Ransomware: Cos'è e come proteggersi

Ransomware is a type of malicious software or malware that virtually holds your data hostage, locking up your computer and threatening to keep it locked until you pay the attacker’s ransom. The International Business Machines Corporation (IBM) reports that in 2021, ransomware attacks accounted for 21% of all cyberattacks and resulted in a staggering USD 20 billion loss.

Che cos'è il ransomware?

In the past, ransomware attacks were aimed solely at locking a person’s data or device until they paid money to unlock it. 

Nowadays, however, cybercriminals are taking matters to a whole new level. The 2022 X-Force Threat Intelligence Index revealed that virtually all ransomware attacks have now adopted the ‘double extortion’ strategy, which not only locks data but also expects a ransom payment to prevent theft. In addition, these malicious cybercriminals are introducing an additional threat in their repertoire – triple extortion campaigns involving Distributed Denial of Service (DDoS) assaults – and they are becoming increasingly common.

Ransomware e malware

Per comprendere meglio il ransomware, dobbiamo prima esaminare cos'è il malware (software dannoso) e le sue implicazioni.

Malware – a term that prompts more questions than answers. Is the malicious software, or is it simply being used for nefarious purposes? As with many aspects of cybersecurity, there’s no single answer to this question; instead, it’s an intricate and complex area in which we must consider multiple factors. The software can be malevolent in its own right; however, the human who operates said software is ultimately responsible for determining whether and how malicious it will be.

Cyber threats are broad, from destructive viruses to crafty Trojans. But there’s a unique strain even more dangerous than these – ransomware. Uncover the mystery behind this malicious software, and learn how to protect yourself from it!

Come funziona il ransomware?

Ransomware is designed to lock access and all content within the target computer or network until its attacker receives payment. Even more sophisticated attacks may initiate disk-level encryption with such intensity that, without paying the ransom, it would be impossible to decrypt any files. From 2013 to 2020, the FBI’s Internet Crime Complaint Center noticed a dramatic surge of 243% in reported ransomware occurrences.

A differenza di altre forme di crimine informatico, il ransomware richiede che le sue vittime collaborino con il criminale per avere successo.

Come dichiarato sul loro sito web, l'FBI sconsiglia di pagare un riscatto se un individuo o un'azienda viene attaccata con ransomware. Pagando il riscatto, non vi è alcuna garanzia che un'organizzazione o una vittima riacquisti l'accesso ai propri dati, rendendola una soluzione rischiosa e inaffidabile. Purtroppo, in alcuni casi in cui le vittime hanno pagato il denaro richiesto dai criminali, non ricevono mai una chiave di decrittazione legittima per sbloccare i propri dati. Anche se ne ottengono una, è possibile che non tutti i file siano recuperabili. Pagando il riscatto, non solo si forniscono incentivi ai criminali per continuare a eseguire attacchi ransomware su organizzazioni e individui, ma si rende anche più attraente per altri potenziali criminali informatici.

Varianti popolari di ransomware

With numerous ransomware varieties existing, it is no wonder that some are more successful than others. In fact, there are a select few who have risen above the rest in terms of effectiveness and popularity – making them stand out from their counterparts.

1. Ryuk

Ryuk is a type of ransomware that targets a specific type of user. It is usually delivered through an email or someone’s login information to get into a system. Once the system is infected, Ryuk encrypts some files and then asks for money to give them back.

Ryuk è noto per essere una delle varietà di ransomware più costose, con richieste di riscatto medie che superano 1 milione di dollari. Per questo motivo, i criminali informatici legati a Ryuk prendono regolarmente di mira aziende con accesso a risorse finanziarie sufficienti per soddisfare questi pagamenti esorbitanti.

2. REvil (Sodinokibi)

REvil (noto anche come Sodinokibi) è un ceppo di ransomware dannoso che colpisce prevalentemente le grandi aziende.

Infamous REvil ransomware, operated by the Russian-speaking group since 2019, is one of the most notorious cyber threats on the internet today. For example, they have been held responsible for significant breaches such as ‘Kaseya’ and ‘JBS’, making them a serious threat to businesses across numerous industries.

Negli ultimi anni, REvil si è scontrato con Ryuk per il titolo di ransomware più costoso. Sono emerse segnalazioni che questo software dannoso ha richiesto pagamenti di riscatto fino a 800.000 dollari.

Initially, REvil was just another traditional ransomware variant, yet it has since progressed. Presently, they use the Double Extortion technique – not only encrypting files but also stealing data from businesses. This means that apart from requesting a ransom to decrypt data, attackers will threaten to publicly expose the stolen information if an additional payment is not rendered.

3. Maze

The Maze ransomware has gained notoriety for its innovative approach to extortion. It not only encrypts files but also steals sensitive data from the victim’s computer and threatens to make it public or sell it if a ransom is not paid. This menacing strategy puts targets in an even more difficult situation – either pay up or face much higher costs due to an expensive data breach.

Although the Maze ransomware group has disbanded, this does not signify that ransomware threats are now obsolete. Several former affiliates of Maze have shifted to using Egregor ransomware instead, and it is widely speculated that these three variants – Sekhmet being the third – share an identical originator.

4. DearCry

A marzo 2021, Microsoft ha rilasciato aggiornamenti critici per quattro vulnerabilità nei loro server Exchange, ma prima che tutti potessero applicare le correzioni per proteggersi da potenziali danni, DearCry è intervenuto con una nuova variante di ransomware progettata specificamente per sfruttare queste debolezze.

Il ransomware DearCry può bloccare molti file, lasciando agli utenti una nota di riscatto sui loro computer che li istruisce a contattare i suoi operatori per sapere come ripristinare l'accesso.

5. Lapsus$

The South American ransomware gang, Lapsus$, has been linked to cyberattacks on noteworthy targets worldwide. With intimidation and the potential for sensitive data exposure, the cyber gang has established a name for itself by extorting its victims unless their demands are met. They have bragged about penetrating Nvidia, Samsung, and Ubisoft, amongst other global organizations. This group utilises pilfered source code to make malicious files appear as legitimate software.

6. Lockbit

LockBit è un software creato per impedire alle persone di accedere ai dati. Esiste dal settembre 2019. Recentemente, è diventato un Ransomware-as-a-Service (RaaS). Ciò significa che le persone possono pagare per usarlo per impedire ad altri di accedere ai loro dati.

Conseguenze costose del ransomware

People dealing with ransomware are often reticent to admit the amount of ransom they have paid. As outlined in the report Definitive Guide to Ransomware 2022, ransom demands have increased drastically; what used to comprise only single-digit payments has now expanded into seven and eight-digit figures. In the most extreme instances, companies may need to pay a hefty ransom of USD 40-80 million for their data to be returned. Yet these payments aren’t the only cost associated with ransomware attacks; other direct and indirect costs can compound an organization’s financial burden. As reported in IBM’s Cost of Data Breach 2021 study, the standard cost of ransomware attacks without including ransom payments amounted to a staggering USD 4.62 million on average.

Il caso degli ospedali DCH

Il DCH è un centro medico regionale a Tuscaloosa, Alabama, operativo dal 1923.

On October 1st, 2019, DCH Hospitals got attacked by ransomware. Everything electronic was down. They couldn’t take any new patients and had to use all paper for everything.

Un rappresentante del DCH ha rivelato che il sistema è stato compromesso quando qualcuno ha aperto e interagito con un allegato email corrotto. Fortunatamente, nessuna informazione sui pazienti è stata compromessa.

Il sistema ospedaliero DCH vanta tre grandi ospedali — DCH Regional Medical Center, Northport Medical Center e Fayette Medical Center — che servono una grande parte dell'Alabama occidentale. Queste tre strutture mediche offrono oltre 850 posti letto e accolgono più di 32.000 pazienti all'anno.

Sabato 5 ottobre, per ripristinare rapidamente l'accesso ai loro sistemi, gli ospedali DCH hanno deciso di pagare il riscatto e ottenere una chiave di decrittazione dagli attaccanti. Tuttavia, hanno deciso di non divulgare quanto hanno pagato. Poiché i sistemi sanitari sono critici e sensibili, diventano facili bersagli per gli attacchi ransomware. Spesso, queste organizzazioni trovano più vantaggioso pagare il riscatto piuttosto che affrontare potenziali perdite di dati o interruzioni. Le informazioni riservate memorizzate nei loro sistemi sono troppo preziose per essere perse. Il ransomware dannoso utilizzato per violare la sicurezza dell'ospedale DCH è stato inconsapevolmente facilitato da un dipendente che ha aperto un'email di phishing contenente un allegato contaminato. Ciò ha permesso al malware di ottenere l'accesso e successivamente infettare la loro rete informatica.

5 passaggi per prevenire di diventare una vittima del ransomware

1. Formare i propri dipendenti sulle minacce informatiche.

Per proteggerci dagli attacchi informatici e per essere in grado di identificarne l'occorrenza sul posto di lavoro, dobbiamo riconoscere la nostra responsabilità individuale per la sicurezza informatica. Ogni dipendente dovrebbe ricevere una formazione specializzata sull'identificazione e la prevenzione delle minacce informatiche. Ma spetta infine a ciascun individuo prendere le informazioni ricevute per valutare accuratamente i potenziali rischi nella propria vita quotidiana. L'incidente agli ospedali DCH è un esempio importante di quanto possa essere prezioso possedere una comprensione personale della sicurezza informatica.

The company must inform the employee of the potential risks of opening email attachments from unknown senders, particularly in a work environment. When in doubt, it’s always best to consult someone with experience before opening any messages, links or attachments. Many businesses have an in-house IT department that will take any reports concerning a phishing attempt to confirm if it is legitimate to the employee. If the message comes from a reliable source like your bank account provider or acquaintances you know personally, contact them directly and confirm that they sent the message and its contents before clicking on any links provided. This way, you can protect yourself from potential cyber-attacks.

2. Eseguire il backup dei propri file.

If you’re ever targeted by ransomware or have some data lost in an attack and don’t want to pay the ransom, having a secure backup of your most valuable information is essential.

Per ridurre al minimo le conseguenze di un attacco dannoso, gli ospedali DCH avrebbero dovuto adottare misure preventive e eseguire il backup dei loro file essenziali prima dell'incidente. Un backup avrebbe permesso loro di rimanere aperti e continuare le operazioni senza interruzioni a causa del ransomware.

3. Mantenere aggiornato il proprio software.

I criminali informatici spesso sfruttano le debolezze esistenti per introdurre software dannoso in un dispositivo o sistema. Le vulnerabilità di sicurezza non corrette, o zero-day, possono essere pericolose poiché non sono ancora conosciute dall'industria della sicurezza digitale o identificate ma non affrontate. È stato osservato che alcuni gruppi di ransomware acquistano informazioni sulle vulnerabilità zero-day da criminali informatici, che utilizzano per le loro operazioni dannose. È anche noto che gli hacker possono utilizzare vulnerabilità di sicurezza corrette per accedere ai sistemi e lanciare attacchi. 

È essenziale applicare regolarmente le patch per proteggersi dagli attacchi ransomware che prendono di mira le vulnerabilità del software e del sistema operativo.

4. Installare e aggiornare gli strumenti di sicurezza informatica

It’s essential to upgrade cybersecurity tools – anti-malware and antivirus software, firewalls, secure web gateways, as well as enterprise solutions such as endpoint detection and response (EDR), extended detection and response (XDR), which can help security teams detect malicious activity in real-time.

5. Implementare politiche di controllo degli accessi

Le organizzazioni dovrebbero implementare l'autenticazione a più fattori, l'architettura zero-trust, la segmentazione della rete e le relative misure di sicurezza per proteggere i dati vulnerabili e fermare i crypto-worms dal transitare su altre macchine della rete.

Il ransomware prende di mira anche gli individui.

Generally, ransomware stories focus on the aftermath of corporate or healthcare system hacks; however, it is essential to recognize that individuals are not immune from these attacks. In fact, they occur more often than you may think. Individuals must be aware of ransomware’s genuine danger when using the internet, as it could risk their safety and security.

I criminali informatici utilizzano due metodi principali quando distribuiscono ransomware: crittografia e blocco dello schermo.

Ransomware di crittografia

I criminali informatici prendono principalmente di mira file specifici salvati localmente sui dispositivi tramite ransomware di crittografia. Per selezionare questi documenti, l'attaccante utilizza trucchi di phishing o altre forme di software dannoso per indagare sul proprio obiettivo. Una volta che i file sono crittografati, la vittima richiederà un riscatto per ricevere la chiave di decrittazione necessaria per accedere ai propri dati. Gli hacker utilizzano tipicamente questa strategia per accedere a informazioni riservate o sensibili che le aziende stanno cercando di proteggere con forza. Questo approccio è diventato popolare tra le parti dannose, rendendo le aziende e le organizzazioni un obiettivo comune.

Ransomware di blocco dello schermo

Conversely, lock screen ransomware encrypts specific files and renders a user’s device completely inoperable. Locking-screen ransomware will lock up your device and display a full-screen message that is unmovable and unminimizable. You’ll be asked to pay a ransom to unlock the system or retrieve lost data or files.

These programs often employ fear tactics to pressure you into making payments, such as a ticking clock that warns it will delete all your files if time runs out. Cyber attackers often attempt to intimidate individuals by fabricating stories about their devices being linked with illegal activities or inappropriate material and threatening to report them to the authorities if the victim doesn’t pay. To further coerce victims into paying the ransom, some ransomware developers leverage pornographic imagery and threaten that the victim cannot remove it without payment.

In definitiva

Implementare misure di sicurezza informatica efficaci, come aggiornare regolarmente il proprio software e gli strumenti di sicurezza, applicare politiche di controllo degli accessi e essere consapevoli delle varie tattiche utilizzate da questi programmi dannosi per proteggere la propria attività dagli attacchi ransomware. Inoltre, gli individui dovrebbero adottare misure proattive per proteggere i propri dispositivi dagli attacchi ransomware, inclusa la cautela quando si aprono email o si clicca su link da fonti sconosciute. Con consapevolezza e pratiche prudenti, possiamo tutti contribuire a ridurre la minaccia del ransomware nel nostro mondo digitale.