Attacco Ransomware: cos’è e perchè è importante proteggersi per un’azienda

Nel panorama delle minacce informatiche e degli attacchi hacker, i Ransomware sono considerati sicuramente tra i più pericolosi e soprattutto frequenti, come testimoniano le recenti ri, perché sono in grado di pervenire ai sistemi centrali di aziende e istituzioni, bloccarli dall’interno e paralizzarne l’attività.

Ultimamente, sia le grandi organizzazioni, sia gli enti governativi, si sono mossi per elaborare report molto dettagliati sulla natura di questi attacchi, sulle loro manifestazioni, sugli effetti che queste minacce hanno sul sistema e sulla quantificazione dei danni.
Da questi studi emerge un quadro piuttosto preoccupante, considerando anche solo un impatto immediato: le stime evidenziano danni economici e di immagine importanti, che devono essere un monito per tutte le realtà imprenditoriali, con un invito ad attivare un’adeguata protezione, efficace e modulata in base al proprio core business.

Infatti, se è vero che la minaccia tangibile rappresentata dai ransomware è in progressivo aumento, per fortuna esistono soluzioni adeguate, implementate per garantire la sicurezza dei sistemi informatici dei clienti privati ma, soprattutto, delle aziende, indipendentemente dal modello di business, dalle dimensioni e dal fatturato.

Cos’è un ransomware?

L’attacco ransomware è una particolare tipologia di virus informatico che ha come obiettivo principale l’estorsione di denaro dalle vittime. Il termine ransomware deriva dall’unione di due termini di origine anglosassone, ransom, che significa riscatto, e ware, seconda parte della parola malware.

Una volta entrato nel sistema, il ransomware, del tutto simile a un trojan horse, rende inutilizzabili e inaccessibili alcuni dati e file presenti sul computer, con l’obiettivo di ottenere un riscatto dalla vittima, se questa vorrà continuare a disporre della propria strumentazione ma, soprattutto, dei dati.

Ormai è chiara l’importanza dei dati soprattutto in una realtà imprenditoriale/aziendale, e la minaccia costituita dai ransomware sta assumendo proporzioni tali da necessitare una serie di misure massive, sia da parte dei singoli imprenditori, sia a livello nazionale.

Il pericolo rappresentato dai ransomware è dato dal fatto che la minaccia si basa su un assunto molto semplice, ma allo stesso tempo che rappresenta una leva potentissima: io, hacker, ti blocco ogni funzionalità, tengo in ostaggio ogni tipo di dati, che so essere vitali per te.
Per ripristinare le attività prima dell’attacco, chiedo un riscatto, molto cospicuo, perché so che la posta in gioco è altissima e, il più delle volte, difficilissima da quantificare.
In questo senso, l’espansione dei ransomware è giustificata soprattutto dal fatto che si tratta di un’attività criminale particolarmente redditizia, anche perché molto spesso il versamento della cifra pattuita non si esaurisce in un’unica transazione: il criminale informatico, nei casi più eclatanti, non si accontenta di un solo pagamento, e tende a voler aumentare la posta.

Di fronte a un pericolo così grave, è opportuno analizzare il ransomware con la lente di ingrandimento, per conoscerne tutti gli aspetti e valutare una difesa adeguata, con il supporto fondamentale di un’azienda specializzata nella cybersecurity.

Il punto di partenza, per sferrare l’attacco ransomware da parte dei criminali informatici, è sempre quello di individuare una falla nel sistema, un buco di protezione nella rete della vittima, tale da consentire alla minaccia di insediarsi nella rete e attaccarla dall’interno.

Dal punto di vista strettamente tecnico, i ransomware sono costituiti da trojan horse crittografici, il loro obiettivo, una volta insediatisi nel sistema, è quello di estorcere denaro, dopo che un particolare metodo di cifratura ha reso i dati inutilizzabili.

Come si presenta un ransomware? Come riconoscere un ransomware?

Una volta che il sequestro di dati è stato portato avanti, la vittima vedrà comparire sullo sfondo del dispositivo, nella maggior parte dei casi un computer desktop e/o un notebook, un avviso, che esteticamente riporta colori e diciture che potrebbero provenire da un’Autorità quale, verosimilmente, la Polizia, oppure un’altra organizzazione deputata alla protezione e alla sicurezza nazionale.

Nella schermata a video comparirà inoltre un’offerta, che rappresenta la vera e propria richiesta di riscatto: in cambio della password ora indispensabile per sbloccare tutti i contenuti, che non sono più in uso alla vittima, il sequestratore propone una cifra in denaro, da versare secondo le modalità indicate nella schermata.

Il riscatto di un ransomware

Nella maggior parte dei casi, il riscatto richiesto è espresso in criptovaluta, spesso in Bitcoin. A questo proposito, è necessario specificare che, anche in questo settore, lo scambio ha subito profonde evoluzioni, e sono diverse le valute che costituiscono il controvalore del riscatto.
Considerando che è più agevole quantificare la richiesta in euro, mentre fino a pochi anni fa le cifre pretese per lo sblocco dei dati si aggirava mediamente intorno ai mille euro, negli ultimi tempi tali valori hanno registrato un incremento esponenziale. Da mille euro a centinaia di migliaia, o anche milioni di euro, in base al contesto, il salto è stato repentino quanto concreto.

Poiché l’obiettivo dei criminali informatici è quello di rastrellare un’ingente quantità di fondi, in modo molto veloce e repentino, è naturale che gli attacchi ransomware siano fulminei, veloci e si manifestino rapidamente.
È soprattutto quest’ultimo elemento a differenziare i ransomware dagli APT, gli Advanced Persistent Threats, i quali invece hanno lo scopo di infettare il sistema della vittima, per aggrapparvisi il più a lungo possibile e creare danni soprattutto nel lungo periodo.

Una volta che si è formalizzata sul dispositivo della vittima la richiesta di riscatto, il pagamento dovrà seguire delle procedure ben definite: è necessario sottolineare che, dietro un attacco ransomware, vi sono vere e proprie organizzazioni criminali, che lavorano quotidianamente per portare avanti minacce di entità gravissime e che hanno raggiunto livelli elevati di organizzazione, utilizzando mezzi sofisticati e tecnologicamente all’avanguardia.

Transazioni anonime per gli hacker informatici

La prima preoccupazione di un criminale che pretende denaro con un’estorsione, infatti, è quella di ricevere il corrispettivo senza che il pagamento possa essere tracciato; allo stesso modo, le organizzazioni che portano avanti gli attacchi ransomware hanno elaborato sistemi molto complessi per ricevere il denaro richiesto in cambio dello sblocco dei dati criptati.

Sullo schermo della vittima compaiono, nella maggior parte dei casi, istruzioni molto dettagliate per finalizzare la transazione.

Nel caso del nostro Paese, le indicazioni riportate sono in italiano corretto e consentono di pagare il riscatto mediante la TOR network, anche nota come Dark Web.
TOR è l’acronimo di The Onion Browser, ossia il browser a cipolla, e indica un metodo di comunicazione in rete che si fonda sull’anonimato.
Se TOR è uno strumento utilissimo, per fini legittimi, può essere anche molto pericoloso, ed è spesso utilizzato nel caso delle richieste di riscatto che seguono un attacco ransomware.

In buona sostanza, attraverso questo meccanismo è praticamente impossibile risalire all’identità di chi invia i messaggi e gestisce le transazioni.

E poiché il pagamento del riscatto dovrà avvenire nelle modalità stabilite e senza intoppi, le organizzazioni che predispongono gli attacchi ransomware istituiscono dei veri e propri customer care, disponibili via chat e che sapranno fornire tutte le risposte alle domande che la vittima dovesse eventualmente avere in merito al pagamento.

Insomma, si tratta di un business criminale a tutti gli effetti, in cui chi subisce l’attacco, paradossalmente, riceve un ottimo servizio, puntuale ed efficace, volto a consentire il pagamento del riscatto.

A seguito del versamento del denaro, quando ciò sia possibile (infatti, non sempre le aziende possono permettersi un esborso simile), la vittima riceve la password per sbloccare i files che, inizialmente, erano stati presi in ostaggio.

 

Quali sono le attività che espongono maggiormente agli attacchi ransomware?

A questo punto è necessario analizzare quali siano le modalità di esposizione ai ransomware, ovvero le attività che rendono le aziende maggiormente vulnerabili nei confronti di una minaccia che sta assumendo proporzioni mai viste in passato.

Il mezzo preferito dai criminali informatici, per l’attacco ransomware, rimane ancora oggi la mail di phishing, in cui l’utente è invitato a cliccare su un link contenuto nel messaggio, allo scopo di ottenere un’informazione, un beneficio immediato oppure di sbloccare un conto che si afferma essere bloccato.

L’origine dell’attacco ha, in ogni caso, una matrice psicologica, nel senso che fa leva sulla momentanea disattenzione della vittima, oppure del suo assorbimento nella quantità di lavoro e messaggi ricevuti, per ottenere il gancio necessario a far cliccare sul link e installare il ransomware.

La consapevolezza di ricevere, quotidianamente, centinaia di e-mail da smistare e processare fa parte del vissuto di amministratori, operatori e collaboratori; ed è proprio nel vuoto creato dalla disattenzione umana che si inseriscono le minacce più pericolose.
Nella maggior parte dei casi, i messaggi di posta elettronica che contengono i collegamenti ai ransomware provengono da mittenti (falsi) di cui gli utenti si fidano: la banca presso cui è intestato il conto dell’azienda, un’istituzione governativa, collaboratori con i quali vi è un rapporto di stima ma con cui, guarda caso, non vi è la possibilità di avere un riscontro immediato.
Quest’ultima tecnica è chiamata con il termine spoofing, mentre in altri attacchi la vulnerabilità del sistema è individuata in software di utilizzo comune e specifici per determinate applicazioni (spesso bancarie), tra cui Java, Flash di Adobe o anche i principali sistemi operativi, principalmente Windows.
In quest’ultima eventualità, il ransomware si insedia nel sistema, senza che l’utente debba compiere determinate azioni.

Il ransomware è veicolato nello stesso modo in cui sono propagate le altre minacce informatiche; in particolare:

• e-mail di phishing;
• navigazione su siti compromised;
• mediante dispositivi rimovibili: il classico esempio è rappresentato da un supporto USB;
• mediante altri software, scaricati da uno o più utenti che lavorano nella stessa rete aziendale;
• attraverso il desktop remoto;
• sfruttando le vulnerabilità della rete e le falle, anche piccole, del sistema.

I messaggi di phishing sono ancora i più diffusi, sia perché molto efficaci, sia perché piuttosto semplici da elaborare; a fronte di uno sforzo minimo per elaborarli in modo che siano appetibili e suscitino fiducia, l’azione portata avanti, dall’utente inconsapevole, assume proporzioni notevoli.

Per quanto riguarda, invece, la navigazione in siti cosiddetti compromessi, ossia il famoso drive-by-download, a seguito di cui l’utente scarica un contenuto dannoso a sua insaputa, chi attacca è riuscito a effettuare una violazione del sito in questione, in cui sono stati inseriti fake kit, i quali fanno leva sulle vulnerabilità del sistema.
In questi casi, i criminali informatici infettano i sites visitati dalle vittime, con un’azione al contrario: i malcapitati, infatti, visitano essi stessi i siti infettati, cliccando su banner pubblicitari che esortano a un’azione immediata. Una volta indirizzati sul sito malevolo, la vittima inconsapevole installerà il ransomware sul proprio dispositivo.

Anche i supporti rimovibili rappresentano un concreto pericolo per l’installazione dei ransomware nel sistema, il supporto rappresenta l’esca, lasciato spesso incustodito in un luogo aziendale in cui molti utenti hanno accesso comune.

Uno dei mezzi più pericolosi di veicolazione dei ransomware è costituito da software non autorizzati e noti in gergo come craccati: poiché alcuni programmi, di utilizzo comune, sono venduti con licenze spesso molto costose, perché il lavoro umano e temporale che ne sta alla base è molto ingente, alcune persone sono tentate dall’irresistibile possibilità di scaricarne di piratati, che spesso sono tramandati da utente a utente mediante, appunto, supporti rimovibili.

Nei primi mesi del 2021 sono stati registrati download di ransomware legati all’acquisizione di software notoriamente a pagamento, tra cui Adobe Photoshop e Microsoft Office.

Gli attacchi mediante il desktop remoto costituiscono un altro pericoloso veicolo dei ransomware, generalmente in corrispondenza della porta 3389.

I dispositivi e server con RDP attivo sono, in genere, i più esposti nei confronti di questi attacchi, a seguito dei quali avviene il furto delle credenziali e la richiesta di riscatto vera e propria.

I criminali informatici che si specializzano nella creazione dei ransomware sfruttano anche le vulnerabilità del sistema, come nel caso di due casi tristemente famosi che si sono verificati nella storia recente.

Il primo, Wanna Cry, che risale al mese di maggio 2017, vedeva in campo la vulnerabilità del protocol Windows Messenger Server Block, nella sua versione 1.0.

Durante il mese di marzo del 2021, invece, si è assistito all’attacco alla vulnerabilità di Microsoft Exchange Server, per propagare ransomware e compromettere i server.

È opportuno specificare che quest’ultimo attacco è particolarmente pericoloso per le aziende, perché l’applicazione MES è quella impiegata nelle realtà d’impresa per gestire calendari e messaggi di posta elettronica.

Che tipo di danni comporta un attacco ransomware

I danni economici dei ransomware sono ingenti a carico delle aziende e delle istituzioni che ne rimangono vittime.

A livello nazionale, emerge da studi recenti che molti Comuni italiani, ma anche store rinomati, prestigiosi e di respiro mondiale come Boggi, siano rimasti vittime degli attacchi ransomware, con decine di server bloccati e migliaia di euro di riscatto pretesi in cambio dello sblocco.
Recentemente, anche il Consiglio Nazionale del Notariato ha subito un attacco ransomware, proprio alla fine di aprile 2021, con migliaia di euro chiesti in riscatto, mentre un colosso del settore farmaceutico, MiPharm, ha dovuto fare i conti con il sequestro totale dei dati sui server, in cambio di cui ha dovuto sborsare una cifra mai dichiarata apertamente.

Gli attacchi ransomware non conoscono confini in questo senso e, purtroppo, le vittime si contano sia nelle amministrazioni comunali, sia nelle aziende private di portata internazionale e, proprio per questo, più ricattabili.

A livello mondiale, le storie più eclatanti di aziende che hanno dovuto sborsare milioni di dollari, in cambio dello sblocco dei server, sono sicuramente il colosso alimentare Mondelez il quale, a seguito di un attacco ransomware, ha dovuto versare il corrispondente di 84 milioni di dollari.

Come proteggersi da un attacco ransomware

Di fronte a uno scenario che prospetta, nel caso concreto di un attacco ransomware, un esborso notevole, sia in termini di denaro, si in termini di risorse e perdita di produttività, la protezione dei server aziendali non può più essere considerata di secondaria importanza.

Pensare di dover interrompere, da un momento all’altro, la propria operatività, e dover versare un riscatto, dovrebbe far maturare negli amministratori delegati e nei titolari d’impresa la consapevolezza di un’immediata necessità di protezione del bene più grande in azienda: i dati.
Ecco perché affidarsi a realtà imprenditoriali che da anni operano nel campo della cybersecurity è il primo passo per muoversi in acque più tranquille e garantire la necessaria continuità operativa.

Alet, attiva da oltre 4 decenni nel campo delle telecomunicazioni e partner dei migliori brand nel settore della sicurezza in rete, propone diverse soluzioni alle aziende che hanno deciso di optare per una sicurezza a 360 gradi.
L’elevata competenza di tecnici e collaboratori, unita a un’esperienza pluridecennale maturata direttamente sul campo, a contatto con diverse realtà italiane ed estere, consente al nostro staff di proporre quanto di meglio ci sia sul mercato per difendersi dagli attacchi ransomware, con la sicurezza di aggiornamenti continui e di pacchetti chiavi in mano, con tariffe concorrenziali e che renderanno la quotidianità serena e fluida, proprio come dovrebbe essere.

Per maggiori informazioni, il sito istituzionale Alet è a disposizione, mentre per i contatti è possibile utilizzare il form online, oppure i recapiti indicati nel sito.