Anatomia e funzionamento di questo pericoloso virus per poterlo riconoscere e correre tempestivamente ai ripari.

Che cos’è e come funziona un ransomware?

Con questa parola viene indicata una classe di malware che rende inaccessibili i dati dei computer infettati e chiede il pagamento di un riscatto per ripristinarli. In inglese infatti il termine “ransom” significa proprio riscatto.

Tecnicamente sono Trojan horse crittografici (ovvero dei “cavalli di troia”, cioè malware che nascondono il loro funzionamento all’interno di un altro programma apparentemente utile e innocuo. L’utente, eseguendo o installando quest’ultimo programma, attiva inconsciamente anche il codice del trojan nascosto). Questi escamotage informatici hanno come unico scopo l’estorsione di denaro, tramite un “sequestro di file”, ovvero crittografando tutti i dati presenti sul computer dell’utente attaccato, rendendo di fatto il device inutilizzabile. Al posto del classico sfondo vedremo perciò comparire un avviso che sembra provenire dalla polizia o da un’altra organizzazione di sicurezza e propone un’offerta che cambio di una password è in grado di sbloccare tutti i contenuti, ma che intima di versare una somma di denaro. La tariffa viene generalmente richiesta in una valuta virtuale (criptovalute come il Bitcoin, quella più utilizzata), che di solito non è rintracciabile.

Come avviene un attacco ransomware?

La brutta notizia è ad un attacco di questo genere può essere soggetto chiunque, persino le organizzazioni governative che hanno un solido sistema di sicurezza, come il NHS (National Health Service del Regno Unito) che è stato colpito da un attacco ransomware il 12 maggio 2017.

Il ransomware attacca i sistemi informatici principalmente in due modi: il primo modo avviene, come già accennato prima, crittografando i file su un computer o una rete; il secondo attacco invece si concentra sul blocco del computer del singolo utente colpito dal malware. Alcune forme di questo software dannoso possono persino diffondersi come un worm (ovvero un verme, cioè è una particolare categoria di malware in grado di autoreplicarsi) e infettare altri utenti sulla rete, danneggiandone i file. Anche dopo aver pagato il riscatto, non vi è alcuna garanzia che i file dell’utente non siano stati danneggiati o che il problema scompaia. E il pagamento del riscatto può persino incoraggiare il cyber criminale a cercare di ottenere più soldi dall’obiettivo.

Quali sono i vettori di infezione più utilizzati?

Il più diffuso, perché purtroppo funziona molto bene, sono le email di phishing. A tutti noi sarà capitato di ricevere email da spedizionieri, o con false bollette allegate. Sono evidentemente email di phishing, ma le statistiche ci dicono che nel 30% dei casi questi messaggi vengono aperti dagli utenti ed addirittura in oltre il 10% dei casi vengono cliccati anche gli allegati o i link presenti nelle email, permettendo così l’infiltrazione del malware!

Attraverso la navigazione su siti compromessi: il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa) da siti nei quali sono stati introdotti (da parte di hacker che sono riusciti a violare il sito) exploit kit che sfruttano vulnerabilità dei browser. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su siti malevoli, diversi dall’originale, ove avverrà il download del malware.

All’interno (in bundle) di altri software che vengono scaricati: per esempio programmi gratuiti che ci promettono di “crackare” software costosi per utilizzarli senza pagare. È una pratica che oggi è diventata assai pericolosa, perché il crack che andremo a scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe essere anche una brutta sorpresa.

Attacchi attraverso il desktop remoto (RDP: remote desktop protocol, in genere sulla porta 3389): sono attacchi con furto di credenziali (in genere di tipo “brute force”) per accedere ai server e prenderne il controllo.

Come ci si può difendere da questi attacchi?

Ecco alcuni pratici consigli per non incappare facilmente in questo tipo di minaccia:

  • Assicurati di eseguire il backup dei dati e di disporre di un piano di ripristino in caso di un attacco di phishing riuscito;
  • Disponi di un software antivirus aggiornato e assicurati di eseguire una scansione accurata di qualsiasi elemento scaricato direttamente da Internet per verificare che sia privo di virus;
  • Quando si utilizzano programmi di elaborazione, come Microsoft Word, assicurarsi di non abilitare le macro, poiché i linguaggi delle macro sono incorporati nei documenti. Se è possibile eseguire le applicazioni quando i documenti sono aperti, l’utente può eseguire accidentalmente il malware sul computer attraverso il codice incorporato;
  • Assicurarsi di non aprire allegati sospetti nelle email, o di scaricare da Internet file non verificati attraverso vettori pericolosi quali i collegamenti Web presenti nel corpo di alcune email sospette, o all’interno dei banner, ovvero finestre che si aprono automaticamente all’improvviso durante la navigazione sui siti web, per indurre l’utente ad aprire pagine indesiderate create in alcuni casi proprio a scopi malevoli.

Inoltre per una maggiore sicurezza dei tuoi sistemi informatici puoi fare affidamento sulle soluzioni di sicurezza endpoint di Check Point, nostro partner strategico, come il SandBlast Agent che include una potente protezione anti-ransomware. La funzionalità di questo prodotto è quella di difendere la tua organizzazione da sofisticati attacchi di quinta generazione che possono aggirare le soluzioni convenzionali di rete ed endpoint. Per conoscere come Core Sistemi può aiutarti nell’installazione di questo prodotto clicca qui.