Immagina di ricevere un'e-mail da un amico che ti invita a una festa. Clicchi sull'allegato per saperne di più e improvvisamente lo schermo si spegne. Visualizzi solo un messaggio: "Il tuo dispositivo è stato bloccato. Paga $XXX per accedere ai tuoi file". In breve, non è stato il tuo amico a mandare l'e-mail. Si è trattato di uno dei tanti attacchi ransomware, che lo scorso anno è costato a persone e aziende oltre 8 miliardi di dollari solo negli Stati Uniti. Leggi questo post per saperne di più.
Contenuti
Cos'è un attacco ransomware?
È un tipo di attacco che utilizza un malware per crittografare i tuoi file, cartelle, dischi rigidi o dispositivi. Una volta crittografati, i tuoi dati possono essere decriptati solo dall'hacker che detiene la chiave di crittografia,
il quale ti chiederà in cambio un riscatto che può variare da poche centinaia di euro a qualche bitcoin. In genere, ti invierà le istruzioni per il pagamento e ti prometterà di restituirti l'accesso ai tuoi dati quando riceverà il denaro.
Tipi di ransomware
Esistono diverse forme di ransomware:
Crypto-malware. È il tipo più comune di ransomware. Si tratta di un malware che crittografa i tuoi file, cartelle o dischi rigidi e chiede un riscatto per decriptarli.
Locker. Questo tipo di malware blocca completamente il dispositivo per impedirti di accedere a file o cartelle. Prende principalmente di mira i dispositivi Android.
Scareware. È un finto ransomware, che potrebbe apparire come messaggio popup o bloccare il computer e chiederti un riscatto. Tuttavia, dopo aver pagato, potresti scoprire che i tuoi dati non sono mai stati crittografati.
Doxware o leakware. Funziona in modo simile al crypto-malware. Tuttavia, con questo tipo di attacco, gli hacker non solo crittografano i tuoi dati, ma minacciano anche di divulgarli se non paghi.
Ransomware as a service (RaaS). Questo tipo di malware è diffuso in modo anonimo da un hacker che ne gestisce la distribuzione, incassa i pagamenti e acquisisce una parte del riscatto come ricompensa.
Ransomware basato su dispositivi. Alcuni ransomware possono focalizzarsi su sistemi operativi o dispositivi specifici. È stato infatti sviluppato un ransomware apposta per i dispositivi Mac. Anche i dispositivi mobili hanno assistito a un aumento di questo tipo di attacchi.
Come fa il ransomware a infiltrarsi sul tuo computer?
Il modo più comune per accedere al tuo dispositivo è tramite il phishing, ad esempio le email di phishing. Queste e-mail sembrano provenire da una fonte legittima, come la banca, il tuo capo o un amico di cui ti fidi, ma di solito contengono un link o un file che nasconde un software dannoso. Quando clicchi sul link o scarichi il file, il malware si impossessa del tuo dispositivo.
Oltre al phishing, alcuni hacker potrebbero utilizzare attacchi di ingegneria sociale per spingerti a concedere loro l'accesso remoto. Alcuni attacchi ransomware potrebbero essere camuffati come avvisi delle forze dell'ordine. Ad esempio, potrebbero affermare che guardi contenuti illegali o che possiedi un software pirata, motivo per cui devi pagare una certa somma di denaro. Tali insinuazioni potrebbero trattenerti dal riferire tutto alle autorità.
Altri ransomware basati sulla crittografia potrebbero essere ancora più aggressivi, ad esempio NotPetya, che infetta i dispositivi degli utenti senza neanche bisogno di ingannarli.
Con quali modalità gli hacker scelgono le loro vittime?
Sia i privati che le organizzazioni possono diventare vittime di un attacco ransomware. A volte è solo una questione di opportunità ma, nella maggior parte dei casi, gli hacker scelgono i loro obiettivi, tra cui:
Organizzazioni con standard di sicurezza scarsi e database di grandi dimensioni. Ad esempio, università o piccole imprese con team IT ridotti che detengono molte informazioni sensibili.
Vittime che hanno un disperato bisogno di accedere ai loro file. Ad esempio, governi o strutture mediche. Tali organizzazioni non possono permettersi di perdere l'accesso ai loro dati neanche per poche ore, pertanto sono più inclini a pagare il riscatto in fretta.
Grandi multinazionali. Per questo tipo di società, perdere l'accesso ai dati per un tempo prolungato potrebbe comportare perdite più significative rispetto al pagamento del riscatto. Inoltre, sono più inclini a mantenere un certo riserbo su tali incidenti e a risolverli il più rapidamente possibile.
Imprese con sede nei paesi occidentali. Gli hacker hanno anche maggiori probabilità di colpire le società con sede nei paesi occidentali in quanto potrebbero essere più propensi a pagare somme maggiori. A tal proposito, alcuni ransomware possono essere configurati per valutare la situazione economica di un paese e diminuire le richieste a seconda dei risultati ottenuti.
Si può rimuovere il ransomware?
È possibile rimuovere il malware dal dispositivo senza pagare alcun riscatto. Tuttavia, in questo modo, non si recupereranno i dati crittografati. L'unico modo per decriptarli è entrare in possesso della chiave di decrittografia.
Cosa devo fare in caso di ransomware: pagare?
Pagare o meno il riscatto è una decisione che riguarda solo te e dipende molto dalla situazione in cui ti trovi.
La maggior parte degli esperti di sicurezza ti consiglierà di non pagare in quanto ciò potrebbe incoraggiare gli hacker a continuare a utilizzare il crypto-ransomware. Inoltre, potresti non sapere con certezza se l'hacker è in possesso dei tuoi dati o se si tratta di scareware, e non hai alcuna garanzia che li decripterà una volta ottenuto il denaro. Potrebbe anche decidere di ricattarti, indipendentemente dal fatto che tu abbia pagato o meno.
Tuttavia, in alcune situazioni, i tuoi dati saranno più preziosi del riscatto richiesto. Potresti avere bisogno di accedervi immediatamente, quindi non puoi permetterti di averli crittografati per molto tempo. Il più delle volte, gli hacker stabiliscono un prezzo inferiore rispetto al danno o al costo del recupero dei file.
Qual è la migliore protezione contro il ransomware
Impara a riconoscere il phishing. Fai attenzione agli allegati e ai link sospetti. Clicca sui link o scarica file solo se li stavi aspettando o sai che provengono da una fonte legittima. Se hai un'attività o gestisci un team, istruiscili su questo argomento.
Installa un antivirus ed esegui analisi regolari. Naturalmente, gli attacchi ransomware stanno diventando sempre più sofisticati, pertanto questa soluzione non sempre potrà essere d'aiuto.
Usa un software whitelist per impedire l'installazione di un software non autorizzato sul tuo dispositivo.
Aggiorna regolarmente il sistema operativo. Non ignorare le notifiche: correggeranno bug e vulnerabilità che il ransomware potrebbe altrimenti sfruttare.
Non concedere mai a nessuno l'accesso da remoto al tuo dispositivo a meno che tu non abbia l'assoluta certezza dell'identità dei richiedenti e delle motivazioni della richiesta.
Esegui il backup dei tuoi file. I backup non ti proteggeranno se l'hacker decide di diffondere i tuoi dati. Tuttavia, possono darti un vantaggio nelle negoziazioni e ridurre al minimo i danni negli attacchi crittografici più comuni.
Per ulteriori suggerimenti sulla cybersecurity, iscriviti alla nostra newsletter mensile.