Ransomware: cos'è, come funziona e come proteggersi

Ha tenuto in scacco per giorni un’intera regione, impedendo l’accesso a servizi fondamentali come la prenotazione di visite specialistiche o del vaccino anti-covid, ma dell’origine del ransomware che ha attaccato i sistemi informatici del Lazio si sa ancora poco. Di certo, però, c’è che si è rivelato molto pericoloso, e che sono sempre di più le amministrazioni prese di mira da hacker che sfruttano questa tipologia di malware.

Il ransomware prendere il nome dalla modalità con cui agisce: “sequestra” i dati, criptandoli, e poi chiede un riscatto solitamente in criptovaluta (bitcoin) per sbloccarli. È quanto accaduto alla Regione Lazio: il malware che ha infettato i sistemi ha reso inaccessibili i dati, e gli hacker hanno chiesto una somma di denaro per renderli nuovamente accessibili e per evitarne la divulgazione.

Si tratta solitamente di trojan horse, che si nascondono cioè in altri programmi all’apparenza innocui: una volta aperto il programma, il malware si insinua nel sistema infettandolo.

L’attacco del ransomware viene rivelato attraverso una scherma avviso che propone un’offerta: in cambio di una password in grado di sbloccare tutti i dati viene chiesta una somma di denaro, il famoso riscatto, da pagare sfruttando la rete Tor, pilastro del Dark Web.

Le istruzioni fornite per liberarsi dal ransomware sono solitamente molto dettagliate, e può capitare che gli hacker le diffondano anche in italiano per assicurarsi che vengano ben comprese. Non solo: è capitato anche che gli hacker attivassero una chat - ovviamente quasi sempre anonima e non rintracciabile - per fornire istruzioni in tempo reale alle loro vittime.

Come detto, solitamente i ransomware sono nascosti all’interno di programmi all’apparenza innocui, magari scaricati da internet, oppure in email phishing, quelle che invitano a cliccare su un link o a scaricare un determinato file. Il mittente di questi messaggi è spesso un indirizzo che richiama ingannevolmente a istituti bancari, servizi postali o anche a forze di polizia, e una volta aperti il ransomware si diffonde.

Può capitare, inoltre, che il “cavallo di Troia” sia un programma regolare con vulnerabilità: scaricandolo, il ransomware entra nei sistemi senza che l’utente debba fare alcuna azione per “attivarlo”. C’è poi un’altra possibilità, che sembra ricalcare la situazione della Regione Lazio: un attacco attraverso il desktop remoto in cui vengono rubate le credenziali necessarie per accedere ai server e prenderne il controllo. Una volta ottenuto l’accesso al sistema, gli hacker ne prendono il controllo iniettando il ransomware.

Come per tutti i virus, ci sono diverse “famiglie” di ransomware. Tra i più famosi c’è il Cryptolocker, che ha aperto la strada a una tipologia di ransomware utilizzata, pare, anche per l’attacco alla Regione Lazio. Inventato dall’hacker russo Evgeniy Mikhailovich Bogachev, infetta i computer con sistema operativo Windows, ma ce ne sono di moltissimi tipi, in grado di infiltrarsi in molti sistemi e con diverse modalità. Di base però sono sempre “traghettati” da file o programmi che possono essere aperti o eseguiti.

A oggi il ransomware è uno dei malware più utilizzati per gli attacchi mirati soprattutto alla pubblica amministrazione o alle grandi aziende. L’obiettivo è ottenere quanto più denaro possibile, e i sistemi si sono fatti sempre più sofisticati. Secondo il Rapporto Clusit 2021, i ransomware nell’anno 2018 rappresentavano il 23% di tutti i malware, l’anno successivo sono diventati quasi la metà (46%) e nel 2020 hanno raggiunto il 67%. In pratica sono ransomware i due terzi degli attacchi.

La cosa fondamentale per proteggersi dai ransomware è prevenire, sia con antivirus il più possibile avanzati sia con l’aggiornamento costante dei sistemi operativi. Ovviamente, come dimostra il caso della Regione Lazio, anche il backup riveste un ruolo di importanza fondamentale: salvare periodicamente i propri dati e in più copie, su servizi di archiviazione differenti, consente di “sganciarsi” dall’attacco, rifiutando di pagare senza conseguenze.

Lo stesso backup va protetto: deve essere isolato, e non accessibile a chi si collega alla rete. A queste precauzioni si aggiungono quelle legate anche al buon senso: mai cliccare su banner o finestre pop-up di siti non sicuri, controllare sempre il mittente delle mail e non aprire file o link che appaiono sospetti e che arrivano da indirizzi sconosciuti. È bene anche disabilitare l’autorun per i dispositivi esterni come dischi e chiavette

Inoltre è fondamentale la segnalazione alla polizia Postale in caso di attacco, per tentare di risalire ai responsabili. La cosa migliore da fare, nel caso in cui si venga colpiti da un ransomware, è formattare il computer e poi ripristinare i dati tramite il backup. In rete sono disponibili anche programmi per decriptare i dati, che non danno però alcuna certezza e che potrebbero rivelarsi a loro volta delle trappole. Pagare il riscatto resta l’ultima delle opzioni, anche perché non è garanzia di riavere indietro i propri dati.