Un ransomware è un tipo di malware che blocca i dati o il dispositivo della vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto.
Secondo l'IBM Security X-Force Threat Intelligence Index 2023, gli attacchi ransomware hanno rappresentato il 17% di tutti gli attacchi informatici nel 2022.
I primi attacchi ransomware chiedevano semplicemente un riscatto in cambio della chiave di crittografia necessaria per riottenere l'accesso ai dati interessati o per poter utilizzare di nuovo il dispositivo infetto. Effettuando backup regolari o continui dei dati, le organizzazioni possono limitare i costi derivanti da questi tipi di attacchi ransomware e spesso evitare di pagare la richiesta di riscatto.
Negli ultimi anni, però, gli attacchi ransomware si sono evoluti fino a includere attacchi a doppia e tripla estorsione che alzano notevolmente la posta in gioco, anche per le vittime che mantengono rigorosamente i backup dei dati o pagano la richiesta di riscatto iniziale. Gli attacchi a doppia estorsione aggiungono la minaccia di rubare i dati della vittima e diffonderli online. E come se non bastasse, gli attacchi a tripla estorsione minacciano di utilizzare i dati rubati per attaccare i clienti o i business partner della vittima.
L'X-Force Threat Intelligence Index 2023 ha rilevato che la quota di ransomware di tutti gli incidenti di cybersecurity è diminuita del 4% dal 2021 al 2022. La diminuzione è probabilmente dovuta al fatto che i difensori hanno avuto più successo nel rilevare e prevenire gli attacchi ransomware. Ma questo risultato positivo è stato eclissato da una massiccia riduzione del 94% della tempistica media degli attacchi, da 2 mesi a meno di 4 giorni. In questo modo, le organizzazioni hanno pochissimo tempo per rilevare e contrastare potenziali attacchi.
Le vittime di ransomware e i negoziatori sono riluttanti a divulgare gli importi dei pagamenti di riscatto. Tuttavia, secondo la Definitive Guide to Ransomware, le richieste di riscatto sono cresciute fino a raggiungere importi a sette e otto cifre. Inoltre, i pagamenti di riscatto rappresentano solo una parte del costo totale di un’infezione da ransomware. Secondo il report Cost of a Data Breach 2023 di IBM, il costo medio di una violazione dei dati causata da un attacco ransomware è stato di 5,13 milioni di dollari. Si prevede che gli attacchi ransomware costeranno alle vittime circa USD 30 miliardi nel 2023 (link esterno a ibm.com).
Rimani informato sulle ultime tendenze del crimine informatico con la guida definitiva al ransomware di IBM.
Registrati per il report Cost of a Data Breach
Ci sono due tipi generali di ransomware. Il tipo più comune, chiamato ransomware di crittografia o ransomware crittografico, tiene in ostaggio i dati della vittima crittografandoli. L'aggressore richiede quindi un riscatto in cambio della fornitura della chiave di crittografia necessaria per decrittare i dati.
La forma meno comune di ransomware, chiamata ransomware non crittografico o ransomware con blocco dello schermo, blocca l'intero dispositivo della vittima, solitamente bloccandone l'accesso al sistema operativo. Invece di avviarsi come al solito, il dispositivo visualizza una schermata con la richiesta di riscatto.
Questi due tipi di categorie possono essere ulteriormente suddivisi in queste sottocategorie:
Gli attacchi ransomware possono utilizzare diversi metodi o vettori per infettare una rete o un dispositivo. Alcuni dei più importanti vettori di infezione da ransomware includono:
I criminali informatici non devono necessariamente sviluppare il proprio ransomware per sfruttare questi vettori. Alcuni sviluppatori di ransomware condividono il proprio codice malware con i criminali informatici tramite accordi ransomware-as-a-service (RaaS). Il criminale informatico, o "affiliato", utilizza il codice per eseguire un attacco e poi divide la cifra del riscatto con lo sviluppatore. Si tratta di una relazione reciprocamente vantaggiosa: gli affiliati possono trarre profitto dalle estorsioni senza dover sviluppare il proprio malware e gli sviluppatori possono aumentare i loro profitti senza lanciare ulteriori attacchi informatici.
I distributori di ransomware possono vendere ransomware tramite mercati digitali o reclutare affiliati direttamente attraverso forum online o metodi simili. Grandi gruppi di ransomware hanno investito ingenti somme di denaro per attirare affiliati.
Un attacco ransomware si svolge generalmente in queste fasi.
I vettori di accesso più comuni per gli attacchi ransomware continuano a essere il phishing e lo sfruttamento delle vulnerabilità.
A seconda del vettore di accesso iniziale, questa seconda fase può includere uno strumento di accesso remoto intermediario (RAT), o malware, prima di stabilire l'accesso interattivo.
Durante questa terza fase dell'attacco, gli aggressori si concentrano sulla comprensione del sistema e del dominio locale a cui hanno accesso e su come accedere ad altri sistemi e domini (attività chiamata movimento laterale).
In questo caso gli operatori del ransomware si concentrano sull'identificazione di dati preziosi e sulla loro estrapolazione (furto), di solito scaricandone o esportandone una copia per sé. Sebbene gli aggressori possano esfiltrare tutti i dati a cui possono accedere, di solito si concentrano su dati particolarmente preziosi - credenziali di accesso, informazioni personali dei clienti, proprietà intellettuale - che possono utilizzare per una doppia estorsione.
Il crypto ransomware inizia a identificare e crittografare i file. Alcuni crypto ransomware disabilitano anche le funzioni di ripristino del sistema, oppure eliminano o criptano i backup sul computer o sulla rete della vittima per aumentare la pressione a pagare per la chiave di decodifica. Il ransomware non crittografico blocca lo schermo del dispositivo, lo inonda di pop-up o impedisce in altro modo alla vittima di utilizzare il dispositivo.
Quando i file sono stati crittografati o il dispositivo è stato disattivato, il ransomware avvisa la vittima dell'infezione. Spesso questa notifica viene inviata tramite un file .txt depositato sul desktop del computer o tramite un pop-up. La richiesta di riscatto contiene istruzioni su come effettuare il pagamento, solitamente in criptovaluta o con un metodo altrettanto non tracciabile. Il pagamento è in cambio di una chiave di decrittografia o di un ripristino delle operazioni standard.
Dal 2020, i ricercatori di cybersecurity hanno identificato più di 130 famiglie o varianti di ransomware distinte e attive, ovvero ceppi di ransomware unici con firme e funzioni di codice proprie.
Nel corso degli anni sono circolate numerose varianti di ransomware. Diversi ceppi si distinguono soprattutto per l'entità dei danni che causano, per il modo in cui hanno influenzato lo sviluppo del ransomware o per la minaccia che rappresentano ancora oggi.
Apparso per la prima volta nel settembre 2013, CryptoLocker è ampiamente riconosciuto come il promotore di ransomware dell'era moderna. Diffuso utilizzando una botnet (rete di computer dirottati), CryptoLocker è stata una delle prime famiglie di ransomware a crittografare in maniera forte i file degli utenti. Il gruppo ha estorto circa 3 milioni di dollari prima che le forze dell’ordine internazionali lo chiudessero nel 2014. Il successo di CryptoLock ha generato numerosi imitatori, aprendo la strada a varianti come WannaCry, Ryuk e Petya.
WannaCry, primo cryptoworm di alto profilo e ransomware in grado di diffondersi ad altri dispositivi sulla rete, ha attaccato oltre 200.000 computer (in 150 paesi) a cui gli amministratori avevano trascurato di applicare le patch per la vulnerabilità EternalBlue di Microsoft Windows. Oltre a crittografare i dati sensibili, il ransomware WannaCry minacciava di cancellare i file se il pagamento non avveniva entro sette giorni. Rimane uno dei più grandi attacchi di ransomware eseguiti finora, con costi stimati fino a 4 miliardi di dollari.
A differenza di altri ransomware crittografici, Petya crittografa la tabella del file system piuttosto che i singoli file, rendendo il computer infetto incapace di avviare Windows. Una versione pesantemente modificata, NotPetya, è stata utilizzata per effettuare un attacco informatico su larga scala, principalmente contro l'Ucraina, nel 2017. NotPetya agiva come un tergicristallo, incapace di sbloccare i sistemi anche dopo il pagamento del riscatto.
Avvistato per la prima volta nel 2018, Ryuk ha reso popolari gli attacchi ransomware di grande entità contro obiettivi specifici di alto valore e con richieste di riscatto medie superiori a 1 milione di dollari. Ryuk può individuare e disabilitare i file di backup e le funzionalità di ripristino del sistema; un nuovo ceppo con capacità di criptoworm è stato scoperto nel 2021.
Gestito da un gruppo sospettato di operare dalla Russia, DarkSide è la variante di ransomware che ha attaccato la Colonial Pipeline degli Stati Uniti il 7 maggio 2021. È considerato ad oggi il peggior attacco informatico alle infrastrutture chiave degli Stati Uniti. Di conseguenza, l'oleodotto che fornisce il 45% del carburante della costa orientale degli Stati Uniti è stato temporaneamente chiuso. Oltre a lanciare attacchi diretti, il gruppo DarkSide concede in licenza il proprio ransomware agli affiliati tramite accordi RaaS.
Locky è un ransomware crittografato con un metodo di infezione distinto: utilizza macro nascoste negli allegati e-mail (file Microsoft Word) travestite da fatture legittime. Quando un utente scarica e apre il documento di Microsoft Word, le macro nocive scaricano segretamente il payload del ransomware sul dispositivo dell'utente.
REvil, noto anche come Sodin o Sodinokibi, ha contribuito a rendere popolare l’approccio RaaS alla distribuzione del ransomware. Conosciuto per l'uso nella "caccia grossa" e negli attacchi a doppia estorsione, REvil è stato responsabile degli attacchi del 2021 contro le importanti JBS USA e Kaseya Limited. JBS ha pagato un riscatto di 11 milioni di dollari dopo che la sua intera attività di lavorazione della carne bovina negli Stati Uniti è stata interrotta e più di 1.000 clienti del software Kaseya sono stati colpiti da un significativo tempo di inattività. Il servizio di sicurezza federale russo ha riferito di aver smantellato REvil e incolpato molti dei suoi membri all’inizio del 2022.
Fino al 2022, la maggior parte delle vittime di ransomware ha soddisfatto le richieste di riscatto dei propri aggressori. Ad esempio, nel corso del Cyber Resilient Organization Study 2021 di IBM, il 61% delle aziende partecipanti che hanno subito un attacco ransomware entro due anni dallo studio ha dichiarato di aver pagato un riscatto.
Rapporti recenti segnalano però un cambiamento nel 2022. Secondo i risultati pubblicati dalla società di risposta agli incidenti di estorsione informatica Coveware, solo il 41% delle vittime di ransomware del 2022 ha pagato un riscatto, rispetto al 51% nel 2021 e al 70% nel 2020 (link esterno a IBM.com). Chainanalysis, un fornitore di piattaforme dati blockchain, ha riferito inoltre che gli autori di attacchi ransomware hanno estorto quasi il 40% in meno di denaro alle vittime nel 2022 rispetto al 2021 (link esterno a ibm.com). Gli esperti indicano una migliore preparazione al crimine informatico (compresi i backup dei dati) e maggiori investimenti nella prevenzione delle minacce e nella tecnologia di rilevamento come potenziali fattori alla base di questa inversione.
Le forze dell'ordine federali statunitensi scoraggiano all'unanimità le vittime di ransomware dal pagare richieste di riscatto. Secondo la National Cyber Investigative Joint Task Force (NCIJTF), una coalizione di 20 agenzie federali statunitensi incaricate di investigare le minacce informatiche:
“L’FBI non incoraggia il pagamento di un riscatto a soggetti criminali. Il pagamento di un riscatto può incoraggiare gli avversari a prendere di mira altre organizzazioni, incoraggiare altri criminali a impegnarsi nella distribuzione di ransomware e/o finanziare attività illecite. Inoltre, il pagamento del riscatto non garantisce che i file della vittima vengano recuperati”.
Le forze dell'ordine raccomandano alle vittime di ransomware di segnalare gli attacchi alle autorità competenti, come l'Internet Crime Complaint Center (IC3) dell'FBI, prima di pagare un riscatto. Alcune vittime di attacchi ransomware potrebbero essere obbligate per legge a segnalare gli attacchi ransomware, indipendentemente dal pagamento del riscatto. Ad esempio, la conformità all'HIPAA richiede generalmente che le entità sanitarie segnalino qualsiasi violazione dei dati, compresi gli attacchi ransomware, al Department of Health and Human Services.
In determinate condizioni, il pagamento di un riscatto può essere illegale. Secondo un avviso del 2020 del Treasury's Office of Foreign Assets Control (OFAC) degli Stati Uniti, il pagamento di un riscatto ad aggressori provenienti da paesi sottoposti a sanzioni economiche statunitensi, come la Russia, la Corea del Nord o l'Iran, costituirebbe una violazione delle normative OFAC e potrebbe comportare sanzioni civili, multe o accuse penali.
Per difendersi dalle minacce ransomware, agenzie federali come CISA, NCIJFT e U.S. Secret Service raccomandano alle organizzazioni di adottare determinate misure precauzionali, tra cui:
Mentre gli strumenti di decryptor per alcune varianti di ransomware sono pubblicamente disponibili attraverso progetti come No More Ransom (link esterno a ibm.com), la correzione di un'infezione ransomware attiva richiede spesso un approccio sfaccettato. Consulta la Definitive Guide to Ransomware di IBM Security per un esempio di piano di risposta agli incidenti ransomware modellato sul ciclo di vita della risposta agli incidenti NIST (National Institute of Standards and Technology).
1989: il primo attacco ransomware documentato, noto come AIDS Trojan o "attacco P.C. Cyborg", viene distribuito tramite floppy disk. Nasconde le directory dei file sul computer della vittima e chiede 189 dollari per rivelarle. Poiché, però, criptava i nomi dei file invece dei file stessi, è stato facile per gli utenti annullare il danno senza pagare un riscatto.
1996: Analizzando i difetti del virus Trojan AIDS, gli scienziati informatici Adam L. Young e Moti Yung mettono in guardia da future forme di malware. Hanno affermato che il futuro malware potrebbe utilizzare una crittografia a chiave pubblica più sofisticata per tenere in ostaggio dati sensibili.
2005: dopo relativamente pochi attacchi ransomware nei primi anni 2000, inizia un aumento delle infezioni, concentrato in Russia e in Europa orientale. Appaiono le prime varianti per utilizzare la cifratura asimmetrica. Poiché i nuovi ransomware offrono metodi più efficaci per estorcere denaro, sempre più criminali informatici iniziano a diffondere ransomware in tutto il mondo.
2009: l’introduzione della criptovaluta, in particolare del Bitcoin, offre ai criminali informatici un modo per ricevere pagamenti di riscatto non tracciabili, determinando una successiva ondata di attività ransomware.
2013: l'era moderna del ransomware inizia con CryptoLocker, che inaugura l'attuale ondata di attacchi ransomware altamente sofisticati basati sulla crittografia che sollecitano il pagamento in criptovaluta.
2015: la variante ransomware Tox introduce il modello ransomware-as-a-service (RaaS).
2017: appare WannaCry, il primo criptoworm autoreplicante ampiamente utilizzato.
2018: Ryuk ha reso popolare la "caccia grossa" ai ransomware.
2019: gli attacchi ransomware a doppia e tripla estorsione iniziano ad aumentare. Quasi tutti gli incidenti di ransomware a cui il team IBM Security X-Force Incident Reponse ha risposto dal 2019 comportavano una doppia estorsione.
2022: il thread hijacking, in cui i criminali informatici si inseriscono nelle conversazioni online degli obiettivi, emerge come un importante vettore di ransomware.
Outsmart attacca con una suite di sicurezza connessa e modernizzata. Il portfolio QRadar è dotato di AI di livello aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione log, le piattaforme SIEM e SOAR, il tutto con un'interfaccia utente comune, insight condivisi e workflow connessi.
Impedisci al ransomware di interrompere la continuità aziendale e recupera rapidamente quando si verificano attacchi, con un approccio Zero Trust che ti aiuta a rilevare e rispondere più rapidamente ai ransomware e a minimizzare l'impatto degli attacchi.
Utilizza i nostri servizi di sicurezza difensivi, che includono la preparazione agli incidenti basata su abbonamento, la rilevazione e i programmi di risposta alle emergenze, per aiutarti a rilevare, rispondere e contenere un incidente prima che si verifichino danni significativi.
Utilizza i nostri servizi di sicurezza offensivi, che includono test di penetrazione, gestione delle vulnerabilità e simulazione degli avversari, per aiutarti a identificare, assegnare priorità e correggere i difetti di sicurezza riguardanti l'intero ecosistema digitale e fisico.
Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.
Proteggi in modo proattivo i sistemi di storage primari e secondari della tua organizzazione da ransomware, errori umani, disastri naturali, sabotaggi, guasti hardware e altri rischi di perdita di dati.
Registrati al webinar il 11 giugno 2024 alle 11:00 EDT per scoprire come combinare la potenza di IBM Storage Defender e IBM FlashSystem per combattere il ransomware.
Guarda la registrazione su richiesta per scoprire i passaggi pratici che puoi eseguire per creare un'operatività più resiliente e proteggere i tuoi dati.
Scopri le informazioni utili per capire come gli autori delle minacce conducono attacchi e come proteggere in modo proattivo la tua organizzazione.
Leggi il report, giunto alla sua 18a edizione, per ottenere gli insight più recenti sul landscape delle minacce in espansione e i consigli per risparmiare tempo e limitare le perdite.
Scopri in che modo la gestione delle informazioni di sicurezza e degli eventi (SIEM) offre il monitoraggio e l'analisi in tempo reale degli eventi, nonché il monitoraggio e la registrazione dei dati di sicurezza a fini di conformità o controllo.
Scopri in che modo Los Angeles collabora con IBM Security per creare il primo gruppo di condivisione delle minacce per proteggersi dalla criminalità informatica.
Lavora con gli architetti e i consulenti di sicurezza senior di IBM per definire le priorità delle vostre iniziative di cybersecurity in una sessione di design thinking di 3 ore, virtuale o di persona, senza costi.