Un ransomware è un tipo di malware che blocca i dati o il dispositivo della vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto. Secondo l'IBM Security X-Force Threat Intelligence Index 2023, gli attacchi ransomware hanno rappresentato il 17% di tutti gli attacchi informatici nel 2022.
I primi attacchi ransomware chiedevano semplicemente un riscatto in cambio della chiave di crittografia necessaria per riottenere l'accesso ai dati interessati o per poter utilizzare di nuovo il dispositivo infetto. Effettuando backup regolari o continui dei dati, le organizzazioni possono limitare i costi derivanti da questi tipi di attacchi ransomware e spesso evitare di pagare la richiesta di riscatto.
Negli ultimi anni, però, gli attacchi ransomware si sono evoluti fino a includere attacchi a doppia e tripla estorsione che alzano notevolmente la posta in gioco, anche per le vittime che mantengono rigorosamente i backup dei dati o pagano la richiesta di riscatto iniziale. Gli attacchi a doppia estorsione aggiungono la minaccia di rubare i dati della vittima e diffonderli online; inoltre, gli attacchi a tripla estorsione minacciano di utilizzare i dati rubati per attaccare i clienti o i business partner della vittima.
L’X-Force Threat Intelligence Index del 2023 ha rilevato che la quota di ransomware tra tutti gli incidenti di sicurezza informatica è diminuita del 4% dal 2021 al 2022, probabilmente perché i difensori hanno avuto maggiore successo nel rilevare e prevenire gli attacchi ransomware. Ma questo risultato positivo è stato eclissato da una massiccia riduzione (del 94%) della tempistica media degli attacchi, passata da 2 mesi a meno di 4 giorni, dando alle organizzazioni pochissimo tempo per rilevare e sventare potenziali attacchi.
Le vittime di ransomware e i negoziatori sono riluttanti a divulgare gli importi dei pagamenti di riscatto. Tuttavia, secondo la Definitive Guide to Ransomware, le richieste di riscatto sono cresciute fino a raggiungere importi a sette e otto cifre. Inoltre, i pagamenti di riscatto rappresentano solo una parte del costo totale di un’infezione da ransomware. Secondo il report Cost of a Data Breach 2022 di IBM, il costo medio di una violazione dei dati causata da un attacco ransomware, escluso il pagamento del riscatto, è di 4,54 milioni di USD. Si prevede che gli attacchi ransomware costeranno alle vittime circa 30 miliardi di USD nel 2023.
Ci sono due tipi generali di ransomware. Il tipo più comune, chiamato ransomware di crittografia o ransomware crittografico, tiene in ostaggio i dati della vittima crittografandoli. L'aggressore richiede quindi un riscatto in cambio della fornitura della chiave di crittografia necessaria per decrittare i dati.
La forma meno comune di ransomware, chiamata ransomware non crittografico o ransomware con blocco dello schermo, blocca l'intero dispositivo della vittima, solitamente bloccandone l'accesso al sistema operativo. Invece di avviarsi come al solito, il dispositivo visualizza una schermata con la richiesta di riscatto.
Questi due tipi di ransomware possono essere ulteriormente suddivisi nelle seguenti sottocategorie:
- Leakware/Doxware è un ransomware che ruba o esfiltra dati sensibili e minaccia di pubblicarli. Mentre le forme precedenti di leakware o doxware spesso rubavano dati senza crittografarli, le varianti odierne spesso fanno entrambe le cose.
- I ransomware per dispositivi mobili includono tutti i ransomware che influiscono sui dispositivi mobili. Distribuito tramite app dannose o download drive-by, il ransomware mobile è in genere un ransomware non crittografato perché i backup automatizzati dei dati sul cloud, presenti di default su molti dispositivi mobili, facilitano l'inversione degli attacchi di crittografia.
- I wiper/ransomware distruttivi minacciano di distruggere i dati se il riscatto non viene pagato, tranne nei casi in cui il ransomware distrugge i dati anche se il riscatto viene pagato. Quest'ultimo tipo di wiper è spesso sospettato di essere utilizzato da soggetti o "hacktivisti" di nazioni o Stati piuttosto che da criminali informatici comuni.
- Scareware, come indica il suo nome, è un ransomware che cerca di spaventare gli utenti a spingerli a pagare un riscatto. Lo scareware potrebbe spacciarsi per un messaggio delle forze dell'ordine, accusando la vittima di un crimine e chiedendole una multa, oppure potrebbe simulare un avviso legittimo di infezione da virus, incoraggiando la vittima ad acquistare un software antivirus o antimalware. A volte, lo scareware è un ransomware, che cripta i dati o blocca il dispositivo; in altri casi, è il vettore del ransomware, che non cripta nulla ma costringe la vittima a scaricare il ransomware.
Gli attacchi ransomware possono utilizzare diversi metodi o vettori per infettare una rete o un dispositivo. Alcuni dei più importanti vettori di infezione da ransomware includono:
- E-mail di phishing e altri attacchi di ingegneria sociale: le e-mail di phishing inducono gli utenti a scaricare ed eseguire un allegato dannoso (contenente un ransomware mascherato da .pdf dall'aspetto innocuo, un documento di Microsoft Word o un altro file), oppure visitando un sito Web dannoso che fa passare il ransomware attraverso il browser Web dell'utente. Secondo il Cyber Resilient Organization Study 2021di IBM, il phishing e altre tattiche di ingegneria sociale hanno causato il 45 percento di tutti gli attacchi ransomware segnalati dai partecipanti al sondaggio, rendendoli i più comuni tra i vettori di attacchi ransomware.
- Vulnerabilità del sistema operativo e del software: i criminali informatici spesso sfruttano le vulnerabilità esistenti per iniettare codici nocivi in un dispositivo o in una rete. Un pericolo particolare è rappresentato dalle vulnerabilità zero-day, ovvero vulnerabilità sconosciute alla comunità della sicurezza o identificate ma non ancora risolte. Alcuni gruppi ransomware acquistano informazioni sulle vulnerabilità zero-day da altri hacker per pianificare i loro attacchi. Gli hacker hanno anche utilizzato efficacemente le vulnerabilità patchate come vettori di attacco, come nel caso dell'attacco WannaCry del 2017 esposto di seguito.
- Furto di credenziali: i criminali informatici possono rubare le credenziali degli utenti autorizzati, acquistarle sul dark web o violarle con la forza. Possono quindi utilizzare queste credenziali per accedere a una rete o a un computer e distribuire direttamente ransomware. Il protocollo desktop remoto (RDP), un protocollo proprietario sviluppato da Microsoft per consentire agli utenti di accedere a un computer da remoto, è un popolare obiettivo di furto di credenziali tra gli autori di attacchi ransomware.
- Altro malware: gli hacker utilizzano spesso malware sviluppati per altri attacchi per inviare un ransomware a un dispositivo. Il trojan Trickbot, ad esempio, originariamente progettato per rubare le credenziali bancarie, è stato utilizzato per diffondere la variante del ransomware Conti nel 2021.
- Download guidati: gli hacker possono utilizzare siti Web per trasferire ransomware sui dispositivi all'insaputa degli utenti. I kit di exploit utilizzano siti web compromessi per scansionare i browser dei visitatori alla ricerca di vulnerabilità delle applicazioni web da poter utilizzare per immettere il ransomware nel dispositivo. Il malvertising, annunci digitali legittimi che sono stati compromessi da hacker, può trasmettere il ransomware ai dispositivi anche se l'utente non clicca sull'annuncio.
I criminali informatici non devono necessariamente sviluppare il proprio ransomware per sfruttare questi vettori. Alcuni sviluppatori di ransomware condividono il proprio codice malware con i criminali informatici tramite accordi ransomware-as-a-service (RaaS). Il criminale informatico, o "affiliato", utilizza il codice per eseguire un attacco e poi divide la cifra del riscatto con lo sviluppatore. Si tratta di una relazione reciprocamente vantaggiosa: gli affiliati possono trarre profitto dalle estorsioni senza dover sviluppare il proprio malware e gli sviluppatori possono aumentare i loro profitti senza lanciare ulteriori attacchi informatici.
I distributori di ransomware possono vendere ransomware tramite mercati digitali o reclutare affiliati direttamente attraverso forum online o metodi simili. Grandi gruppi di ransomware hanno investito ingenti somme di denaro per attirare affiliati. Il gruppo REvil, ad esempio, ha speso 1 milione di USD per una campagna di reclutamento nell’ottobre 2020.
Un attacco ransomware si svolge generalmente nel modo seguente.
I vettori di accesso più comuni per gli attacchi ransomware continuano a essere il phishing e lo sfruttamento delle vulnerabilità.
A seconda del vettore di accesso iniziale, questa seconda fase può includere uno strumento di accesso remoto intermediario (RAT), o malware, prima di stabilire l'accesso interattivo.
Durante questa terza fase dell'attacco, gli aggressori si concentrano sulla comprensione del sistema e del dominio locale a cui hanno accesso e su come accedere ad altri sistemi e domini (chiamati movimento laterale).
In questo caso gli operatori del ransomware si concentrano sull'identificazione di dati preziosi e sulla loro estrapolazione (furto), di solito scaricandone o esportandone una copia per sé. Sebbene gli aggressori possano esfiltrare tutti i dati a cui possono accedere, di solito si concentrano su dati particolarmente preziosi - credenziali di accesso, informazioni personali dei clienti, proprietà intellettuale - che possono utilizzare per una doppia estorsione.
Il crypto ransomware inizia a identificare e crittografare i file. Alcuni crypto ransomware disabilitano anche le funzioni di ripristino del sistema, oppure eliminano o criptano i backup sul computer o sulla rete della vittima per aumentare la pressione a pagare per la chiave di decodifica. Il ransomware non crittografico blocca lo schermo del dispositivo, lo inonda di pop-up o impedisce in altro modo alla vittima di utilizzare il dispositivo.
Una volta che i file sono stati crittografati e/o il dispositivo è stato disattivato, il ransomware avvisa la vittima dell'infezione, spesso tramite un file .txt depositato sul desktop del computer o tramite una notifica pop-up. La lettera di riscatto contiene istruzioni su come pagare il riscatto, di solito in criptovaluta o con un metodo altrettanto irrintracciabile, in cambio di una chiave di decodifica o del ripristino delle operazioni standard.
Dal 2020, i ricercatori di cybersecurity hanno identificato più di 130 famiglie o varianti di ransomware distinte e attive, ovvero ceppi di ransomware unici con firme e funzioni di codice proprie.
Tra le numerose varianti di ransomware circolate nel corso degli anni, diversi ceppi si distinguono soprattutto per l’entità dei danni che causano, per il modo in cui hanno influenzato lo sviluppo del ransomware o per la minaccia che rappresentano ancora oggi.
CryptoLocker
Apparso per la prima volta nel settembre 2013, CryptoLocker è ampiamente riconosciuto come il promotore di ransomware dell'era moderna. Diffuso utilizzando una botnet (rete di computer dirottati), CryptoLocker è stata una delle prime famiglie di ransomware a crittografare in maniera forte i file degli utenti. Il gruppo ha estorto circa 3 milioni di dollari prima che le forze dell’ordine internazionali lo chiudessero nel 2014. Il successo di CryptoLock ha generato numerosi imitatori, aprendo la strada a varianti come WannaCry, Ryuk e Petya (descritte di seguito).
WannaCry
WannaCry, primo cryptoworm di alto profilo e ransomware in grado di diffondersi ad altri dispositivi sulla rete, ha attaccato oltre 200.000 computer (in 150 paesi) a cui gli amministratori avevano trascurato di applicare le patch per la vulnerabilità EternalBlue di Microsoft Windows. Oltre a crittografare i dati sensibili, il ransomware WannaCry minacciava di cancellare i file se il pagamento non avveniva entro sette giorni. Rimane uno dei più grandi attacchi di ransomware eseguiti finora, con costi stimati fino a 4 miliardi di dollari.
Petya e NotPetya
A differenza di altri ransomware crittografici, Petya crittografa la tabella del file system piuttosto che i singoli file, rendendo il computer infetto incapace di avviare Windows. Una versione pesantemente modificata, NotPetya, è stata utilizzata per effettuare un attacco informatico su larga scala, principalmente contro l'Ucraina, nel 2017. NotPetya agiva come un tergicristallo, incapace di sbloccare i sistemi anche dopo il pagamento del riscatto.
Ryuk
Avvistato per la prima volta nel 2018, Ryuk ha reso popolari gli attacchi ransomware di grande entità contro obiettivi specifici di alto valore e con richieste di riscatto medie superiori a 1 milione di dollari. Ryuk può individuare e disabilitare i file di backup e le funzionalità di ripristino del sistema; un nuovo ceppo con capacità di criptoworm è stato scoperto nel 2021.
Lato Oscuro
Gestito da un gruppo sospettato di operare dalla Russia, DarkSide è la variante di ransomware che ha attaccato la Colonial Pipeline degli Stati Uniti il 7 maggio 2021, considerato ad oggi il peggior attacco informatico alle infrastrutture chiave degli Stati Uniti. Di conseguenza, l'oleodotto che fornisce il 45% del carburante della costa orientale degli Stati Uniti è stato temporaneamente chiuso. Oltre a lanciare attacchi diretti, il gruppo DarkSide concede in licenza il proprio ransomware agli affiliati tramite accordi RaaS.
Locky
Locky è un ransomware crittografato con un metodo di infezione distinto: utilizza macro nascoste negli allegati e-mail (file Microsoft Word) travestite da fatture legittime. Quando un utente scarica e apre il documento di Microsoft Word, le macro nocive scaricano segretamente il payload del ransomware sul dispositivo dell'utente.
REvil/Sodinokibi
REvil, noto anche come Sodin o Sodinokibi, ha contribuito a rendere popolare l’approccio RaaS alla distribuzione del ransomware. Conosciuto per l'uso nella "caccia grossa" e negli attacchi a doppia estorsione, REvil è stato responsabile degli attacchi del 2021 contro le importanti JBS USA e Kaseya Limited. JBS ha pagato un riscatto di 11 milioni di dollari dopo che la sua intera attività di lavorazione della carne bovina negli Stati Uniti è stata interrotta e più di 1.000 clienti del software Kaseya sono stati colpiti da un significativo tempo di inattività. Il servizio di sicurezza federale russo ha riferito di aver smantellato REvil e incolpato molti dei suoi membri all’inizio del 2022.
Fino al 2022, la maggior parte delle vittime di ransomware ha soddisfatto le richieste di riscatto dei propri aggressori. Ad esempio, nel corso del Cyber Resilient Organization Study 2021 di IBM, il 61% delle aziende partecipanti che hanno subito un attacco ransomware entro due anni dallo studio ha dichiarato di aver pagato un riscatto.
Dei report recenti segnalano però un cambiamento nel 2022. Secondo i risultati pubblicati dalla società di risposta agli incidenti di estorsione informatica Coveware, solo il 41% delle vittime di ransomware del 2022 ha pagato un riscatto, rispetto al 51% nel 2021 e al 70% nel 2020. Chainanalysis, un fornitore di piattaforme dati blockchain, ha riferito inoltre che gli autori di attacchi ransomware hanno estorto quasi il 40% in meno di denaro alle vittime nel 2022 rispetto al 2021 (link esterno a ibm.com). Gli esperti indicano una migliore preparazione al crimine informatico (compresi i backup dei dati) e maggiori investimenti nella prevenzione delle minacce e nella tecnologia di rilevamento come potenziali fattori alla base di questa inversione.
Indicazioni dalle forze dell'ordine
Le forze dell'ordine federali statunitensi scoraggiano all'unanimità le vittime di ransomware dal pagare richieste di riscatto. Secondo la National Cyber Investigative Joint Task Force (NCIJTF), una coalizione di 20 agenzie federali statunitensi incaricate di investigare le minacce informatiche:
“L’FBI non incoraggia il pagamento di un riscatto a soggetti criminali. Il pagamento di un riscatto può incoraggiare gli avversari a prendere di mira altre organizzazioni, incoraggiare altri criminali a impegnarsi nella distribuzione di ransomware e/o finanziare attività illecite. Inoltre, il pagamento del riscatto non garantisce che i file della vittima vengano recuperati”.
Le forze dell'ordine raccomandano alle vittime di ransomware di segnalare gli attacchi alle autorità competenti, come l'Internet Crime Complaint Center (IC3) dell'FBI, prima di pagare un riscatto. Alcune vittime di attacchi ransomware potrebbero essere obbligate per legge a segnalare gli attacchi ransomware, indipendentemente dal pagamento del riscatto. Ad esempio, la conformità all'HIPAA richiede generalmente che le entità sanitarie segnalino qualsiasi violazione dei dati, compresi gli attacchi ransomware, al Department of Health and Human Services.
In determinate condizioni, il pagamento di un riscatto può essere illegale. Secondo un avviso del 2020 del Treasury's Office of Foreign Assets Control (OFAC) degli Stati Uniti, il pagamento di un riscatto ad aggressori provenienti da Paesi sottoposti a sanzioni economiche statunitensi, come la Russia, la Corea del Nord o l'Iran, costituirebbe una violazione delle normative OFAC e potrebbe comportare sanzioni civili, multe o accuse penali.
Per difendersi dalle minacce ransomware, agenzie federali come CISA, NCIJFT e U.S. Secret Service raccomandano alle organizzazioni di adottare determinate misure precauzionali, tra cui:
- Mantenimento di backup di dati sensibili e immagini del sistema, idealmente su dischi rigidi o altri dispositivi che possono essere scollegati dalla rete.
- Applicare regolarmente le patch per aiutare a contrastare gli attacchi ransomware che sfruttano la vulnerabilità del software e del sistema operativo
. - Aggiornamento degli strumenti di sicurezza informatica tra cui software antivirus e antimalware, firewall, strumenti di monitoraggio della rete e gateway web sicuri, nonché soluzioni di sicurezza informatica aziendale quali orchestrazione della sicurezza, automazione e risposta (SOAR), rilevamento degli endpoint e risposta (EDR), gestione delle informazioni e degli eventi di sicurezza (SIEM) e rilevamento e la risposta estesa (XDR), che aiutano i team addetti alla sicurezza a rilevare e rispondere ai ransomware in tempo reale.
- Formazione sulla sicurezza informatica dei dipendenti per aiutare gli utenti a riconoscere ed evitare phishing, ingegneria sociale e altre tattiche che possono portare ad attacchi da ransomware.
- Implementare politiche di controllo degli accessi tra cui l'autenticazione a più fattori, l'architettura zero-trust, la segmentazione della rete e altre misure simili volte a impedire al ransomware di raggiungere dati particolarmente sensibili e ai criptoworm di diffondersi in altri dispositivi sulla rete.
Mentre gli strumenti di decryptor per alcune varianti di ransomware sono pubblicamente disponibili attraverso progetti come No More Ransom, la correzione di un'infezione ransomware attiva richiede spesso un approccio sfaccettato. Consulta la Definitive Guide to Ransomware di IBM Security per un esempio di piano di risposta agli incidenti ransomware modellato sul ciclo di vita della risposta agli incidenti NIST (National Institute of Standards and Technology).
1989: il primo attacco ransomware documentato, noto come AIDS Trojan o "attacco P.C. Cyborg", viene distribuito tramite floppy disk. Nasconde le directory dei file sul computer della vittima e chiede 189 dollari per rivelarle. Poiché, però, criptava i nomi dei file invece dei file stessi, è stato facile per gli utenti annullare il danno senza pagare un riscatto.
1996: analizzando i difetti del virus Trojan AIDS, gli scienziati informatici Adam L. Young e Moti Yung mettono in guardia contro future forme di malware che potrebbero utilizzare forme di crittografia a chiave pubblica più sofisticate per tenere in ostaggio dati sensibili.
2005: dopo relativamente pochi attacchi ransomware nei primi anni 2000, inizia un aumento delle infezioni, concentrato in Russia e in Europa orientale. Appaiono le prime varianti per utilizzare la cifratura asimmetrica. Poiché i nuovi ransomware offrono metodi più efficaci per estorcere denaro, sempre più criminali informatici iniziano a diffondere ransomware in tutto il mondo.
2009: l’introduzione della criptovaluta, in particolare del Bitcoin, offre ai criminali informatici un modo per ricevere pagamenti di riscatto non tracciabili, determinando una successiva ondata di attività ransomware.
2013: l'era moderna del ransomware inizia con CryptoLocker, che inaugura l'attuale ondata di attacchi ransomware altamente sofisticati basati sulla crittografia che sollecitano il pagamento in criptovaluta.
2015: la variante ransomware Tox introduce il modello ransomware-as-a-service (RaaS).
2017: appare WannaCry, il primo criptoworm autoreplicante ampiamente utilizzato.
2018: Ryuk ha reso popolare la "caccia grossa" ai ransomware.
2019: gli attacchi ransomware a doppia e tripla estorsione iniziano ad aumentare. Quasi tutti gli incidenti di ransomware a cui il team IBM Security X-Force Incident Reponse ha risposto dal 2019 comportavano una doppia estorsione.
2022: il thread hijacking, in cui i criminali informatici si inseriscono nelle conversazioni online degli obiettivi, emerge come un importante vettore di ransomware.
Outsmart attacca con una suite di sicurezza connessa e modernizzata. Il portfolio QRadar incorpora AI di livello aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione log, SIEM e SOAR, il tutto con un'interfaccia utente comune, insight condivisi e workflow connessi.
Impedisci al ransomware di interrompere la continuità aziendale e recupera rapidamente quando si verificano attacchi, con un approccio Zero Trust che ti aiuta a rilevare e rispondere più rapidamente ai ransomware e a minimizzare l'impatto degli attacchi.
Utilizza i nostri servizi di sicurezza difensivi, che includono la preparazione agli incidenti basata su abbonamento, la rilevazione e i programmi di risposta alle emergenze, per aiutarti a rilevare, rispondere e contenere un incidente prima che si verifichino danni significativi.
Utilizza i nostri servizi di sicurezza offensivi, che includono test di penetrazione, gestione delle vulnerabilità e simulazione degli avversari, per aiutarti a identificare, assegnare priorità e correggere i difetti di sicurezza riguardanti l'intero ecosistema digitale e fisico.
Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.
Scopri le informazioni utili per capire come gli autori delle minacce conducono attacchi e come proteggere in modo proattivo la tua organizzazione.
Scopri i passaggi critici per proteggere la tua azienda prima che un attacco ransomware possa penetrare nelle tue difese e per ottenere un ripristino ottimale se gli avversari violano il perimetro.
Giunto alla sua 17a edizione, questo rapporto condivide le informazioni più recenti sul panorama delle minacce in espansione e offre consigli per risparmiare tempo e limitare le perdite.
La gestione delle informazioni di sicurezza e degli eventi (SIEM) offre il monitoraggio e l'analisi in tempo reale degli eventi, nonché il monitoraggio e la registrazione dei dati di sicurezza a fini di conformità o controllo.
Los Angeles collabora con IBM Security per creare il primo gruppo di condivisione sulle minacce informatiche per proteggersi dalla criminalità informatica.
Lavora con gli architetti e i consulenti di sicurezza senior di IBM per definire le priorità delle vostre iniziative di cybersecurity in una sessione di design thinking di 3 ore, virtuale o di persona, senza costi.