Cos'è il ransomware?

I primi attacchi ransomware chiedevano semplicemente un riscatto in cambio della chiave di crittografia necessaria per riottenere l'accesso ai dati interessati o per poter utilizzare di nuovo il dispositivo infetto. Effettuando backup dei dati continui o regolari, le organizzazioni possono limitare i costi derivanti da questi tipi di attacchi ransomware e spesso evitare di pagare la richiesta di riscatto.

Negli ultimi anni, gli attacchi ransomware si sono evoluti fino a includere attacchi a doppia e tripla estorsione che alzano notevolmente la posta in gioco, anche per le vittime che mantengono rigorosamente i backup dei dati o pagano la richiesta di riscatto iniziale.

Gli attacchi a doppia estorsione aggiungono la minaccia di rubare i dati della vittima e diffonderli online. Inoltre, gli attacchi a tripla estorsione minacciano di utilizzare i dati rubati per attaccare i clienti o i partner commerciali della vittima.

Il ransomware è una delle forme più diffuse di software dannoso e gli attacchi ransomware possono costringere le organizzazioni colpite a spendere milioni di dollari.

Nel 2023, il 20% di tutti gli attacchi informatici registrati dall'IBM® X-Force Threat Intelligence Index coinvolgeva il ransomware. E questi attacchi avanzano rapidamente. Quando gli hacker riescono ad accedere a una rete, bastano meno di quattro giorni per distribuire il ransomware. In questo modo, le organizzazioni hanno poco tempo per rilevare e contrastare potenziali attacchi.

Le vittime di ransomware e i negoziatori sono riluttanti a divulgare gli importi dei riscatti, tuttavia i criminali informatici chiedono spesso somme a sette e otto cifre. Inoltre, il pagamento del riscatto rappresenta solo una parte del costo totale di un’infezione da ransomware. Secondo il report IBM Cost of a Data Breach, il costo medio di un attacco ransomware ammonta a 5,68 milioni di dollari, ai quali si aggiunge il costo del riscatto.

Alla luce di ciò, i team di cybersecurity stanno diventando più esperti nel combattere il ransomware. L'X-Force Threat Intelligence Index ha rilevato che le infezioni da ransomware sono diminuite del 11,5% tra il 2022 e il 2023, probabilmente a causa dei miglioramenti nel rilevamento e nella prevenzione delle minacce.

Ci sono due tipi generali di ransomware. Il tipo più comune, chiamato ransomware di crittografia o ransomware crittografico, tiene in ostaggio i dati della vittima crittografandoli. L'aggressore richiede quindi un riscatto in cambio della fornitura della chiave di crittografia necessaria per decrittare i dati.

La forma meno comune di ransomware, chiamata ransomware non crittografico o ransomware con blocco dello schermo, blocca l'intero dispositivo della vittima, solitamente bloccandone l'accesso al sistema operativo. Invece di avviarsi come al solito, il dispositivo visualizza una schermata con la richiesta di riscatto.

Questi due tipi generali rientrano nelle seguenti categorie secondarie:

Il leakware o doxware è un ransomware che ruba o esfiltra dati sensibili e minaccia di divulgarli. Mentre le forme precedenti di leakware o doxware spesso rubavano dati senza crittografarli, le varianti odierne di solito fanno entrambe le cose.

I ransomware per dispositivi mobili includono tutti i ransomware che influiscono sui dispositivi mobili. Distribuiti tramite applicazioni dannose o download drive-by, la maggior parte dei ransomware per dispositivi mobili sono di tipo non crittografico. Gli hacker preferiscono gli screen locker per gli attacchi a dispositivi mobili perché i backup automatici dei dati sul cloud, presenti di default su molti dispositivi mobili, facilitano l'inversione degli attacchi di crittografia.

I wiper, o ransomware distruttivi, minacciano di distruggere i dati se la vittima non paga il riscatto. In alcuni casi, il ransomware distrugge i dati anche se la vittima paga. Quest'ultimo tipo di wiper è spesso impiegato da Nation State Actor o hacktivisti, piuttosto che da comuni criminali informatici.

Lo scareware è proprio quello che sembra, ovvero il ransomware che cerca di spaventare un utente per fargli pagare un riscatto. Lo scareware potrebbe presentarsi come un messaggio di un'agenzia delle forze dell'ordine, nel quale si accusa la vittima di un crimine e e gli si chiede di pagare una multa. In alternativa, potrebbe falsificare un avviso di infezione da virus legittimo, incoraggiando la vittima ad acquistare un ransomware mascherato da software antivirus.

A volte, lo scareware è il ransomware, che cripta i dati o blocca il dispositivo. In altri casi, è il vettore del ransomware, che non cripta nulla ma costringe la vittima a scaricare il ransomware.

Gli attacchi ransomware possono utilizzare diversi metodi o vettori per infettare una rete o un dispositivo. Alcuni dei più importanti vettori di infezione da ransomware includono:

Gli attacchi di ingegneria sociale inducono le vittime a scaricare ed eseguire file eseguibili che si rivelano essere ransomware. Ad esempio, un'e-mail di phishing potrebbe contenere un allegato dannoso mascherato da file .pdf dall'aspetto innocuo, documento Microsoft Word o altro file.

Gli attacchi di ingegneria sociale potrebbero anche indurre gli utenti a visitare un sito web dannoso o a scansionare codici QR dannosi che trasmettono il ransomware attraverso il browser web dell'utente.

I criminali informatici spesso approfittano delle vulnerabilità esistenti per introdurre codice dannoso in un dispositivo o in una rete.

Le vulnerabilità zero-day, che sono vulnerabilità sconosciute alla comunità della sicurezza o identificate ma non ancora risolte, rappresentano una minaccia particolare. Alcuni gruppi ransomware acquistano informazioni sulle vulnerabilità zero-day da altri hacker per pianificare i loro attacchi. Gli hacker hanno anche utilizzato efficacemente le vulnerabilità a cui sono state applicate delle patch quali vettori di attacco, come nel caso dell'attacco WannaCry del 2017.

I criminali informatici possono rubare le credenziali degli utenti autorizzati, acquistarle sul dark web o violarle attraverso attacchi brute-force. Possono quindi utilizzare queste credenziali per accedere a una rete o a un computer e distribuire direttamente il ransomware.

Il protocollo RDP (Remote Desktop Protocol), un protocollo proprietario sviluppato da Microsoft che consente agli utenti di accedere a un computer da remoto, è un obiettivo popolare per il furto di credenziali tra gli autori di attacchi ransomware.

Gli hacker utilizzano spesso malware sviluppato per altri attacchi per inviare ransomware a un dispositivo. I criminali informatici hanno utilizzato il trojan Trickbot, originariamente progettato per rubare credenziali bancarie, per diffondere la variante del ransomware Conti per tutto il 2021.

Gli hacker possono utilizzare siti web per trasferire ransomware ai dispositivi all'insaputa degli utenti. I kit di exploit utilizzano siti web compromessi per scansionare i browser dei visitatori alla ricerca di vulnerabilità delle applicazioni web da poter utilizzare per immettere del ransomware in un dispositivo.

Il malvertising, ovvero annunci digitali legittimi che sono stati compromessi dagli hacker, può trasmettere il ransomware ai dispositivi anche se l'utente non fa clic sull'annuncio.

I criminali informatici non devono necessariamente sviluppare il proprio ransomware per sfruttare questi vettori. Alcuni sviluppatori di ransomware condividono il proprio codice malware con i criminali informatici attraverso accordi ransomware as a service (RaaS).

Il criminale informatico, o "affiliato", utilizza il codice per eseguire un attacco e divide la cifra del riscatto con lo sviluppatore. È una relazione vantaggiosa per entrambi. Gli affiliati possono trarre profitto dalle estorsioni senza dover sviluppare il proprio malware e gli sviluppatori possono aumentare i profitti senza lanciare ulteriori attacchi informatici.

I distributori di ransomware possono vendere ransomware attraverso i mercati digitali sul dark web. Possono anche reclutare affiliati direttamente, attraverso forum online o metodi simili. Grandi gruppi di ransomware hanno investito ingenti somme di denaro nelle iniziative di reclutamento per attrarre affiliati.

Un attacco ransomware si svolge generalmente in queste fasi.

Ad oggi, i ricercatori di cybersecurity hanno identificato migliaia di varianti di ransomware distinte, o "famiglie", ovvero ceppi unici con firme e funzioni di codice proprie.

Diversi ceppi di ransomware si distinguono soprattutto per l'entità dei danni che arrecano, per il modo in cui hanno influenzato lo sviluppo del ransomware o per la minaccia che rappresentano attualmente.

Apparso per la prima volta nel settembre 2013, CryptoLocker è ampiamente riconosciuto come il promotore di ransomware dell'era moderna.

Diffusa attraverso una botnet (rete di computer compromessi), CryptoLocker è stata una delle prime famiglie di ransomware a criptare fortemente i file degli utenti. Il gruppo ha estorto circa 3 milioni di dollari prima che le forze dell’ordine internazionali lo chiudessero nel 2014.

Il successo di CryptoLock ha generato numerosi imitatori, aprendo la strada a varianti come WannaCry, Ryuk e Petya.

WannaCry, il primo cryptoworm di alto profilo in grado di diffondersi ad altri dispositivi di una rete, ha attaccato oltre 200.000 computer in 150 paesi. I computer coinvolti erano vulnerabili perché gli amministratori avevano trascurato di applicare la patch per la vulnerabilità EternalBlue di Microsoft Windows.

Oltre a criptare i dati sensibili, il ransomware WannaCry minacciava di cancellare i file se le vittime non avessero inviato il pagamento entro sette giorni. Rimane uno dei più grandi attacchi di ransomware eseguiti finora, con costi stimati fino a 4 miliardi di dollari.

A differenza di altri ransomware di crittografia, Petya cripta la tabella del file system piuttosto che i singoli file, rendendo il computer infetto incapace di avviare Windows.

Una versione pesantemente modificata, NotPetya, è stata utilizzata per effettuare un attacco informatico su larga scala, principalmente contro l'Ucraina, nel 2017. NotPetya era un wiper incapace di sbloccare i sistemi anche dopo che le vittime avevano pagato.

Avvistato per la prima volta nel 2018, Ryuk ha reso popolari gli attacchi ransomware di grande entità contro obiettivi specifici di alto valore e con richieste di riscatto medie superiori a 1 milione di dollari. Ryuk è in grado di individuare e disabilitare i file di backup e le funzioni di ripristino del sistema. Nel 2021 è apparso un nuovo ceppo con capacità di cryptoworm.

Gestita da un gruppo sospettato di operare dalla Russia, DarkSide è la variante del ransomware che ha attaccato la Colonial Pipeline il 7 maggio 2021. In quello che molti considerano il peggior attacco informatico alle infrastrutture critiche degli Stati Uniti fino ad oggi, DarkSide ha temporaneamente chiuso l'oleodotto che fornisce il 45% del carburante della East Coast.

Oltre a eseguire attacchi diretti, il gruppo DarkSide concede in licenza il proprio ransomware agli affiliati tramite accordi RaaS.

Locky è un ransomware di crittografia con un metodo di infezione distinto: utilizza macro nascoste negli allegati e-mail (file Microsoft Word) camuffate da fatture legittime. Quando un utente scarica e apre il documento Microsoft Word, le macro nocive scaricano segretamente il payload del ransomware sul dispositivo dell'utente.

REvil, noto anche come Sodin o Sodinokibi, ha contribuito a rendere popolare l’approccio RaaS alla distribuzione del ransomware.

Conosciuto per l'uso nella "caccia grossa" e negli attacchi a doppia estorsione, REvil è stato responsabile degli attacchi del 2021 contro JBS USA e Kaseya Limited. JBS ha pagato un riscatto di 11 milioni di dollari dopo che gli hacker hanno interrotto l'intera operazione di lavorazione della carne bovina negli Stati Uniti. Le significative interruzioni delle attività hanno interessato più di 1.000 clienti software di Kaseya.

Il servizio di sicurezza federale russo ha riferito di aver smantellato REvil e condannato molti dei suoi membri all’inizio del 2022.

Osservata per la prima volta nel 2020, la banda Conti gestiva un ampio schema RaaS in cui pagava agli hacker un salario regolare per utilizzare il loro ransomware. Conti utilizzava una forma unica di doppia estorsione, in cui la banda minacciava di vendere l'accesso alla rete di una vittima ad altri hacker se la vittima non avesse pagato.

Conti si è sciolta dopo che i log delle chat interne della banda sono trapelati nel 2022, tuttavia molti ex componenti della gang sono ancora attivi nel mondo del crimine informatico. Secondo l'X-Force Threat Intelligence Index, alcuni ex componenti della banda Conti sono stati associati a diverse delle varianti di ransomware più diffuse attualmente, come BlackBasta, Royal e Zeon.

Una delle varianti di ransomware più diffuse nel 2023, secondo l' X-Force Threat Intelligence Index, LockBit si distingue per l'atteggiamento professionale dei suoi sviluppatori. Il gruppo LockBit è noto per l'acquisizione di altri ceppi di malware proprio come le aziende legittime acquisiscono altre aziende.

Nonostante le forze dell'ordine abbiano sequestrato alcuni dei siti web di LockBit nel febbraio 2024 e il governo degli Stati Uniti abbia imposto sanzioni a uno dei leader della banda, LockBit continua a mietere vittime. 

Le richieste di riscatto variano notevolmente e molte vittime scelgono di non divulgare l'entità della somma pagata, quindi è difficile determinare l'importo medio dei riscatti pagati. In ogni caso, la maggior parte delle stime lo colloca nell'intervallo tra le sei e le sette cifre. Secondo la Guida completa al ransomware, gli autori degli attacchi hanno chiesto pagamenti di riscatto fino a 80 milioni di dollari.

È importante notare che la percentuale di vittime che pagano un riscatto è diminuita drasticamente negli ultimi anni. Secondo la società di risposta agli incidenti di estorsione informatica Coveware, solo il 37% delle vittime ha pagato un riscatto nel 2023, rispetto al 70% del 2020.¹

Secondo gli esperti, il potenziale fattore alla base di questa inversione è una migliore preparazione riguardo alla criminalità informatica, che include maggiori investimenti in backup dei dati, piani di risposta agli incidenti e tecnologia di prevenzione e rilevamento delle minacce.

Le forze dell'ordine federali statunitensi scoraggiano all'unanimità le vittime di ransomware dal pagare richieste di riscatto. Secondo la National Cyber Investigative Joint Task Force (NCIJTF), una coalizione di 20 agenzie federali statunitensi incaricate di investigare le minacce informatiche:

“L’FBI non incoraggia il pagamento di un riscatto a soggetti criminali. Il pagamento di un riscatto può incoraggiare gli avversari a prendere di mira altre organizzazioni, incoraggiare altri criminali a impegnarsi nella distribuzione di ransomware e/o finanziare attività illecite. Inoltre, il pagamento del riscatto non garantisce che i file della vittima vengano recuperati”.

Le forze dell'ordine raccomandano alle vittime di ransomware di segnalare gli attacchi alle autorità competenti, come l'Internet Crime Complaint Center (IC3) dell'FBI, prima di pagare un riscatto.

Alcune vittime di attacchi ransomware hanno l'obbligo legale di segnalare le infezioni da ransomware indipendentemente dal fatto che paghino un riscatto. Ad esempio, la conformità all'HIPAA richiede generalmente che le entità sanitarie segnalino qualsiasi violazione dei dati, compresi gli attacchi ransomware, al Department of Health and Human Services.

In determinate condizioni, il pagamento di un riscatto può essere illegale.

L'Office of Foreign Assets Control (OFAC) degli Stati Uniti ha dichiarato che il pagamento di un riscatto ad aggressori provenienti da Paesi sottoposti a sanzioni economiche statunitensi, come la Corea del Nord o l'Iran, costituisce una violazione delle normative OFAC. I trasgressori potrebbero incorrere in sanzioni civili, multe o denunce penali.

Alcuni stati degli Stati Uniti, come la Florida e la Carolina del Nord, hanno reso illegale il pagamento di un riscatto da parte delle agenzie governative statali.

Gli esperti di cybersecurity e le agenzie federali come la Cybersecurity and Infrastructure Security Agency (CISA) e i servizi segreti statunitensi raccomandano alle organizzazioni di adottare misure precauzionali per difendersi dalle minacce ransomware. Queste misure possono includere:

• Eseguire backup dei dati sensibili e delle immagini di sistema, idealmente su dischi rigidi o altri dispositivi che il team IT può scollegare dalla rete in caso di attacco ransomware.
  
  
• Applicare regolarmente le patch per aiutare a contrastare gli attacchi ransomware che approfittano delle vulnerabilità del software e del sistema operativo
  
  .
• Strumenti di cybersecurity quali software antimalware, strumenti di monitoraggio della rete, piattaforme di rilevamento e risposta degli endpoint (EDR) e sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) possono aiutare i team addetti alla sicurezza a intercettare il ransomware in tempo reale.
  
  
• Formazione sulla sicurezza informatica dei dipendenti per aiutare gli utenti a riconoscere ed evitare phishing, ingegneria sociale e altre tattiche che possono portare ad attacchi da ransomware.
  
  
• Implementazione di politiche di controllo degli accessi, tra cui l'autenticazione a più fattori, la segmentazione della rete e misure simili, può impedire al ransomware di raggiungere i dati sensibili. I controlli di gestione delle identità e degli accessi (IAM) possono anche impedire la diffusione dei cryptoworm ad altri dispositivi della rete.
  
  
• I piani formali di risposta agli incidenti consentono ai team addetti alla sicurezza di intercettare e risolvere le violazioni in minor tempo. Il report Cost of a Data Breach ha rilevato che le organizzazioni con piani formali e team dedicati di risposta agli incidenti identificano le violazioni 54 giorni prima rispetto alle organizzazioni che non adottano nessuna di queste misure. Questo tempo di rilevamento più rapido riduce i costi di risoluzione del problema, facendo risparmiare in media alle organizzazioni quasi 1 milione di dollari.

Mentre i decryptor per alcune varianti di ransomware sono pubblicamente disponibili attraverso progetti come No More Ransom², la correzione di un'infezione ransomware attiva richiede spesso un approccio sfaccettato.

Consulta la  Guida completa al ransomware di IBM Security per un esempio di piano di risposta agli incidenti ransomware modellato sul ciclo di vita della risposta agli incidenti NIST (National Institute of Standards and Technology). 

1989: il primo ransomware documentato, noto come "AIDS Trojan" o "P.C. Cyborg", viene distribuito tramite floppy disk. Nasconde le directory dei file sul computer della vittima e chiede 189 dollari per rivelarle. Poiché questo malware agisce criptando i nomi dei file piuttosto che i file stessi, è facile per gli utenti annullare il danno senza pagare un riscatto.

1996: analizzando il trojan AIDS, gli scienziati informatici Adam L. Young e Moti Yung mettono in guardia contro future forme di malware che potrebbero utilizzare forme di crittografia più sofisticate per tenere in ostaggio dati sensibili.

2005: dopo un numero relativamente basso di attacchi ransomware nei primi anni 2000, inizia un aumento delle infezioni, concentrato in Russia e in Europa orientale. Appaiono le prime varianti che utilizzano la crittografia asimmetrica. Poiché i nuovi ransomware offrono metodi più efficaci per estorcere denaro, sempre più criminali informatici iniziano a diffondere ransomware in tutto il mondo.

2009: l’introduzione della criptovaluta, in particolare di Bitcoin, offre ai criminali informatici un modo per ricevere i pagamenti del riscatto in modo non tracciabile, generando una successiva ondata di attività ransomware.

2013: l'era moderna del ransomware inizia con CryptoLocker, che inaugura l'attuale ondata di attacchi ransomware altamente sofisticati basati sulla crittografia che sollecitano il pagamento in criptovaluta.

2015: la variante ransomware Tox introduce il modello ransomware as a service (RaaS).

2017: appare WannaCry, il primo criptoworm autoreplicante ampiamente utilizzato.

2018: Ryuk ha reso popolare la "caccia grossa" ai ransomware.

2019: gli attacchi ransomware a doppia e tripla estorsione iniziano ad aumentare.Quasi tutti gli incidenti di ransomware a cui il team di risposta agli incidenti di IBM® Security X-Force ha risposto dal 2019 comportavano una doppia estorsione.

2022: il thread hijacking, in cui i criminali informatici si inseriscono nelle conversazioni online legittime dei loro bersagli per diffondere il malware, emerge come un importante vettore di ransomware.

2023: con il miglioramento delle difese contro il ransomware, molte bande di ransomware iniziano a espandere i propri arsenali e a integrare il ransomware con nuove tattiche di estorsione. In particolare, bande come LockBit e alcuni reduci di Conti iniziano a utilizzare malware infostealer che consente loro di rubare dati sensibili e tenerli in ostaggio senza dover bloccare i sistemi delle vittime.