Ransomware: cos’è e come si prende

Negli ultimi anni, si sono diffuse diverse tipologie di attacchi informatici che hanno colpito sia utenti privati sia, nei casi più gravi, aziende anche molto importanti. Spesso, dinnanzi a situazioni del genere, si rischia di andare nel panico e di prendere decisioni sbagliate.

Come ci si può, dunque, difendere da qualunque tipo di attacco? In primo luogo, bisogna informarsi. Oggi, per fortuna, grazie al web è possibile ottenere informazioni accurate e dettagliate. Nei contesti aziendali, invece, sarebbe fondamentale creare percorsi formativi costanti per istruire le risorse umane rispetto ad una corretta prevenzione e gestione degli attacchi.

Oggi parleremo dell’attacco ransomware. Andiamo a vedere in cosa consiste e come ci si può difendere da esso.

Che cosa si intende per ransomware?

Il ransomware è una forma di malware che crittografa i file di un utente. L’artefice dell’attacco chiede un riscatto alla vittima per ripristinare l’accesso ai dati.

Agli utenti vengono mostrate le istruzioni sulle modalità di pagamento del riscatto per ottenere la chiave di decrittazione. I costi possono variare da poche centinaia fino a migliaia di euro.

Esistono numerosi vettori che il ransomware può utilizzare per accedere a un computer. Uno dei sistemi più comuni è lo spam phishing: trattasi di file allegati che arrivano alla vittima in un’e-mail, mascherati, però, da file apparentemente insospettabili.

Una volta che tali file vengono scaricati e aperti, l’hacker può assumere il controllo del computer della vittima e crittografare alcuni o tutti i file in esso contenuti.

I file non possono essere decifrati senza una chiave che è nota solo all’hacker. All’utente viene presentato un messaggio che spiega che i suoi file sono inaccessibili e verranno decifrati solo in presenza di un pagamento in criptovaluta (quasi sempre Bitcoin), praticamente impossibile da rintracciare.

Quali sono i passi di un attacco ransomware?

Il ransomware sfrutta la crittografia asimmetrica, la quale utilizza una coppia di chiavi per crittografare e decrittografare un file. La coppia di chiavi pubblico-privata viene generata in modo univoco dall’hacker il quale rende disponibile la chiave privata alla vittima solo dopo il pagamento del riscatto. Senza l’accesso alla chiave privata, è praticamente impossibile decrittografare i file.

Esistono molte varianti di ransomware. Spesso, questo attacco viene distribuito attraverso campagne di spam, tramite e-mail. Il malware ha bisogno di un vettore di attacco per stabilire la sua presenza su un endpoint (qualunque dispositivo capace di connettersi ad Internet). Compiuto questo passo, il ransomware cerca e crittografa file importanti, come documenti di Microsoft Word o Excel, immagini, database e così via.

Il ransomware può, inoltre, sfruttare le vulnerabilità del sistema e della rete per diffondersi ad altri sistemi o organizzazioni.

Una volta crittografati i file, il ransomware richiede all’utente di pagare un riscatto entro 24-48 ore per decrittografare i file. Cosa accade in caso contrario? Quei dati andranno persi per sempre, a meno che non sia stato effettuato un backup e che nemmeno questo sia stato crittografato.

Qual è il canale di diffusione principale dei virus ransomware?

Come abbiamo anticipato poc’anzi, il principale canale di diffusione di questo virus è la mail. Il phishing è uno dei metodi più comuni per distribuire ransomware. Quando un utente scarica un allegato dannoso all’interno di un’e-mail di phishing che contiene ransomware, tutti i file dell’utente vengono crittografati e resi inaccessibili fino al pagamento del riscatto.

Sebbene non sia sempre possibile prevenire un attacco ransomware, l’adozione di best practice di sicurezza generali e l’implementazione di un’efficace protezione della posta elettronica può ridurre drasticamente il rischio. Ecco alcuni suggerimenti per prevenire un attacco ransomware:

  • Prima di scaricare gli allegati contenuti in una e-mail, assicurati della legittimità della stessa;
  • Assicurati che il tuo sistema operativo sia aggiornato correttamente;
  • Esegui il backup dei tuoi file frequentemente e automaticamente. Ciò non impedirà un attacco ransomware, ma può ridurre il danno causato da uno. Tieni presente che i backup non sono infallibili: il ransomware può rimanere inattivo per settimane fino a quando non viene attivato, distruggendo potenzialmente i backup;
  • Oltre al sistema operativo, ricorda di aggiornare il client che gestisce la tua posta elettronica nonché il browser che utilizzi per navigare in rete;
  • Specie se nel tuo Pc sono contenuti dati sensibili e preziosi per il tuo business, investi in una soluzione e-mail completa, sicura ed in grado di rilevare con precisione le e-mail dannose, evitando che esse possano raggiungere la posta in arrivo.