Cosa sono i ransomware, come funzionano e come proteggersi

Nel 2021 i ransomware sono diventati una delle forme più diffuse di cybercrimine al mondo, ma cosa sono esattamente e come funzionano?

Cosa sono i ransomware, come funzionano e come proteggersi
Articolo a cura di

Nel corso degli ultimi anni i ransomware si sono rivelati come uno dei tipi di cyber attacco più redditizi, facili da utilizzare e diffondere in rete, oltre che difficili da evitare o rimuovere in seguito all'accesso in dispositivi come computer e smartphone. I dati raccolti tra il 2018 e il 2021 parlano chiaro: subito dopo l'introduzione dei primi ransomware, essi rappresentavano il 23% di tutti i malware, mentre nel 2019 costituivano il 46% e nel 2020 il 67%.
Secondo il Ransomware Threat Report 2021 di Unit42, nel primo trimestre del 2021 gli esperti hanno individuato ben 113 diverse famiglie di ransomware, di cui 15 rappresentano il 52,3% degli attacchi globali.

In altre parole, i criminali informatici si affidano sempre più a questa tipologia di attacco, diffondendo i ransomware nei modi più disparati e colpendo sia cittadini comuni che grandi organizzazioni, ospedali e persino la pubblica amministrazione. Cosa sono esattamente? Come funzionano? Ma soprattutto, come si possono evitare?

Definizione e funzionamento

Al primo quesito diamo subito una risposta: ransomware è un termine che viene dall'unione di "ransom" e "malware", dove la prima parola significa "riscatto" e la seconda deriva dai termini "malicious" e "software", ovvero "software dannoso".

Un ransomware è un tipo di software dannoso che impedisce agli utenti di accedere al proprio sistema o ai file personali, la cui riappropriazione avviene generalmente dietro il pagamento di un riscatto.

La storia dei ransomware in realtà è piuttosto lunga e i primi attacchi si registrarono addirittura verso la fine degli anni '90. Il primo ransomware creato e diffuso prende il nome di PC Cyborg o AIDS e criptava tutti i file nella directory C: dei computer dopo 90 accensioni, chiedendo infine al malcapitato di pagare un riscatto via posta per riottenere l'accesso ai dati personali.

Fortunatamente la crittografia di PC Cyborg non era tanto complessa quanto quella utilizzata recentemente, quindi poteva essere risolta facilmente dagli utenti più esperti.

Il primo ransomwarePC Cyborg o "Trojan AIDS" venne creato dal biologo Dr. Joseph Popp e diffuso tramite un floppy disk chiamato "AIDS Information Introductory Diskette", distribuito in particolare durante un evento informativo sull'AIDS nel Regno Unito, ma venne anche inviato via posta. Una volta inserito il floppy nel PC, il ransomware rimpiazzava il file AUTOEXEC.BAT e attendeva le 90 accensioni del PC, dopodiché rendeva il sistema inutilizzabile chiedendo un riscatto di 189 Dollari da inviare a un indirizzo postale localizzato a Panama.

Ciononostante, si è trattato del primo passo verso la creazione di numerose varianti sempre più noiose e difficili da evitare come WinLock, software malevolo che nel 2007 si occupava di bloccare le persone fuori dal desktop del PC e mostrava immagini pornografiche a tutto schermo chiedendo il pagamento del riscatto via SMS per rimuoverle e riottenere accesso ai dati.
L'evoluzione avvenuta nei 6 anni seguenti ha portato poi alla nascita dei primi ransomware moderni, tra cui il famigerato CryptoLocker, il primo a utilizzare un livello di crittografia di grado militare, nascondendo la chiave di decrittazione in un server remoto in attesa del riscatto, rendendo pressoché impossibile riottenere l'accesso ai dati personali contenuti nel computer. Dal 2013 in poi questo tipo di attacco informatico è diventato sempre più popolare, fino a raggiungere la sua attuale diffusione con varie tipologie di attacchi, di cui parleremo in seguito.

Il funzionamento di un ransomware è decisamente particolare: per entrare nella rete di un singolo cittadino o di un'organizzazione, esso si avvale dell'ingegneria sociale o social engineering.

Sfruttando alcune leve sociali, il malintenzionato riesce a ottenere la fiducia della vittima portandola a scaricare programmi o documenti contenenti in realtà il software dannoso. Il tutto avviene avvalendosi di espedienti tecnici e psicologici piuttosto semplici, come un banale click su una pubblicità che attiva immediatamente il ransomware, il cosiddetto malvertising o "malicious advertising" o ancora "pubblicità dannosa", oppure attraverso il download di un file allegato a una mail ricevuta da indirizzi apparentemente affidabili.
Insomma, i più esperti avranno ormai capito che il vettore più diffuso e usato per oltre il 75% dei ransomware è il phishing, ma non mancano casi di ransomware che sfruttano vulnerabilità del sistema stesso, oppure che si infiltrano nel PC tramite il download di software a pagamento per vie illecite. Un altro metodo consiste nella compromissione di siti che usano Java o l'ormai abbandonato Adobe Flash Player.

Indipendentemente dal metodo, però, in seguito al download di tale contenuto dannoso il ransomware sequestra i file attraverso la cifratura, rendendoli così inutilizzabili.

A seconda del tipo di software malevolo, può rendere subito chiara la natura dell'attacco oppure assumere le sembianze di un'azione intrapresa da organizzazioni di cybersecurity o da autorità competenti nel tentativo di guadagnarsi la fiducia della vittima e convincerla a pagare il riscatto.
Il pagamento a sua volta avviene principalmente sfruttando il mercato delle criptovalute, tramite Bitcoin, Ethereum o altre valute, e può variare da qualche migliaio di Dollari a diversi milioni di Dollari, questo a seconda della moneta utilizzata, a causa dell'aumento di valore delle criptovalute, ma anche sulla base della tipologia di bersaglio.

Assieme alla richiesta di pagamento solitamente viene anche allegata una schermata con le istruzioni dettagliate per accedere alla rete TOR e dunque al Dark Web per effettuare il pagamento su portafoglio elettronico.
Alcuni ransomware si avvalgono anche di timer dedicati all'aumento del riscatto e alla perdita definitiva dei file, giusto per mettere fretta alla vittima. Altri sistemi più evoluti contengono addirittura una chat in tempo reale per ricevere supporto nel pagamento del riscatto, concedendo anche qualche spazio di trattativa per ridurre il prezzo della password.

Tipologie e varianti più diffuse di attacchi ransomware

Come spiegato inizialmente, esistono diverse famiglie di ransomware, che possono differire nell'attacco ma non nella richiesta del riscatto. Le quattro categorie principali sono le seguenti:

Crypto Ransomware: il più popolare di tutti, permette agli hacker di criptare i dati contenuti nel dispositivo impedendo il loro accesso all'utente previo il pagamento del riscatto, il quale consente di ottenere in cambio la chiave di decrittazione.

Screen Locker: altra variante piuttosto popolare che, anziché criptare tutti i dati, impedisce direttamente l'accesso al PC fino all'esecuzione delle richieste dei malintenzionati.

Scareware: non è definibile propriamente come ransomware, in quanto non cripta nessun dato e non blocca l'accesso al sistema, ma induce gli utenti bersaglio a scaricare o acquistare software infetto che, in seguito all'installazione, mostrerà delle notifiche che indicano la presenza di presunti virus nel PC o avvisi che sembrano provenire dalle forze dell'ordine.

Leakware: altro metodo di estorsione non definibile propriamente ransomware ma che consiste pur sempre nell'ottenimento di dati sensibili di un cittadino o di un'azienda e nel minacciare la loro diffusione nel Dark Web se non si ottiene il riscatto voluto.

Esempio di Crypto Ransomware

Esempio di Scareware

Per quanto riguarda le varianti diffuse in rete, con la pandemia di COVID-19 tra 2020 e 2021 e il passaggio allo smart working si è registrato addirittura un raddoppio degli attacchi ransomware su scala globale, con una diffusione maggiore, in ordine, nel Regno Unito, in Francia, Germania e Italia, con offensive rivolte anche a giganti come Luxottica, Campari e recentemente anche Gigabyte, ma anche piccole e medie imprese, il Comune di Brescia e una clinica universitaria a Dusseldorf, dove si è purtroppo registrato anche il primo decesso da ransomware.

Gli esperti di Palo Alto Networks hanno fornito al pubblico un elenco approfondito delle principali famiglie di ransomware. Attualmente, questa è la classifica delle prime tre:

1. Ryuk, 31,7% degli attacchi: si tratta di un ransomware in grado di penetrare nel sistema tramite attacchi multifase e, dopo settimane o mesi dall'infezione iniziale, mostra la sua presenza con un file chiamato RyukReadMe dove vengono indicati tutti i dettagli per il pagamento del riscatto

2. Sodinokibi, 20% degli attacchi: sebbene questo nome possa dire poco all'utente medio, un suo "sinonimo" è REvil, nome usato da uno degli operatori ransomware più famosi al mondo. Nato in Russia e recentemente scomparso dalla scena, negli ultimi mesi è riuscito nell'intento di attaccare la filiale statunitense della più grande azienda di confezionamento della carne al mondo, ottenendo il pagamento di 11 milioni di Dollari, e anche di centinaia di attacchi ad aziende che usano il software IT Kaseya

3. Maze, 15% degli attacchi: chiamato inizialmente anche "ChaCha", ha origine nel 2019 e fino al 2021 è stato uno dei ransomware più utilizzati dagli hacker, data la semplicità nella sua diffusione tramite e-mail con allegati Word o Excel infetti, ma anche tramite vulnerabilità di Flash Player.
Il suo funzionamento è invece più complesso, in quanto riesce a ottenere privilegi elevati nel sistema e avvia la crittografia di tutti i file contenuti, ma solo dopo avere estrapolato ogni dato sensibile importante per ricattare nuovamente la vittima minacciando l'esposizione pubblica delle informazioni più delicate.

L'elenco prosegue dunque con nomi come Mespinoza, Babuk, Egregor, NetWalker e molti altri, ma tra i ransomware storici vanno ricordati i seguenti:

CryptoLocker: ransomware diffuso tra settembre 2013 e maggio 2014, viene ricordato dagli esperti di cybersicurezza come il probabile primo ransomware diffuso su Internet via allegati e-mail, stabilendo così il nuovo standard nel settore. In seguito all'attacco, il malware mostrava un messaggio pop-up che è diventato quasi iconico, richiedendo il pagamento attraverso Bitcoin o carta prepagata per ottenere la chiave di decrittazione entro un determinato giorno.
In caso di mancato pagamento entro la deadline stabilita, il malware offriva un nuovo metodo di pagamento online ma con una quota molto più elevata. In entrambi i casi, la ricezione della chiave di decrittazione non era certa. Il ransomware è stato isolato nel maggio 2014 con l'Operazione Tovar, la quale ha portato alla chiusura della rete di diffusione di CryptoLocker

WannaCry: ransomware diffuso su scala globale con un attacco estremamente rapido avvenuto tra 12 e 15 maggio 2017, sebbene gli ultimi casi si siano registrati nel 2019. Sfruttando un exploit presente nei sistemi operativi Windows più datati e senza più supporto da parte di Microsoft (principalmente Windows 7, Windows XP e Windows Server 2003), i malintenzionati, presumibilmente parte del gruppo hacker nordcoreano Lazarus Group, sono riusciti a infettare oltre 200.000 computer in 150 paesi, per danni che superano i 5 miliardi di dollari, coinvolgendo anche i sistemi del National Health Service britannico per 92 milioni di sterline.
Dopo quattro giorni dall'inizio dell'attacco, gli esperti di cybersicurezza hanno individuato un metodo di decrittazione piuttosto semplice, sfruttabile sui sistemi bersaglio a patto che il PC non fosse mai stato riavviato

GandCrab: identificato nel 2018, ha visto la nascita di numerosissime versioni aggiornate nel corso dei 15 mesi successivi all'inizio delle offensive, le quali richiedevano poi il pagamento del riscatto per un massimo di 600.000 sterline tramite Dark Web e con criptovaluta DASH.
GandCrab è noto tra i ricercatori in quanto ha attaccato 500.000 sistemi raccogliendo oltre 2 miliardi di dollari in riscatti, secondo le dichiarazioni degli hacker, ma la sua fama è dovuta anche all'utilizzo del dominio .bit da parte dei creatori del ransomware, che ha reso più difficile la loro identificazione. Nel giugno 2019, però, l'FBI ha rilasciato gli strumenti per la decrittazione dei dati, atto che costò ben 300 milioni di sterline ai creatori di GandCrab per la perdita dei riscatti ancora in corso.

La lista delle vittime registrate finora è lunghissima e certamente incompleta, ma viene aggiornata costantemente. Un rapporto esaustivo accessibile a tutti è stato stilato da parte di DarkTracer, dove viene mostrato uno storico delle aziende vittime di almeno un attacco ransomware, riportando anche la possibile data dell'offensiva, il team che l'ha condotta e il ransomware utilizzato.
Tra i nomi italiani registrati, per esempio, appaiono Luxottica il 18 ottobre 2020, i comuni di Brescia, Rho e la città di Caselle Torinese il 14 aprile 2021, il Comune di Villafranca d'Asti il 25 aprile 2021 ma anche piccole imprese come le Officine Piccini S.p.A il 4 maggio 2021. L'ultimo, importante esempio nostrano è il caso dei sistemi informatici della Regione Lazio, attaccati da un ransomware cryptolocker il 2 agosto 2021.

Come proteggersi dai ransomware

Come abbiamo intuito nell'analisi iniziale della natura dei ransomware, il vero problema si presenta quando il nostro dispositivo viene infettato, rendendo difficile il recupero dei dati.

La soluzione migliore e più efficace è dunque la prevenzione: è necessario dotarsi di un antivirus che protegga il nostro sistema operativo, effettuare il backup dei dati seguendo la regola 3-2-1 con tre copie di ogni dato, delle quali due on-site su hard disk esterni, NAS o Cloud personali, e una off-site, dunque lontano da dove si trova il PC, su servizi cloud remoti e dispositivi collocati altrove, disconnessi dalla rete.
La prevenzione prevede, inoltre, alcuni accorgimenti estremamente importanti:

• Non aprire mai gli allegati senza avere prima controllato l'affidabilità e autenticità della mail del mittente

• Prestare sempre molta attenzione alla posta elettronica proveniente anche da indirizzi noti, in quanto potrebbero essere stati hackerati

• Disabilitare l'attivazione automatica di chiavette USB, CD e supporti esterni

• Controllare sempre l'estensione dei file scaricati, con particolare attenzione ai formati .exe, .zip, .js, .jar oppure a estensioni sconosciute

• Evitare di scaricare file e programmi illegalmente o anche software gratuiti da siti poco attendibili

• Aggiornare sempre il sistema operativo all'ultima versione disponibile delle patch di sicurezza, assieme a browser e altri programmi che si usano abitualmente, tra cui anche i plugin utilizzati come Java

• Mai cliccare su pubblicità o finestre pop-up sospette su qualsiasi sito, in quanto un semplice input può causare la diffusione di malware e ransomware nel dispositivo.

Un consiglio dato da moltissimi esperti, infine, riguarda la formazione personale in merito ai rischi di Internet e dell'utilizzo di PC e smartphone: la consapevolezza da parte degli utenti è più importante persino degli antivirus e costituisce la prima protezione fondamentale da ogni rischio in ambito cybersicurezza.

Cosa fare se siamo vittime di un ransomware

Se invece il ransomware è già all'interno del dispositivo, a seconda della propria attenzione e prevenzione possono esserci diverse opzioni:

• Se si è già provveduto a effettuare un backup dei dati personali seguendo la regola 3-2-1, è possibile semplicemente ripristinare i file non infetti. Si tratta della soluzione migliore, più efficace e sicura, ma richiede prima di tutto la formattazione completa del PC prima di effettuare il ripristino del backup

• In caso di mancanza di backup, il secondo rimedio per ordine di importanza è la richiesta di strumenti per recuperare i dati crittografati. Raramente si tratta di una soluzione efficace per i ransomware più elaborati e ancora attivi ma, per quelli più datati come CryptoLocker, WannaCry e Petya, è possibile trovare qualche decryptor ancora efficace.
Per verificare la disponibilità dello strumento necessario, fortunatamente esiste il sito No More Ransom! creato nel 2016 dall'European Cybercrime Centre, dalla National High Tech Crime Unit olandese, da Kaspersky Lab e McAfee per diffondere gratuitamente i decryptor

• Una delle peggiori soluzioni, invece, consiste nella perdita dei dati: anziché formattare gli hard disk interni del PC, in questo caso si consiglia la rimozione del disco infetto e l'acquisto di nuovi dischi. Così facendo potrete eventualmente recuperare i dati nel momento in cui verrà pubblicato un decryptor

• L'ultima alternativa prevede il pagamento del riscatto, sconsigliato da tutti gli esperti di cybersicurezza in quanto si alimenta la criminalità e non è in alcun modo assicurato il recupero dei dati criptati.

Questo è tutto ciò che c'è da sapere riguardo i ransomware, per ora. La loro continua evoluzione e diffusione in tutto il mondo nel corso degli ultimi mesi rende difficile prevedere il futuro di questo tipo di attacchi.

Data la loro pericolosità, sempre più aziende e utenti si stanno informando sulla loro natura, poiché la prevenzione è la soluzione migliore. Un po' come per il COVID-19, in questo caso il "vaccino" è la formazione personale e la conoscenza dei rischi, ovvero la maturazione di una consapevolezza necessaria per navigare in rete: un mare complicato in cui gli squali sono sempre pronti a cogliere di sorpresa la preda.