Ransomware: dalla teoria alla pratica per riconoscere la truffa informatica

Marzo 12, 2021

In un recente articolo del blog abbiamo presentato il phishing: una truffa informatica capace di ingannare le vittime inducendole a condividere informazioni sensibili, tra cui password e numeri di carte di credito.

In questo articolo analizzeremo il ransomware: un malware informatico in grado di rendere inaccessibili i dati dei computer infettati. Un vero e proprio rapimento come dice il termine stesso. Si tratta di una tecnica di attacco cyber molto diffusa, specie all’epoca della digital transformation.

A seguito dell’installazione di un malware, l’hacker è solito chiedere il pagamento di un riscatto prima di procedere con l’eventuale ripristino dei dati.

Per capire la gravità di questa truffa vi elenchiamo statistiche a riguardo:

  • Si stima che il 5% delle PMI a livello mondiale abbia subito attacchi ransomware.
  • Il ransomware continuerà ad aumentare e mietere vittime. Oltre l’80% degli esperti in materia dichiara che il ransomware è destinato ad aumentare nei prossimi 12 mesi e il 19% di questi pensano che aumenterà in modo significativo.
  • Aumenta il numero di denunce e diminuiscono però le aziende che saldano il riscatto. Il tasso di chi è stato disponibile a pagare almeno una volta il ricatto è calato dal 37% al 24%. E di questi il 9% non è comunque riuscito a recuperare i dati.

 

Scenario tipico di un ransomware

Lo scenario tipico di un ransomware informatico propone un cyber criminale che invia una mail ad un elevato numero di contatti. La mail è apparentemente ufficiale, riporta loghi conosciuti e richiede attività tipiche per un utente classico: una bolletta allegata, una fattura da verificare, un bonifico non andato a buon fine, un account da aggiornare, etc…

In realtà tramite l’allegato viene installato un dropper, un piccolo software che si occupa di scaricare un malware nella rete: il file è apparentemente innocuo, tanto che l’utente non si accorge immediatamente dell’infezione ma solo nel momento in cui incorre in un blocco dei dati e del sistema.

Il file, infatti, ha il compito di prendere possesso della rete, di criptare tutti i contenuti e di renderla non più accessibile al legittimo proprietario: un vero rapimento!

Quando gli hacker riescono a criptare i file, l’utente è completamente isolato, bloccato, non può più operare…. E in quel momento viene chiesto il famoso riscatto. Gli algoritmi di cifratura sono molto potenti ed è assai remota la possibilità di ottenere le chiavi di accesso. E se un bravo IT può farlo, rischia di impiegarci comunque tanto tempo, tempo prezioso per le Aziende e i lavoratori.

Il ransomware agisce quando trova la migliore condizione per muoversi, avendo come primo obiettivo la distruzione del backup. Ecco perché è importante effettuare un backup interno ed esterno, in locale e in cloud, cifrando i dati.

 

Come un ransomware arriva nel nostro device

I ransomware sono virus creati da scammer, ossia truffatori, con conoscenze elevate nel campo della programmazione informatica.

Possono infiltrarsi in un PC mediante:

  1. Un allegato infetto;
  2. Il browser, in caso di apertura di un sito web o di un link infettato;
  3. La rete, in ingresso da altri device infetti.

L’infezione da parte di un ransomware appare evidente, tutte le icone diventano bianche dato che il sistema non è più in grado di riconoscere i contenuti.

È possibile prevenire l’infezione da ransomware:

  • Accertandosi che tutti i software presenti sul proprio PC siano aggiornati, inclusi il sistema operativo, il browser e qualsiasi plug-in per le barre degli strumenti. Gli acquisti e i download di applicazioni, inoltre, non devono essere compiuti al di fuori dai market ufficiali. Apple viene considerato più sicuro rispetto ad Android proprio per questo, perché non rende possibile effettuare acquisti che siano “nocivi” per il dispositivo.
  • Assicurandosi che la propria protezione antivirus e firewall sia aggiornata.
  • Formando i lavoratori affinché siano coscienti del rischio e sappiano riconoscerlo
  • Evitando di nascondere il fatto: appena ci accorgiamo che qualcosa non va, stacchiamoci subito dalla rete e avvisiamo un referente IT.

 

Malware e Home Banking

Nel 2020, con l’estensione delle attività online, si è diffuso e consolidato un nuovo malware, capace di inserirsi negli smartphone rubando le credenziali bancarie e consentendo a malintenzionati di impossessarsi dei soldi depositati.

Si tratta di un virus che “viaggia” su molte app apparentemente innocue, come ad esempio Adobe Flash o Microsoft Word, quando sono distribuite su siti alternativi ai canali ufficiali.

A livello pratico, il tutto si realizza nei seguenti passaggi:

  1. Il malware si installa su un browser di navigazione;
  2. Quando un utente cerca di andare sul sito web del suo istituto bancario il malware lo reindirizza sul sito clone;
  3. Sul sito clone viene chiesto all’utente di reinserire le credenziali di accesso che vengono carpite dall’hacker;
  4. Quando l’utente cerca di disporre un bonifico il sistema clonato gli chiede la key temporanea del token;
  5. L’hacker acquisisce la password temporanea e dirotta il bonifico.

Milioni di correntisti stanno ricevendo lettere di comunicazione dalle banche per un adeguamento dei sistemi di autenticazione.

Ricordiamo, infatti che i moventi principali che spingono gli utenti a compiere truffe informatiche sono:

  • L’ottenimento di bitcoin, quindi un guadagno;
  • La scoperta di credenziali di accesso;
  • La destabilizzazione politica ed economica anche di un intero Stato. Celebri i casi di New Orleans e della Louisiana del 2019.

La guerra cibernetica ha infinite possibilità. Essere sempre diffidenti nel mondo digitale, specie nei momenti di stanchezza è fondamentale.

 

I punti di debolezza preferiti dai cyber criminali

A febbraio 2021, grazie a un gruppo composto da ricercatori di sicurezza informatica di livello mondiale, sono stati individuati i punti di debolezza preferiti dai Cyber criminali per l’attacco di sistemi aziendali.

Nello specifico, è emerso che:

  • I truffatori sono alla ricerca di software senza patch, per avere a disposizione sin da subito un modo semplice e veloce per introdursi nelle reti delle aziende. La gestione degli aggiornamenti può essere complicata, soprattutto per le grandi aziende.
  • La maggior parte dei criminali informatici si affida quasi esclusivamente a strumenti open-source che sono facilmente disponibili su Internet: il modo più rapido ed efficace per portare un attacco senza dover utilizzare strumenti più sofisticati.
  • I criminali informatici partono dal semplice, per arrivare al complesso, motivo per cui le scuole, le realtà che operano nell’assistenza sanitaria e quelle legate al COVID-19 rimangono obiettivi importanti.

 

Nuovi bersagli del Cybercrime

Settori che fino a pochi anni fa sembravano indenni dai pericoli del Cybercrime sono diventati oggi bersaglio di attacchi e richieste di riscatto. L’industria manifatturiera, a seguito dell’industria 4.0, si è avvicinata alla tecnologia e ai servizi della rete e proprio per questo risulta maggiormente esposta al rischio. I software programmati per lavorare in locale presentano, infatti, debolezze e standardizzazioni facilmente attaccabili.

Bisogna entrare nell’ottica che la Cybersecurity è ormai parte integrante della quotidianità e che essere coscienti dei rischi che comporta il mondo del cloud, della condivisione e delle connettività è indispensabile. Sapere che esiste il malware è il primo passo per non diventarne vittima.

Le aziende hanno il compito di supportare i loro team di sicurezza, con una continua formazione sul campo, grazie a costanti aggiornamenti e seguendo da vicino le tendenze nel panorama delle minacce informatiche.

 

 

Scopri che cosa possono fare i nostri esperti per te e contattaci per maggiori informazioni!

AVANTAGEHeadquarters
Organically grow the holistic world view of disruptive innovation via empowerment.
OUR LOCATIONSWhere to find us?
GET IN TOUCHAvantage Social links
Taking seamless key performance indicators offline to maximise the long tail.

SIELCO Srl – Cap. Soc. 170.040,00 € i.v. | Iscr. reg. imp. VA 00614130128 | C.FISC./P. IVA: 00614130128 | Iscrizione ROC n. 25147 | Codice Destinatario M5UXCR1 – Designed by Blulogo