Cosa succede durante un attacco ransomware?
Il ransomware danneggia i dati critici
Il ransomware è devastante per un'azienda perché danneggia i dati critici. Durante un attacco, il ransomware esegue la scansione dei file importanti e li crittografa con un processo di crittografia avanzato non reversibile, paralizzando un'organizzazione più velocemente di altre applicazioni dannose.
Come ha origine una minaccia ransomware
La maggior parte degli attacchi ransomware inizia con un'email dannosa. L'email contiene spesso un collegamento a un sito web controllato da un malintenzionato da cui l'utente scarica il malware. Potrebbe anche contenere un allegato dannoso con codice che scarica il ransomware dopo che l'utente apre il file.
Gli aggressori di solito utilizzano documenti di Microsoft Office come allegati. Office dispone di un'interfaccia Visual Basic for Applications (VBA) che gli aggressori utilizzano per programmare gli script. Le versioni più recenti di Office disabilitano la funzionalità che esegue automaticamente gli script macro all'apertura di un file. Il malware richiede all'utente di eseguire gli script e molti utenti lo autorizzano. Questo è il motivo per cui le macro dannose sono ancora pericolose.
La macro di Office scarica il ransomware dal server di un utente malintenzionato e il malware viene eseguito sul dispositivo locale. Il ransomware esegue la scansione della rete e dei sistemi di archiviazione locale alla ricerca dei file critici e crittografa tutto ciò che trova. Il sistema di crittografia utilizzato è di solito l'Advanced Encryption Standard (AES) simmetrico a 128 o 256 bit. Questo rende il processo resistente agli attacchi tramite forza bruta. Alcuni ransomware utilizzano anche sistemi di crittografia a chiave pubblica/privata come Rivest-Shamir-Adleman (RSA).
Recupero dati e rimozione ransomware
Gli sviluppatori di ransomware integrano funzionalità che impediscono agli utenti di rimuovere l'applicazione senza prima pagare il riscatto. Alcuni hacker utilizzano le applicazioni di blocco dello schermo in modo che gli utenti non possano accedere al desktop di Windows. Poiché le librerie di crittografia utilizzate per crittografare i file sono sicure, la rimozione del malware lascia comunque i dati crittografati e inaccessibili.
L'FBI consiglia alle aziende colpite di non pagare il riscatto. Altri esperti affermano che il pagamento del riscatto ha portato alla decrittazione dei file. A volte gli aggressori non consegnano la chiave di decrittazione neanche dopo il pagamento del riscatto. L'attività presa di mira viene quindi lasciata senza i suoi file e subisce una perdita finanziaria. È possibile rimuovere il ransomware, ma è improbabile che si riesca a recuperare i file senza pagare il riscatto a meno che non si disponga di un backup.
La maggior parte dei fornitori di anti-malware dispone di patch o soluzioni scaricabili che rimuovono il ransomware. Dopo aver eliminato il malware, è possibile ripristinare i file da un backup. È anche possibile ripristinare il computer alle impostazioni di fabbrica. Con quest'ultima soluzione, il computer torna allo stesso stato di quando è stato acquistato per la prima volta. Sarà quindi necessario installare nuovamente ogni software di terze parti.
Sophos Group, una società di sicurezza britannica, ha identificato il flusso di un attacco Ryuk, noto anche come procedura d'attacco. Guarda il diagramma seguente.
Protezione dal ransomware
È possibile proteggere dispositivi e dati dal ransomware in diversi modi. Poiché l'infezione di solito inizia con un messaggio email dannoso, è possibile iniziare con sistemi di cybersecurity anti-malware che analizzano i messaggi in arrivo alla ricerca di collegamenti o allegati sospetti. Se rilevati, mettono in quarantena i messaggi, impedendo loro di raggiungere le caselle di posta degli utenti.
Anche il filtraggio dei contenuti sulla rete è efficace. Impedisce agli utenti di accedere a siti web controllati da aggressori. In combinazione con i filtri email, il filtro dei contenuti è un modo efficace per impedire al ransomware e alla maggior parte dei malware di accedere alla rete interna.
Il software anti-malware dovrebbe essere eseguito su tutti i dispositivi di rete, inclusi gli smartphone. Il sistema anti-malware impedisce al ransomware di crittografare i file e lo rimuove dal sistema prima che invii il payload. Se l'organizzazione ha adottato una policy Bring Your Own Device (BYOD), è importante eseguire un'applicazione antimalware approvata sui dispositivi degli utenti.
La formazione degli utenti è un modo proattivo per proteggersi dal ransomware. Poiché il ransomware spesso ha inizio con tentativi di phishing e ingegneria sociale, utenti formati per identificare gli attacchi sono un buon accompagnamento per altre misure anti-malware. I sistemi combinati, la formazione e gli anti-malware riducono notevolmente il rischio per la cybersecurity. Se i sistemi anti-malware falliscono, gli utenti addestrati a identificare un attacco non vengono indotti con l'inganno a eseguire applicazioni dannose.
Esempi di ransomware
Diversi tipi di ransomware colpiscono ancora le aziende, anche se la minaccia globale costituita dai malware è stata generalmente rimossa. Esistono per estorcere denaro a individui o aziende che non dispongono di una protezione efficace.
Una delle prime applicazioni ransomware conosciute che ha avuto un impatto globale è stata CryptoLocker. CryptoLocker ha preso di mira le macchine Windows e si è diffuso in modo significativo nel 2014. L'infezione di solito è iniziata attraverso un'email e un allegato dannoso. Il software ha quindi crittografato i file importanti con crittografia a chiave pubblica/privata asimmetrica (RSA).
Locky è un esempio di ransomware che ha utilizzato l'ingegneria sociale. Rilasciato nel 2016, Locky ha iniziato con un documento Word dannoso allegato a un'email. Quando gli utenti aprivano il file, il contenuto aveva un aspetto confuso, tranne che per un messaggio che attivava le macro. Nel momento in cui gli utenti attivavano le macro e aprivano di nuovo il file, Locky andava in esecuzione.
Bad Rabbit è un esempio di malware che gli utenti hanno scaricato volontariamente. Normalmente veniva diffuso fingendo di essere un aggiornamento di Adobe Flash. Dopo che il malware veniva eseguito, crittografava i file e riavviava il sistema. Bad Rabbit limitava l'avvio del computer visualizzando un messaggio che richiedeva il pagamento di un riscatto per decifrare i file.
Prevenire gli attacchi ransomware
Gli esempi sopra riportati sono solo alcune versioni di ransomware che ancora affliggono le organizzazioni. Gli sviluppatori di ransomware continuano a creare nuovi modi per tenere i file in ostaggio in vista di un riscatto. Comprendendo il funzionamento del ransomware, è possibile implementare le difese giuste. È possibile prevenire il ransomware con un'efficace soluzione anti-malware, la formazione degli utenti e filtri email che bloccano i messaggi dannosi.
Ricerche correlate
Articoli correlati