Cosa sono i Ransomware, cosa fanno e perché conoscerli

La parola ransomware è diventata purtroppo di forte uso comune negli ultimi anni, sotto la spinta della digitalizzazione dei servizi. Questo però non significa che il fenomeno sia di origine recente: la sua prima apparizione risale addirittura a più di trent'anni fa e, come per il mondo informatico, sono stati compiuti grossi passi in avanti che non hanno tuttavia scalfito molte delle caratteristiche più rappresentative di questo temutissimo malware. 

Le forme di infezione si sono fatte più raffinate, questo sì, grazie anche al contributo attivo delle campagne phishing e in particolare del fenomeno dell'ingegneria sociale, un tema a cui abbiamo più volte trasversalmente fatto riferimento nei nostri approfondimenti sullo smishing e sullo scam online. 

Ricollegandoci dunque al nostro articolo sul ransomware che, quasi un anno esatto addietro, ha tenuto sotto scacco i sistemi informatici della Regione Lazio, vogliamo tornare nuovamente sull'argomento ma stavolta con un'analisi più generale, spiegando in primo luogo cosa sono i ransomware, come funzionano e come proteggersi da questa minaccia che colpisce indistintamente privati (e soprattutto) imprese.

• Cosa sono i ransomware
• I ransomware più pericolosi
• Come si prendono i ransomware
• Come difendersi dai ransomware

Possiamo definire senza dubbio i ransomware come una delle più grandi forme di criminalità informatica ad oggi esistenti nel panorama virtuale.

La sua caratteristica, che si riflette anche nel particolare nome che identifica questa famiglia di malware (la traduzione letterale dall'inglese è infatti il "virus del riscatto"), è legata alla sua modalità di azione: crittografare file, documenti e dati ospitati su un qualsiasi sistema, dal singolo PC fino a un'intera rete aziendale, alla quale fa seguito una richiesta di riscatto avanzata dagli hacker (solitamente da versare in criptovaluta) tramite rete TOR per procedere con la decrittografia dei dati. 

Utilizzando parole più semplici, gli hacker sfruttano questa particolare tipologia di virus per "sequestrare" i dati appartenenti a privati e organizzazioni e bloccare l'accesso alle funzionalità del PC, chiedendo a quest'ultimi un contributo (il cui ammontare ha una forte variabilità, come vedremo più avanti) per lo sblocco degli stessi.

L'utente o l'azienda si trovano perciò di fronte a un dilemma: cedere al riscatto, oppure tentare altre soluzioni. E questa scelta spesso e volentieri dev'essere presa entro un lasso di tempo esiguo (solitamente una settimana, a volte anche meno). Per far presa sul soggetto che ha subìto l'attacco ransomware, i cybercriminali pubblicano talvolta anche i dati rubati sul web cosicché tutti possano accedervi. 

In una tipica situazione di attacco, la persona o l'organizzazione vittima sono costretti, loro malgrado, a imbattersi in una schermata di avviso dal tenore perentorio: versare una certa cifra per ottenere in contraccambio una password per la decrittografia dei dati. Non sempre cedere alle richieste dei cybercriminali rappresenta però la soluzione definitiva al problema. 

Come abbiamo anticipato a inizio articolo, l'origine dei ransomware è piuttosto antica. Considerate infatti che il primo caso di ransomware risale addirittura al lontano 1989, con il virus (chiamato "PC Cyborg", in quanto i pagamenti erano diretti a una organizzazione conosciuta appunto con il nome di "PC Cyborg Corporation") che circolava mediante un floppy disk.

Nella sua versione più rudimentale, il malware bloccava il funzionamento del computer e poneva l'utente di fronte a uno strano messaggio in cui si diceva che la licenza di qualche software era scaduta, obbligando il malcapitato a scucire 180 dollari per sbloccare il sistema.

Di acqua sotto i ponti ne è passata, come anche la diffusione di questo fenomeno: se il primo ransomware aveva una portata piuttosto limitata ed era anche relativamente semplice da bypassare, in quanto utilizzava la crittografia di base che per lo più modificava soltanto i nomi dei file, oggi invece i ransomware hanno assunto una complessità molto più incisiva, accompagnata da un traffico di denaro in alcuni casi assai ingente e alimentando così la criminalità informatica.

Quando si parla di ransomware si fa riferimento innanzitutto a una classe di virus informatici ed è per questo motivo che viene utilizzato il plurale. Alcuni di questi malware sono diventati più famosi rispetto ad altri in ragione della loro pericolosità e per il "peso" dei riscatti, con cifre assai consistenti (si parla di milioni di dollari, tanto per rendere l'idea).

È il caso di Maze, individuato per la prima volta nel 2019 e creato da un gruppo di cybercriminali che è stato tra i primi a rubare i dati prima ancora di crittografarli, tecnica poi ripresa da altre minacce piuttosto conosciute nella giungla informatica come REvil e DoppelPaymer. 

Maze è stato messo nell'angolo un anno più tardi, ma questo non ha impedito il sorgere di una nuova minaccia conosciuta con il nome di Conti. La particolarità di questo ransomware è che i criminali informatici, in caso di pagamento del riscatto, offrono all'azienda bersaglio, oltre al ripristino dei dati bloccati, un aiuto per la sicurezza dell'impresa, rivelando ad esempio modi utili per risolvere la falla di sicurezza e "rendere la vita difficile agli hacker".  

Più o meno nello stesso periodo ha preso il largo REvil, sofisticato virus che utilizza funzioni legittime della CPU per bypassare i sistemi di sicurezza.

Diversi cybercriminali che stavano dietro a REvil sono stati arrestati tra la fine del 2021 e l'inizio del 2022, portando quindi ad un calo dell'attività di questo malware.

Alcuni famosi ransomware come WannaCry, CryptoLocker e CryptoWall chiedono invece un pagamento del riscatto in bitcoin. Proprio WannaCry ha infettato nel maggio 2017 centinaia di migliaia di computer nel giro di una manciata di ore, guadagnando la palma di peggiore attacco informatico di tutti i tempi e mietendo vittime tra ospedali, fabbriche e uffici pubblici. 

In ogni caso, è bene precisare che i ransomware sono un fenomeno in continua evoluzione, con varianti (o famiglie di ransomware) che appaiono continuamente sulla scena del dark web. La diffusione dello smartworking ha incentivato i cybercriminali a fare largo utilizzo di questo fenomeno tanto che, come vedremo tra un attimo, il desktop remoto è una delle modalità di diffusione della minaccia. 

Nonostante la loro particolarità, i ransomware viaggiano nella rete con modalità pressoché similari a molti altri virus informatici.

Molte delle infezioni da ransomware partono infatti da un clic inconsapevole di un utente su un allegato inviato dai cybercriminali tramite email; una volta aperto l'allegato, viene scaricato il payload dannoso e inizia così la crittografia della rete.

Queste email sfruttano le tecniche di ingegneria sociale per far pressione psicologica sull'utente, che suo malgrado avvia il processo di infezione a danno dell'intera rete aziendale.

Campagne ransomware più consistenti sfruttano invece programmi all'apparenza innocui ma che celano in realtà questi virus informatici (non a caso si parla tecnicamente di "trojan horse"), o in alternativa exploit e difetti di software o rete aziendali. Alcuni ransomware si intrufolano persino nelle versioni craccate di noti programmi a pagamento. 

Ci sono infine casi, come è accaduto lo scorso anno con l'attacco hacker subìto dalla Regione Lazio, in cui i cybercriminali predispongono un attacco attraverso il desktop remoto per rubare le credenziali necessarie per l'accesso ai server e alla presa di controllo dell'infrastruttura.

E per quanto riguarda il riscatto? Come evidenziato da un leak del gruppo Conti, emerge che quasi mai il pagamento del corrispettivo versato dagli hacker alle vittime coincide con le spese sostenute dall'azienda che ha subìto l'attacco ransomware. Dietro al fenomeno ci sono infatti pure costi (tutt'altro che secondari) legati ad esempio alle spese di ripristino, alle spese legali e a quelle legate al monitoring.

In questo senso, una recente indagine di Check Point Research ha evidenziato che i costi sostenuti dalle vittime di attacchi ransomware sono sette volte superiori alla cifra richiesta dai cybercriminali a titolo di riscatto. La consistenza di questa cifra dipende da molte variabili in gioco, ad incominciare dalle entrate annuali della vittima (si parla statisticamente di un riscatto pari allo 0,7% e il 5% delle entrate medesime dell'impresa bersaglio), ma anche della nomea e del "peso" del gruppo di cybercriminali che sta dietro alla campagna ransomware e della stessa qualità dei dati esfiltrati.

Emerge quindi uno studio preventivo, da parte dei criminali informatici, nei confronti dell'azienda bersaglio: dalla valutazione di questa molteplicità di fattori viene elaborato il modus operandi per approntare l'attacco e la consistenza economica della richiesta. 

Proteggersi dai ransomware impone innanzitutto una politica di prevenzione. Antivirus e sistemi operativi costantemente aggiornati sono senza dubbio la base per una buona difesa, affiancata da un backup periodico dei dati: avere un backup dei dati è infatti la soluzione migliore per aggirare il problema di sicurezza. In ogni caso, il backup deve essere protetto e non accessibile a chi si collega alla rete. 

Difendersi dai ransomware richiede poi la messa a punto dei classici consigli per evitare attacchi malware ealtri virus informatici, con comportamenti in molti casi consapevoli. Bisogna quindi prestare attenzione ai siti di dubbia sicurezza, verificare sempre il mittente delle email e non aprire file o allegati sospetti.

In ogni caso, cedere alle minacce e pagare quanto richiesto dai criminali informatici non è sempre la soluzione al problema, in quanto esiste la possibilità che i cybercriminali, una volta messe le mani sul bottino, si rifiutino di sbloccare i dati.

Esistono anche altri consigli apparentemente superflui o minori ma di evidente utilità. Uno di questi accorgimenti è ad esempio abilitare l'opzione "Mostra estensioni nomi file" nelle impostazioni di Windows, tenuto conto che i file più pericolosi hanno estensioni come ad esempio .exe, .zip, .js, .jar, .scr. Può essere utile inoltre disabilitare la riproduzione automatica di supporti esterni, quali a titolo esemplificativo chiavette USB, nonché l'esecuzione di macro da parte di componenti del pacchetto Microsoft Office (Word, Excel, PowerPoint).