Ransomware: cos'è e come funziona

Ransomware
(Immagine:: Shutterstock)

Da alcuni anni, il ransomware è un elemento di minaccia che fa sudare freddo sia gli utenti che gli amministratori dei sistemi, con alcuni casi che hanno anche raggiunto gli onori della cronaca. In questo articolo, vogliamo fare un po’ di chiarezza e fornirvi le informazioni di base per conoscere meglio il ransomware e come funziona, così da ridurre la possibile esposizione a questo genere di attacco informatico.

I virus e le minacce informatiche come malware, spyware, adware e via dicendo, sono delle presenze costanti nel mondo del computer. Da sempre, chi usa un PC deve scegliere, fra le altre cose, un buon software antivirus per proteggersi dalle cyber-minacce che circolano sulla rete (e che un tempo venivano trasmesse tramite floppy disk da un sistema infetto all’altro).

Ovviamente, oltre che dotarsi degli strumenti di protezione adeguati, occorre prestare anche molta attenzione ai propri comportamenti online, come vedremo nel dettaglio più avanti.

Ransomware, di che si tratta?

Il ransomware appartiene alla categoria dei trojan, ovvero dei file che infettano un computer all’insaputa dell’utente, per poter inoculare programmi dannosi o danneggiare il sistema.

Nel caso specifico, gli attacchi ransomware (dall’inglese “ransom”, ricatto e “ware”, abbreviazione di software), impediscono l’accesso ai file o all’intero sistema tramite la crittografia dei dati sul disco o il blocco dell’accesso tramite una password molto complessa, conosciuta solo dagli autori dell’attacco.

Infatti, una volta operativo, il ransomware installato presenta all’utente un vero e proprio ricatto: per poter accedere nuovamente ai propri dati o all’intero sistema, la vittima dovrà pagare una certa somma di denaro, altrimenti dovrà rassegnarsi a formattare tutto il sistema e perdere ogni singolo contenuto.

A seconda della tipologia di vittima, un attacco di questo genere può avere effetti devastanti, basti pensare che solo nel 2020, le attività dei criminali informatici hanno generato qualcosa come 1000 miliardi di dollari di danni.

A cadere nella rete del ransomware sono principalmente aziende, istituti pubblici (come scuole o ospedali), con conseguenze spesso disastrose, soprattutto quando non dispongono di un’adeguata protezione.

Inoltre, a causa della pandemia di COVID-19, molti utenti si sono ritrovati a dover lavorare da casa, tramite lavoro da remoto, smart working o in lavoro agile rimanendo più esposti agli attacchi informatici, ransomware inclusi.

Questo non deve stupire, dato che con il lavoro in digitale aumenta notevolmente la quantità di dati importanti gestiti degli utenti, oltre al bacino d’utenza, con molte persone che si ritrovano a usare un computer con maggiore intensità a fronte di una scarsa alfabetizzazione informatica.

Ransomware

Nel 2020, gli attacchi informatici hanno causato danni per 1000 miliardi di dollari. (Image credit: Shutterstock / binarydesign)

I tipi di ransomware più comuni

Come dicevamo, gli attacchi ransomware si basano sull’installazione di un programma malevolo all’interno del computer, che blocca il sistema o rende i file inaccessibili tramite crittografia.

Dunque, esistono vari tipi di ransomware, che si comportano in modo leggermente diverso e che richiedono interventi specifici per essere rimossi dai sistemi.

Uno dei più noti e diffusi è CryptoLocker, un trojan che ha fatto la sua comparsa nel 2013 e che nel corso degli anni si è evoluto, tanto da rappresentare tuttora una minaccia terribile.

CryptoLocker 2020, nelle sue diverse varianti, agisce in due fasi: nella prima blocca o sottopone a crittografia il sistema e i dati, nella seconda presenta alle vittime la richiesta di riscatto. Il pagamento può avvenire in vari modi, ma avviene sempre più spesso tramite criptovalute, che rappresentano un ottimo modo per “coprire” le tracce dei criminali e rendere la transazione più difficile da tracciare. Questo deve fare riflettere: infatti non è detto che pagando il riscatto si riesca a riottenere l’accesso ai propri dati, un aspetto da considerare bene prima di mettere mani al portafoglio, come vedremo poco più avanti.

CryptoWall è un ransomware dalle caratteristiche simili, che si distingue per la velocità con cui si diffonde e duplica all’interno di un sistema bersaglio e per la sua estrema adattabilità all’ambiente di destinazione. Anche in questo caso, il pagamento del riscatto avviene tramite criptovaluta e attraverso la rete anonima TOR.

La sua particolarità è quella di insinuarsi anche nel registro di sistema, rendendo vano il tentativo di riavvio per impedirne la diffusione.

Petya nagscreen

La schermata di blocco creata da Petya (Image credit: Wikipedia)

Nel 2016 fa la sua prima apparizione Petya, un tipo di ransomware che ha un pattern d’attacco diverso dagli altri due citati in precedenza. Infatti, mentre CryptoWall e CryptoLocker si diffondono nel sistema infettando i file uno a uno, Petya blocca con crittografia l’intero disco, aggredendo la tabella file master (MFT).

Non si conosce ancora l’origine di questo ransomware, anche se negli anni sono stati riscontrati diversi attacchi in Ucraina, Russia e India, con vittime illustri come Maersk e Mondelez.

Un altro nome che fa tremare gli addetti ai lavori è Anatova, un insidioso trojan scoperto da McAfee che si nasconde dietro file di piccolissime dimensioni (come le icone) e che ha colpito duramente anche l’Italia. Anche in questo caso, il riscatto viene richiesto tramite pagamento con criptovaluta.

La sua natura e le sue dimensioni ridotte hanno contribuito alla sua diffusione: nascondendosi dietro un’icona o un piccolo file eseguibile, ha indotto molti utenti a concedere le autorizzazioni di amministrazione, con le note e disastrose conseguenze.

Come difendersi dal ransomware?

Purtroppo il ransomware può colpire chiunque: una piccola distrazione, una mail letta con poca attenzione, magari per via della quantità enorme di informazioni a cui siamo esposti ogni giorno e il gioco è fatto.

Sicuramente l’arma più efficace a nostra disposizione è la prevenzione: evitare i siti pericolosi (ad esempio quelli correlati alla pirateria o allo streaming illegale), non accettare mai file e allegati da mittenti sconosciuti o sospetti, leggere con attenzione le e-mail e distinguere i messaggi reali dai tentativi di phishing.

Un’altra arma è l’informazione: cercare di sensibilizzare le persone a voi vicine sulla sicurezza informatica, magari aiutando i nostri genitori o i nostri familiari che si avvicinano per la prima volta al mondo del computer o che iniziano a usarlo in modo più frequente a evitare le trappole più ovvie.

Infine, la più importante contromisura a vostra disposizione sono i backup: fatelo spesso, fatelo bene. Tenete sempre una copia aggiornata dei vostri dati su un supporto esterno e protetto, non fatevi mai cogliere impreparati!

Poi, ovviamente, tutto questo non può prescindere dall’uso di uno strumento di protezione adeguato, come uno dei migliori antivirus che vi abbiamo segnalato noi di TechRadar.

Un altro strumento da prendere in considerazione è Ransomfree, prodotto da Cybereason, uno strumento gratuito che aiuta a prevenire gli attacchi ransomware, come NotPetya e altri. Non sarà efficace al 100%, ma la prevenzione, come abbiamo detto, è molto importante.

Cosa fare in caso di attacco ransomware?

Innanzitutto è fondamentale non farsi prendere dal panico: potreste sentirvi sotto pressione e voler cedere al riscatto. Questa è la prima cosa da evitare. Nella maggior parte dei casi, i dati sono recuperabili abbastanza facilmente, anche se in molti tendono a cadere nella trappola e pagare.

Anche se gli attacchi diventano sempre più complessi con l’introduzione dell’intelligenza artificiale, oltre ai normali programmi antivirus esistono diversi strumenti a vostra disposizione.

Innanzitutto, Kaspersky RakhniDecryptor è un tool gratuito messo a disposizione della nota azienda di antivirus, dedicato allo sblocco dei file con estensione .locked and .kraken, che va a contrastare un altro noto trojan noto come Trojan-Ransom.Win32.Rakhni. Potete scaricarlo a questo indirizzo.

Ma se anche gli strumenti a vostra disposizione non risultassero efficaci, esiste un’organizzazione chiamata No More Ransom che aiuta gli utenti sia in fase di prevenzione che a seguito di un attacco riuscito. L’organizzazione ha infatti elaborato un database (repository) delle chiavi e delle applicazioni in grado di sbloccare e decodificare i dati colpiti da diversi tipi di ransomware.

Tirando le somme

Il ransomware è un argomento serio e delicato che richiede molta attenzione, soprattutto da parte di chi si affida principalmente ai mezzi informatici per motivi di lavoro o per gestire i dati più importanti per la propria vita.

La prevenzione è l’aspetto più importante, così come la conoscenza dell’argomento. Il ransomware può essere spaventoso e devastante, ma esistono mezzi per contrastarlo sia prima che dopo un attacco.

Noi di TechRadar abbiamo particolarmente a cuore l’argomento, pertanto vi invitiamo a seguirci spesso per ulteriori approfondimenti sul ransomware e su quello che potete fare per restare al sicuro.

Marco Doria
Senior editor

Senior Editor and Professional Translator. Boardgaming enthusiast, Tech-lover.