Blog/L'ABC della sicurezza online/

Cos'è il ransomware?

Chad Hammond
ransomware

Immagina di ricevere un'e-mail da un amico che ti invita a una festa. Clicchi sull'allegato per saperne di più e improvvisamente lo schermo diventa vuoto; appare solo il messaggio "Il tuo dispositivo è stato bloccato. Potrai accedere ai tuoi file solo pagando XXX $". In sostanza, non è stato il tuo amico a mandare l'e-mail: sei l'ennesima vittima di uno dei tanti attacchi ransomware, che lo scorso anno sono costati a persone e aziende oltre 8 miliardi di dollari solo negli Stati Uniti. Leggi questo post per saperne di più.

Contenuti:

Cos'è un attacco ransomware?

È un tipo di attacco che utilizza dei malware per crittografare i tuoi file, cartelle, dischi rigidi o l'intero dispositivo. Una volta crittografati, i tuoi dati possono essere decriptati solo dall'hacker che detiene la chiave di crittografia.

Ti verrà quindi chiesto in cambio un riscatto, che può variare da poche centinaia di euro a qualche Bitcoin. Di solito l'hacker ti invierà le istruzioni per effettuare il pagamento, promettendo di restituirti l'accesso ai dati quando riceverà il denaro.

Tipi di ransomware

Potresti imbatterti in diverse tipologie di ransomware:

  • Crypto malware. È il tipo più comune di ransomware. Si tratta di un malware che crittografa i tuoi file, cartelle o dischi rigidi e chiede un riscatto per decriptarli.

  • Locker. Questo tipo di malware blocca completamente il dispositivo, impedendoti di accedere a file o cartelle. Prende principalmente di mira i dispositivi Android.

  • Scareware. È un finto ransomware, che potrebbe apparire come messaggio popup o bloccare il computer e chiederti un riscatto. Tuttavia, dopo aver pagato, potresti scoprire che i tuoi dati non sono mai stati crittografati.

  • Doxware o leakware. Funziona in modo simile a un crypto malware. Tuttavia, con questo tipo di attacco, gli hacker non solo crittografano i tuoi dati, ma minacciano anche di divulgarli se non paghi.

  • Ransomware as a service (RaaS). Questo tipo di malware è diffuso in modo anonimo da un hacker che ne gestisce la distribuzione, incassa i pagamenti e trattiene una parte del riscatto come ricompensa.

  • Ransomware basato su dispositivi. Alcuni ransomware possono prendere di mira specifici sistemi operativi o dispositivi. Ad esempio, in passato è stato sviluppato un apposito ransomware per i dispositivi Mac; anche i dispositivi mobili hanno assistito a un aumento di questo tipo di attacchi.

Come fa un ransomware a infiltrarsi nel tuo computer?

Il modo più comune attraverso il quale può infettare un dispositivo è rappresentato dal phishing, come ad esempio le e-mail di phishing. Questi messaggi di posta elettronica sembrano provenire da una fonte legittima, come la tua banca, un collega o un amico di cui ti fidi, ma di solito contengono un link o un file nel quale si nasconde un software dannoso. Quando clicchi sul link o scarichi il file, il malware si impossessa del tuo dispositivo.

Oltre al phishing, alcuni hacker potrebbero sfruttare attacchi di ingegneria sociale per indurti con l'inganno a concedere loro l'accesso remoto. Alcuni attacchi ransomware potrebbero essere camuffati da avvisi da parte di forze dell'ordine: ad esempio, potrebbero accusarti di guardare contenuti illegali o di possedere un software pirata, motivo per cui devi pagare una certa somma di denaro. Tali insinuazioni potrebbero trattenerti dal riferire tutto alle autorità.

Altri ransomware basati sulla crittografia potrebbero essere ancora più aggressivi, come ad esempio NotPetya, che infetta i dispositivi degli utenti senza neanche bisogno di ingannarli.

Con quali modalità gli hacker scelgono le loro vittime?

Sia i privati che le imprese possono cadere vittime di un attacco ransomware. A volte è solo una questione di opportunità, ma nella maggior parte dei casi gli hacker scelgono attentamente i loro obiettivi, che possono essere:

  • Organizzazioni con standard di sicurezza scarsi e database di grandi dimensioni. Ad esempio, università o piccole imprese con team IT ridotti, che però detengono molte informazioni sensibili.

  • Vittime che hanno un disperato bisogno di accedere ai loro file. Ad esempio, governi o strutture mediche. Tali organizzazioni non possono permettersi di perdere l'accesso ai loro dati neanche per poche ore, pertanto sono più inclini a pagare il riscatto in fretta.

  • Grandi multinazionali. Per questo tipo di società, perdere l'accesso ai dati per un tempo prolungato potrebbe comportare perdite più significative rispetto al pagamento del riscatto. Inoltre, sono più inclini a mantenere un certo riserbo su tali incidenti e a risolverli il più rapidamente possibile.

  • Imprese con sede nei Paesi occidentali. È molto più probabile che gli hacker colpiscano le società di Paesi sviluppati, in quanto potrebbero essere più propense a pagare somme maggiori. A tal proposito, alcuni ransomware possono essere configurati per valutare la situazione economica di un Paese e diminuire le richieste a seconda dei risultati ottenuti.

Si può rimuovere un ransomware?

È possibile rimuovere il malware dal dispositivo senza pagare alcun riscatto. Tuttavia, in questo modo, non si recupereranno i dati crittografati: l'unico modo per decriptarli è entrare in possesso della chiave di decodifica.

Cosa devo fare in caso di attacco ransomware: pagare?

Pagare o meno il riscatto è una decisione che spetta solo a te e dipende molto dalla situazione in cui ti trovi.

La maggior parte degli esperti di sicurezza ti consiglierà di non pagare: così facendo, infatti, incoraggerai gli hacker a continuare a usare i ransomware di crittografia. Inoltre non hai alcuna certezza che l'hacker detenga effettivamente i tuoi dati, che non si tratti di uno scareware, e nemmeno che il criminale decrittografi i dati dopo il pagamento del riscatto. Potrebbe anche decidere di ricattarti, indipendentemente dal fatto che tu abbia pagato o meno.

Tuttavia, in alcune situazioni, i tuoi dati saranno più preziosi del riscatto richiesto: potresti avere bisogno di accedervi immediatamente, quindi non puoi permetterti che rimangano crittografati a lungo. Il più delle volte, gli hacker stabiliscono il prezzo in modo che sia inferiore al danno o al costo del recupero dei file.

Qual è la migliore protezione contro i ransomware

  • Impara a riconoscere il phishing. Fai attenzione agli allegati e ai link sospetti nelle e-mail. Clicca sui link o scarica i file solo se li stavi aspettando, o sai che provengono da una fonte legittima. Se hai un'azienda o gestisci un team, istruisci il personale su questo argomento.

  • Installa un antivirus ed esegui scansioni periodiche. Naturalmente gli attacchi ransomware stanno diventando via via più sofisticati, e non sempre questa opzione sarà utile; tuttavia, in alcuni casi, potrebbe esserlo.

  • Usa un software di whitelist che impedisce l'installazione di programmi non autorizzati sul dispositivo.

  • Aggiorna regolarmente il sistema operativo. Non ignorare le notifiche: gli aggiornamenti correggeranno bug e vulnerabilità che altrimenti i ransomware potrebbero sfruttare.

  • Non concedere mai a nessuno l'accesso da remoto al tuo dispositivo, a meno che tu non abbia la certezza di conoscere la persona in questione e le motivazioni per cui ha bisogno di accedere.

  • Esegui il backup dei tuoi file. I backup non ti proteggeranno se l'hacker decide di diffondere i tuoi dati. Tuttavia, possono darti un vantaggio nelle trattative e ridurre al minimo i danni negli attacchi crittografici più comuni.

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.