Che cos'è il ransomware?

Ransomware definito

Ransomware è una forma di payload dannoso che descrive l'intento della minaccia di persone malintenzionate che cercano di estorcere un pagamento dalla vittima perché hanno preso il controllo dei suoi dati o dei suoi sistemi. Per il pagamento del riscatto vengono in genere richieste criptovalute.


L'attaccante può utilizzare più vettori di attacco e il mancato pagamento può avere conseguenze, incluse le seguenti minacce:

  • Estrarre e pubblicare i dati della vittima
  • Esporre le vulnerabilità della vittima e le pratiche operative che hanno portato al compromissione
  • Cifrare i dati della vittima e bloccare l'accesso in modo permanente
  • Assumere il controllo amministrativo o root e disabilitare in modo permanente i sistemi compromessi

In generale, gli operatori malintenzionati cercheranno di ottenere pagamenti perché le loro azioni possono compromettere i sistemi informatici e influire negativamente sulle normali operazioni delle vittime. Sebbene il malware sia uno dei metodi di attacco primario, diversi incidenti di ransomware si sono verificati senza l'uso di malware, ad esempio, incidenti di ransomware con estorsione cibernetica minacciando un attacco di negazione del servizio (DoS) o un defacing del sito web. È emerso anche il ransomware come servizio (RWaaS), dove gli attori della minaccia hanno creato un modello di business per lanciare un attacco mirato contro un individuo o un'azienda come servizio a pagamento.

Come funziona il ransomware

Il ransomware è comunemente consegnato tramite email di phishing o download "drive by. Le e-mail di phishing sembrano legittime e affidabili e spingono la vittima a fare clic su un collegamento dannoso o ad aprire un allegato. Un download di drive-by è un programma che viene automaticamente scaricato da Internet senza il consenso degli utenti e senza che loro ne siano a conoscenza. È possibile che il codice dannoso possa essere eseguito dopo il download, senza alcuna interazione dell'utente. Dopo l'esecuzione del codice dannoso, il computer dell'utente diventa infetto da ransomware.

Il ransomware quindi identifica le unità su un sistema infetto e inizia a crittografare i file all'interno di ogni unità. La crittografia viene generalmente fornita con un'estensione univoca ai file crittografati, come .aa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault o .petya. Una volta completata la crittografia, il ransomware crea e visualizza un file o una serie di file contenenti informazioni e istruzioni sui termini dell'attacco ransomware. Ad esempio, una volta che la vittima soddisfa i termini del ransomware, l'autore della minaccia può fornire una chiave crittografica alla vittima per sbloccare i file crittografati.

Come le organizzazioni possono essere più resilienti rispetto agli attacchi ransomware

L'igiene di base della sicurezza e le pratiche operative sane possono aiutare le organizzazioni a prevenire incidenti ransomware e limitare la perdita finanziaria, i tempi di inattività e le interruzioni.

Esistono diversi punti di vulnerabilità tra gli utenti dell'organizzazione. Le organizzazioni possono trarre vantaggio dalla formazione dei singoli utenti sulle pratiche di navigazione e-mail e Internet sicure. L'istruzione sull'uso sicuro delle piattaforme di social media è importante anche in modo che gli utenti siano consapevoli che un soggetto malintenzionato può utilizzare le informazioni pubblicamente disponibili su di loro per indirizzarle contro di loro o contro altre persone presenti nella loro organizzazione.

Per rafforzare le pratiche di sicurezza, le organizzazioni possono implementare controlli tecnici per i vari sistemi utilizzati dagli attacchi per propagare malware abilitanti. Tra gli esempi di controlli tecnici figurano:

  • Implementazione di strumenti e tecniche di filtraggio per piattaforme di e-mail e comunicazione per prevenire la consegna di malware agli utenti
  • Implementazione di servizi di scansione anti-malware, convalida dei collegamenti e tecniche di sandbox per server e-mail e gateway Internet
  • Definizione e applicazione di politiche riguardanti il download e l'uso di codice esterno e non sicuro nell'ambiente, per prevenire la compromissione dei sistemi tramite l'installazione di software o l'esecuzione di script dannosi

Oltre all'esecuzione di prodotti di protezione degli endpoint aggiornati, le organizzazioni devono disporre di sistemi IAM (Identity and Access Management), dotati di un approccio alla sicurezza zero trust. Grazie a un'autenticazione complessa e a principi che prevedono l'applicazione di privilegi minimi, le organizzazioni possono mantenere un controllo rigoroso sui sistemi strategici e sui data store sensibili.

Oltre a severi controlli dell'accesso, le organizzazioni devono applicare limitazioni per strumenti di collaborazione, risorse di condivisione dei file e altri sistemi ad accesso comune. Le organizzazioni possono richiedere ulteriori problematiche di autenticazione, se e quando necessario. L'eliminazione di login anonimi, account generici e l'uso di credenziali deboli, insieme a un rigoroso controllo su account con privilegi quali il sistema operativo root e amministratore o gli account DBA, è fondamentale per mantenere un livello di sicurezza elevato.

Le organizzazioni devono definire e gestire le linee guida note per la configurazione di sicurezza e distribuire i sistemi in base alle linee guida sulla configurazione di sicurezza. Poiché i payload malevoli spesso affrontano vulnerabilità software note, è importante applicare tempestivamente le patch di sicurezza.

Infine, un'altra best practice che aiuterà un'organizzazione a riprendersi dal ransomware è memorizzare i backup separatamente e su un sistema operativo diverso in modo che non sia accessibile dalla rete.

Cosa fare se la tua organizzazione è vittima di un attacco ransomware

Una volta che le organizzazioni scoprono ransomware, dovrebbero cercare di limitare la propagazione del payload malevolo nei seguenti modi:

  • Isolando il sistema o i sistemi infetti, rimuovendoli e disattivandoli da tutte le reti
  • Affrontando tutte le vulnerabilità della condivisione dei file con tempestività e mettendo offline eventuali sistemi operativi non supportati
  • Rivedendo la catena di fiducia esistente tra i sistemi IT per impedire l'effetto cascata di un focolaio di malware
  • Separando rete e database per facilitare l'isolamento dei focolai di malware e limitare l'impatto operativo di una compromissione

Per limitare l'impatto di un attacco ransomware, i piani di riparazione di un'organizzazione dovrebbero includere la fornitura di backup frequenti e sicuri con procedure di recupero efficaci e verificate. Prima di ripristinare i sistemi, le organizzazioni dovrebbero stabilire con ragionevole certezza quando e come si è verificata la compromissione iniziale. Senza la dovuta diligenza, le organizzazioni vittime possono ripristinare inavvertitamente la compromissione e riportare l'infestazione durante l'esecuzione del recupero iniziale. In tal senso, potrebbe essere necessario eseguire un'analisi costi-benefici prima di scegliere se ripristinare uno stato più vecchio ma noto come sicuro o ripristinare uno stato più recente, ma eventualmente infetto per ridurre al minimo le interruzioni aziendali. Poiché alcuni malware sono noti per attaccare file di backup e risorse, le organizzazioni devono garantire anche un controllo efficace su questi asset.