenterebbe una violazione delle normative OFAC e potrebbe comportare sanzioni civili, multe o accuse penali.
Per difendersi dalle minacce ransomware, le agenzie federali come CISA, NCIJFT e i servizi segreti statunitensi raccomandano alle organizzazioni di adottare determinate misure precauzionali, quali:
- Conservare i backupdi dati sensibili e immagini del sistema, idealmente su dischi rigidi o altri dispositivi che possono essere disconnessi dalla rete.
- Applicare regolarmente patch per aiutare a contrastare gli attacchi ransomware che sfruttano la vulnerabilità del software e del sistema operativo.
- Aggiornare gli strumenti di sicurezza informatica inclusi software anti-malware e antivirus, firewall e gateway secure web, nonché soluzioni di sicurezza informatica aziendale, come strumenti di rilevamento e risposta degli endpoint (EDR) e strumenti di rilevamento e risposta estesi (XDR), che aiutano i team di sicurezza a rilevare e rispondere al ransomware in tempo reale.
- Formazione professionale del personale sulla sicurezza informatica per aiutare gli utenti a riconoscere ed evitare phishing, ingegneria sociale e altre tattiche che possono portare a infezioni da ransomware.
- Implementazione di policy di controllo degli accessi tra cui l'autenticazione a più fattori, l'architettura zero-trust, la segmentazione della rete e misure simili che possono impedire al ransomware di raggiungere dati particolarmente sensibili e impedire ai cryptoworm di diffondersi ad altri dispositivi della rete.
Sebbene gli strumenti di decrittografia per alcune varianti di ransomware siano pubblicamente disponibili attraverso progetti come No More Ransom (link esterno a ibm.com), la correzione di un'infezione ransomware attiva richiede spesso un approccio multiforme. Consulta la Definitive Guide to Ransomware (PDF, 966 KB) di IBM Security per un esempio di piano di risposta agli incidenti ransomware modellato sul ciclo di vita della risposta agli incidenti del National Institute of Standards and Technology (NIST).
1989: Il primo attacco ransomware documentato, noto come AIDS Trojan o "PC Cyborg attack", è stato effettuato tramite floppy disk. Ha nascosto le directory dei file sul computer della vittima e ha richiesto 189 dollari per visualizzarle. Ma poiché erano stati crittografati i nomi dei file anziché i file stessi, è stato facile per gli utenti risolvere il problema senza pagare un riscatto.
1996: Durante l'analisi dei difetti del virus AIDS Trojan, gli informatici Adam L. Young e Moti Yung hanno avvertito di future forme di malware che avrebbero potuto utilizzare una crittografia a chiave pubblica più sofisticata per tenere in ostaggio dati sensibili.
2005: Dopo relativamente pochi attacchi ransomware nei primi anni 2000, inizia un aumento delle infezioni, concentrato in Russia e nell'Europa orientale. Vengono visualizzate le prime varianti ad utilizzare la crittografia asimmetrica. Poiché il nuovo ransomware offriva modi più efficaci per estorcere denaro, sempre più criminali informatici hanno iniziato a diffondere ransomware in tutto il mondo.
2009: L'introduzione della criptovaluta, in particolare Bitcoin, offre ai criminali informatici la possibilità di ricevere il pagamento dei riscatti in modo non tracciabile, dando così il via alla successiva ondata di attività ransomware.
2013: L'era moderna del ransomware inizia con CryptoLocker che inaugura l'attuale ondata di attacchi ransomware altamente sofisticati basati sulla crittografia e che richiedono il pagamento in criptovaluta.
2015: La variante Tox ransomware introduce il modello ransomware-as-a-service (RaaS).
2017: Appare WannaCry, il primo cryptoworm autoreplicante ampiamente utilizzato.
2018: Ryuk ha reso popolare gli attacchi a grosse imprese ed enti governativi
Los Angeles collabora con IBM Security per creare il primo gruppo di condivisione di minacce informatiche per la protezione contro i crimini informatici.
La Commercial International Bank S.A.E. migliora i processi e la sicurezza orientandosi ad un obiettivo zero trust.
Insieme, i servizi ANDRITZ e IBM Security velocizzano il rilevamento e la risposta alle minacce.
Scopri come IBM può aiutarti a proteggere i dati della tua organizzazione dalle minacce ransomware che possono tenerlo in ostaggio.
Proteggi l'infrastruttura di rete da minacce avanzate e malware.
Una suite modulare e integrata di funzionalità di rilevamento e risposta alle minacce che viene eseguita su una piattaforma di sicurezza open
Scopri come puoi migliorare la preparazione della risposta all'evento e riduci l'impatto delle violazioni.
Ricevi risposte più rapide agli eventi con coordinamento e automazione intelligente.
La difesa contro le minacce inizia con la prevenzione, il rilevamento e la risposta rapida 24h/24.
L'aumento delle tendenze al lavoro da remoto e dell'interconnettività degli endpoint si accompagna a una serie di sfide per la sicurezza informatica. Per combattere queste sfide, c'è bisogno di uno strumento moderno di rilevamento e risposta degli endpoint, basato sulla tecnologia AI, in grado di bloccare e isolare in anticipo minacce malware e ransomware ed incentivare la sicurezza degli endpoint in un mondo che adotta l'approccio zero-trust.
Mantieni una visione e un controllo permanenti di tutti i tuoi dispositivi mobili, app e contenuti, esegui analisi di sicurezza basate sull'intelligenza artificiale e mantieni la sicurezza su tutte le tue piattaforme.
Semplifica la gestione di dati e infrastruttura con la famiglia di piattaforme unificate IBM FlashSystem®, che razionalizza l'amministrazione e la complessità operativa in ambienti on-premise, di cloud ibrido, virtualizzati e dotati di container.
Comprendi il tuo scenario di sicurezza informatica e assegna una priorità alle iniziative insieme ad architetti e consulenti senior di sicurezza IBM in una sessione gratuita di design thinking, in modalità virtuale o di persona, della durata di 3 ore.
Comprendi i rischi di attacco informatico con una visione globale del panorama delle minacce.
Un approccio prescrittivo agli attacchi ransomware e insight sulle potenti tecniche di mitigazione del rischio
La tua migliore difesa informatica contro ransomware e altro ancora.
Il Cost of a Data Breach Report analizza gli impatti finanziari e le misure di sicurezza che possono aiutare la tua organizzazione ad evitare una violazione dei dati o, nel caso se ne verificasse una, a ridurne i costi.
I professionisti della sicurezza informatica utilizzano i processi di gestione delle minacce per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere agli incidenti di sicurezza.