Nati nel 1989, i ransomware si sono evoluti negli anni 2000 fino a diventare una delle minacce informatiche più temute. Questi software sono progettati per bloccare l’accesso ai file finché non viene pagato un riscatto. Dati i potenziali guadagni, diversi criminali informatici si sono specializzati in questa attività, prendendo di mira soprattutto le grandi aziende.

Con la diffusione dello smart working e gli accessi ai server da remoto, gli attacchi sono aumentati e nuove tipologie nascono ed evolvono nella speranza di bypassare gli antivirus e i firewall. Che siano piccoli uffici o enti internazionali, chiunque è esposto a questo rischio. Basta cliccare un link sbagliato per bloccare un’intera azienda. Dalle caratteristiche ai sintomi del contagio, in questo articolo vedremo come evitare di essere colpiti e come recuperare i dati bloccati.

donna-disperata-perdita-dati

Ransomware, cos’è e quali danni provoca

Il ransomware è un’applicazione maligna che infetta un computer e usa la crittografia per impedire l’accesso ai file. Lo scopo è quello di chiedere un riscatto in cambio della chiave di decriptazione. Alcuni aumentano ulteriormente la pressione minacciando di rubare i dati e renderli pubblici. Un attacco ransomware si divide di solito in tre fasi:

  • Contagio: avviene con l’apertura di file sospetti o attraverso l’introduzione non autorizzata nelle reti.
  • Crittografia dei dati: viene usato un software o le funzionalità di crittografia interne del sistema operativo.
  • Richiesta di riscatto: pagamento di una somma, solitamente in criptovaluta, in cambio della chiave di decifrazione.

Una volta entrati nella rete, i ransomware sono in grado di muoversi lateralmente tra i computer per bloccare più unità possibili. Alcune varianti mirano anche a cancellare i backup o a disattivare la funzionalità di ripristino del sistema, complicando il recupero dei dati. La cancellazione dei backup succede spesso se tutte le copie sono in un unico sistema NAS o RAID. Di seguito vedremo quali sono i segnali da tenere d’occhio e come si diffondono in rete.

Riconoscere i segnali

Dal momento del contagio all’attacco vero e proprio possono passare poche ore o alcune settimane. I ransomware di ultima generazione sono in genere più veloci e richiedono quindi una sorveglianza maggiore. Ci sono alcuni comportamenti insoliti a cui prestare attenzione, tra cui: 

  • Email sospette: la ricezione frequente di mail contenenti allegati o link strani è uno dei segnali più comuni. Un altro campanello d’allarme sono le mail che chiedono di reimpostare una password.
  • Tentativi di accesso non autorizzati: gli hacker tentano di accedere sfruttando strumenti come il Remote Desktop Protocol di Windows (RDP), usato dai dipendenti che lavorano in remoto. Per entrare usano programmi per rubare le credenziali o metodi brute force. Gli amministratori di rete dovrebbero sempre verificare chi si connette alla rete e indagare su tentativi di login falliti. Spesso i segnali più allarmanti arrivano monitorando le attività SMB (Server Message Block) piuttosto che i file in rete.
  • Network scanners: questi software scansionano la rete nel tentativo di rubare le credenziali o studiarne gli accessi, come il famoso Mimikatz.
  • File sconosciuti o con nomi strani: se gli utenti si accorgono di file sconosciuti sule disco, con nomi insoliti o che non si aprono, è probabile che l’attacco sia già iniziato.
  • Crash frequenti del sistema operativo: un altro segnale che i computer sono già stati contagiati sono i blocchi o rallentamenti continui, sintomo che alcuni file di sistema sono stati corrotti. 
  • Tentativi di rimozione antivirus: gli addetti alla sicurezza informatica potrebbero notare che gli antivirus o i firewall vengono disattivati senza motivo. Oppure che qualcuno ha tentato di eliminare dei backup. 

In generale, un ransomware si manifesta con attività insolite, come mail strane, frequenti accessi falliti, file sconosciuti o presenza di software che scansiona la rete.

Come avviene il contagio

I ransomware infettano i computer in vari modi tra cui:

  • Phishing mail: la posta elettronica è il vettore più utilizzato. L’utente riceve una mail all’apparenza legittima e viene invitato ad aprire un allegato. Il file, che di solito ha un’estensione comune come Word, Excel o PDF, è in realtà un’applicazione maligna e, se viene aperta, può diffondersi anche nei computer in rete. In alternativa, viene invitato a cliccare un link che scaricherà ed eseguirà l’applicazione. Negli ultimi anni è apparsa la variante per gli smartphone chiamata smishing.
  • Url sospetti: alcuni siti web contengono link che scaricano il ransomware sul computer . Come nelle mail, questi indirizzi internet provengono da pagine che ingannano l’utente imitando siti web di aziende famose. Talvolta, su queste pagine si trovano link sottoforma di banner pubblicitari che se vengono cliccati avviano l’attacco. Questi banner sono chiamati adware e spesso attirano l'utente con offerte, premi, messaggi privati o contenuti per adulti.
  • Truffe: le vittime vengono contattate dai criminali che si spacciano per forze dell’ordine, corrieri, banche o enti governativi. Usano anche chiamate o sms per spingere i malcapitati a compilare dei form con dati personali e credenziali. Una volta ottenute le informazioni di accesso, utilizzano questi canali per lanciare l’attacco.
  • Hacking: la minaccia avviene con l’intrusione non autorizzata in reti private, sfruttando le vulnerabilità di alcuni protocolli o le funzionalità di sistemi operativi come il Remote Desktop Protocol (RDP) di Windows. Entrato in rete, l’hacker può avviare il ransomware o rubare i dati.

È importante notare che attraverso un adeguata formazione, gli utenti possono conoscere questi sistemi ed essere più accorti sui collegamenti da cliccare o sui file da scaricare. Allo stesso tempo, le aziende possono prevenire gli attacchi con una buona sorveglianza delle reti.

Ransomware nei NAS

I NAS sono uno dei target preferiti dai ransomware. Archiviando i dati in un unico luogo , sono perfetti per accedere a molti file e chiedere un riscatto alto. Inoltre sono quasi sempre online, offrendo una facile comunicazione con il server in cui è memorizzata la chiave per decrittografare.

Quando i NAS utilizzano unità per i backup, un attacco ransomware può distruggere anche le ultime possibilità di recupero. Ecco perché i backup offline sono sempre una buona prassi. 

Un altro motivo per cui i NAS sono un ottimo bersaglio è la frequente mancanza di misure di sicurezza. Gli utenti sottovalutano questo aspetto, non cambiando le configurazioni di default che privilegiano la facilità di accesso rispetto alla protezione. Ad esempio, possono avere password facili da indovinare oppure permessi di accesso per tutti gli utenti. Questi aspetti sono spesso dimenticati dalle piccole aziende che non aggiornano regolarmente i dispositivi o non implementano sistemi di difesa efficaci.

Metodi di crittografia

I ransomware utilizzano la crittografia per convertire i file in un formato illeggibile. Ciò significa che i documenti non possono più essere aperti e, se si tratta di file di sistema o di avvio, il computer potrebbe diventare inutilizzabile. La crittografia usa un algoritmo e una chiave segreta e solo chi possiede la chiave può riportare i file al  formato originale.

I ransomware più temuti usano la crittografia asimmetrica che, a differenza di quella simmetrica, utilizza una chiave pubblica e una chiave privata. La chiave pubblica può essere condivisa con chiunque e serve a crittografare i dati, mentre la chiave privata è mantenuta segreta e serve a decrittografare i dati. E’ proprio quest’ultima che viene consegnata al pagamento del riscatto.

Gli algoritmi più utilizzati sono AES, RSA ed ECC e alcuni ransomware combinano crittografia simmetrica e asimmetrica.

Come si diffondono

I ransomware sono software molto pericolosi perchè capaci di autoreplicarsi. Puntano a infettare più computer possibili  e assicurarsi il maggior guadagno. Quando vengono attivati, attraverso un link o un download, usano degli espedienti per replicarsi in rete. Tra questi ci sono:

  • Vulnerabilità nei protocolli di rete: come successo con il famoso ransomware WannaCry che ha eluso il protocollo SMB di Windows. 
  • Furto di credenziali: per ottenere l’accesso ad altri computer.
  • Mail phisihing a più computer: per aumentare la possibilità di rubare credenziali o di sfruttare falle nei protocolli.

Chi si nasconde dietro ad un attacco ransomware?

Dietro ad un attacco ransomware ci possono essere hacker singoli o in gruppo. Si tratta di menti criminali che si informano, individuano le vittime, analizzano la sensibilità dei dati e pianificano l’attacco. I target sono di solito aziende o enti di grandi dimensioni, dato che più alta è la posta in gioco, più alto è il riscatto. Cio non esclude che le singole persone non possano essere colpite.  

Dal punto di vista produttivo, l’industria dei ransomware si è evoluta con i Raas ( ransomware-as-a-service), organizzazioni che producono e vendono software maligni in cambio di una parte dei riscatti.  Questo sistema ha permesso ai singoli hacker di acquistare un programma pronto all’uso senza alcuno sforzo, aumentando gli attacchi a livello mondiale.

Inoltre, chi si nasconde dietro ad un attacco conosce tecniche psicologiche ben precise per spingere la vittima a pagare il riscatto. Alcuni ransomware aumentano la pressione con un conto alla rovescia, al termine del quale i file vengono persi. Altri invece bloccano le reti e minacciano la diffusione pubblica di dati sensibili. Questa è la situazione più temuta dagli enti privati o pubblici che temono una fuga di informazioni preziose.

Quando i computer vengono bloccati, il flusso di lavoro si interrompe e tentare di ripristinare i sistemi richiede molto tempo e denaro. E anche se i dati vengono recuperati, rimane il pericolo di divulgazione. Di fronte a queste opzioni, molti hanno scelto il pagamento del riscatto ritenendo fosse la soluzione meno costosa e indolore.

Tipologie ed esempi 

Esistono vari tipi di ransomware, classificabili a seconda del funzionamento, dell’obiettivo e dei dati colpiti. Alcuni vengono diffusi in cambio di denaro, altri per danneggiare un’ente o un’azienda. Inoltre possono crittografare tutti i file o solo una parte, oppure colpire i database. Conoscere il tipo di ransomware è molto utile per scegliere quale strategia di recupero applicare, se un ripristino totale o un recupero dati da database. Di seguito vediamo alcune  tipologie comuni.

Tipologie di ransomware

Nonostante i ransomware possano comportarsi in modo diverso da caso a caso, generalmente si suddividono nelle seguenti categorie:

  • Locker: impediscono l'accesso ai file con una schermata. A volte minacciano la perdita dei file con un conto alla rovescia, nella speranza che l’utente agisca d’impulso e paghi subito il riscatto.
  • Crypto: simili ai locker, ma crittografano i dati rendendoli inutilizzabili. Viene chiesto denaro in cambio della chiave di decriptazione.
  • Leakware: raccolgono informazioni sull'utente, come password, numeri di carte di credito e altri dati personali, ricattando l’utente di divulgarli. In alcuni casi corrompono anche i dati.
  • Scareware: spaventano l’utente dicendo che il computer è infettato o che esiste un problema grave. Propongono quindi l’acquisto di un software come soluzione, che in realtà potrebbe contenere un altro malware.

I ransomware più famosi

I ransomware sono in continua evoluzione e nuove varianti vengono create ogni giorno. Nonostante gli antivirus rilasciano aggiornamenti continui e i sistemi operativi introducono nuove misure di sicurezza, alcuni riescono a diffondersi causando danni enormi. Tra i più famosi ricordiamo:

  • WannaCry: tipologia crypto diffusa nel 2017 che ha colpito più di 200.000 utenti, tra cui aziende famose come FedEx e Honda. Servendosi di una falla nel protocollo SMB (Server Message Block) di Windows, si introduceva nel computer e iniziava a crittografare i file sul disco rigido. Nonostante sia stato neutralizzato in poche ore, molte vittime hanno pagato il riscatto in Bitcoin. Si stima che abbia causato danni per 4 miliardi di dollari.
  • Petya: comparso nel 2016, criptava la Master File Table di Windows, rendendo illegibile l’ordine dei file sul disco. Anche in questo caso l’utente doveva pagare un riscatto in Bitcoin. Si è diffuso tramite la posta elettronica, inviando false mail con link ad allegati infetti.
  • NotPetya o Petya 2.0: simile a Petya nel funzionamento ma più dannoso, usava la stessa falla di Wannacry per entrare nei sistemi e criptava tutto l’hard disk anziché solo l’MFT. Ha causato danni a organizzazioni in tutto il mondo, tra cui la catena di supermercati Tesco e l'azienda di logistica Maersk e TnT. Quest’ultima ha riportato danni per 300 milioni di dollari. A differenza di Petya, notPetya si può considerare un wiper, in quanto cancella i dati completamente anche a riscatto pagato.
  • Locky: locker diffuso nel 2016  attraverso mail con allegati in formato Excel o Word. Ha colpito sia sistemi Windows che Mac, diventando uno dei ransomware più diffusi. E’ noto per crittografare i dati in diversi formati e per utilizzare un algoritmo difficile da decriptare, spingendo le vittime a pagare un riscatto alto, tra 0,5 e 1 Bitcoin.
  • Ryuk: software molto pericoloso capace di eludere le protezioni anti-malware. Non solo è in grado di crittografare i dati, ma anche le unità e le risorse di rete. Può anche individuare e disattivare i file di backup e il ripristino di sistema di Windows, rendendo complicato il processo di recupero.
  • REvil: appartenente alla categoria double-extortion, che cripta i dati e minaccia di renderli pubblici, è stato distribuito da un’organizzazione RaaS nel 2020. E' noto per aver infettato diverse aziende e organizzazioni americane spingendo la Casa Bianca e l’FBI a indagare. Il colosso statunitense JBS fu costretto a pagare 11 milioni di dollari per riavere i dati. 

Differenza tra ransomware e malware

I termini ransomware e malware vengono a volte scambiati. In verità, i malware (malicious software) sono un’ampia categoria di programmi creati per danneggiare un sistema informatico, tra cui rientrano i ransomware. Le modalità di trasmissione sono simili, gli obiettivi e il funzionamento sono invece diversi e possono essere: rubare dati, installare virus, o danneggiare il sistema operativo. In alcuni casi provocano danni all'hardware, ad esempio sabotando il funzionamento della CPU e della ventola. Oppure modificando i driver di un componente e rendendolo inutilizzabile. Tra i malware più comuni ci sono:

  • Trojan: sono programmi camuffati, a volte passano inosservati o come innocui, ma in realtà rubano informazioni o installano altri malware.
  • Keylogger: registrano i tasti digitati dall'utente per rubare password o altre informazioni personali, come i numeri delle carte di credito.
  • Spyware: spiano l'utente sul computer per raccogliere informazioni personali, come le attività, le ricerche su internet o l'utilizzo di software, per poi rivenderle a fini pubblicitari.
  • Wiper: cancellano, sovrascrivono o criptano i dati in modo irreversibile. Alcuni possono impedire l’avvio del computer corrompendo il Master Boot Record (MBR), oppure l’accesso ai file modificando la La Master File Table (MFT) di Windows. Talvolta i wiper chiedono il riscatto come i ransomware, cancellando comunque i dati anche in caso di pagamento. 

La differenza principale tra ransomware e malware è che il ransomware mira a bloccare i dati, mentre il malware ha obiettivi diversi. Inoltre, il ransomware chiede denaro per riavere i dati, mentre il malware può avere come unico scopo il recare danni.

Come proteggersi 

Quando si tratta di ransomware, è meglio prevenire un attacco anzichè rimediare. Per rafforzare le difese è possibile adottare una serie di misure:

  • Mappare le risorse in rete: sia che si tratti di protocolli di rete che di software, è utile identificare i punti più vulnerabili alle intrusioni.
  • Sicurezza delle mail: l’errore umano è spesso il punto di ingresso del ransomware perciò è fondamentale evitare l'apertura di allegati sospetti o fare clic su collegamenti sconosciuti. I dipendenti responsabili della posta elettronica andrebbero formati sulle più comuni tattiche di phishing.
  • Download sicuri: prima di scaricare un file, bisogna sempre verificare che i siti web siano fidati e che utilizzino il protocollo https.
  • Sorveglianza attiva: consiste nel monitorare i login falliti e la presenza di software sconosciuto. Se viene rilevata un'attività sospetta, la disconnessione immediata dal web può arrestare il processo di crittografia.
  • Mostrare le estensioni dei file: i truffatori potrebbero tentare di utilizzare file con estensioni miste tipo .doc.exe. Questi file sono applicazioni a tutti gli effetti e sono da notificare al responsabile della sicurezza. Per evitare di essere ingannati, è possibile attivare la funzione di Windows che mostra l’estensione completa.
  • Scansione dei file compressi: comprimere i file è un'altra tattica usata da chi distribuisce ransomware. Impostare l’antivirus per la scansione di formati compressi permette di verificare che il contenuto sia sicuro.

Queste misure possono essere applicate sia negli ambienti di lavoro singoli che collettivi. La protezione ideale è data da un comportamento prudente unito alla sorveglianza e all'aggiornamento dei sistemi di sicurezza.

Come proteggere i NAS

Una delle misure efficaci per proteggere i NAS è scaricare gli aggiornamenti sulla sicurezza. Lo stesso andrebbe fatto con il sistema operativo in modo da mantenere il firewall resistente agli accessi non autorizzati. Altre protezioni consigliate sono:

  • Creare una gerarchia di permessi: gli accessi completi a tutti gli utenti dovrebbero essere evitati, così come gli account amministratori predefiniti. La maggior parte dei dipendenti non ha bisogno di accedere a tutti i file e il loro account può essere limitato a seconda delle responsabilità. Chi accede come amministratore dovrebbe inoltre cambiare la password di default con una complessa e resistente ad attacchi brute force.
  • Controllo degli indirizzi IP: i tentativi di accesso falliti devono essere analizzati perché potrebbero essere un segnale di attacco.
  • Backup offline: il NAS in sé non sempre è una soluzione di backup sicura. Se il ransomware riesce a penetrare, tutte le unità potrebbero essere crittografate rischiando di dover pagare il riscatto. I backup dovrebbero essere fatti anche su unità esterne, utilizzando un software per salvare e sincronizzare i dati quotidianamente.

Come recuperare i dati dopo un attacco

Se il ransomware ha attaccato il sistema, è possibile contenere i danni adottando alcune misure. Ma conviene pagare il riscatto? Come successo in passato, cedere alla richiesta dei criminali non garantisce la restituzione dei dati e potrebbe incoraggiare a ripetere gli attacchi. Non bisogna dimenticare che questi malware sono usati anche da chi ha la sola intenzione di distruggere o divulgare i dati. Per contenere i danni è buona norma:

  • Identificare i computer infetti: scollegando tali sistemi è possibile limitare il contagio
  • Risalire al tipo di ransomware: con qualche ricerca in rete è possibile riconoscere la tipologia (locker o crypto) e di conseguenza scegliere come recuperare i dati, tentando anche la decrittografia.
  • Determinare l'entità del danno:  se il danno è contenuto e i file non contengono informazioni rilevanti, l'ipotesi di pagare il riscatto potrebbe essere scartata. 

A seguito dei primi interventi di contenimento, inizia la strategia di recupero dati che, data la delicatezza, andrebbe sempre seguita da un professionista. Tra gli interventi più comuni ci sono:

  • Riportare i sistemi operativi ad un punto di ripristino precedente: questo può essere fatto se il computer non è completamente bloccato e i ransomware non ha disattivato tale funzionalità.
  • Decrittografare i file:  se il ransomware è conosciuto, è possibile ottenere la la chiave per decrittografare i file, attraverso metodi o software resi pubblici per aiutare i malcapitati.
  • Tentare di recuperare i file da disco: alcuni ransomware non sovrascrivono, ma aggiungono zero e dati casuali. In questo caso è necessario scansionare l’unita e identificare i file originali. 
  • Ripristinare i file da un backup esterno.

Questi sono solo alcuni tipi di intervento e ogni criticità andrebbe analizzata caso per caso. In base alla quantità di file e al tipo di ransomware, un professionista sceglie le misure contenitive e la soluzione di recupero dati migliore. 

Recupero Dati Professionale

Data Recovery Specialist

Data Recovery Specialist
Pezzi di ricambio ransomware
20.000

Pezzi di ricambi immediatamente disponibili

recensioni di ransomware
4.7

Trustscore sulle recensioni Truspilot

esperienza nel ransomware
22

Anni di esperienza al vostro servizio

Percentuale di successo nel ransomware
90+%

Percentuale di successo nel recupero dati

I nostri servizi

Scegli da dove vorresti recuperare i tuoi dati

Hard Disk

Hard Disk

Siamo specializzati in servizi professionali di ripristino degli hard disk - ci riteniamo i numeri 1 di italia anche sol servizio Second Opinion.  Indipendentemente dal fatto che il disco rigido stia facendo clic, rumori anomali, non si stia accendendo che sia caduto, fino alla formattazione.

SSD

SSD e NVME

I dischi SSD e NVME posso essere recuperati con varie metodologie tra cui lavorazioni del firmware specializzate, fino al chip-off.

SQL

SQL

Ecco solo alcuni dei servizi offerti dai nostri laboratori: Riparazione  di  MS SQL, MySQL Data Recovery, Access Database.

Server e RAID

Server e RAID

Siamo gli specialisti del recupero dati RAID, recuperiamo dati da RAID 0,1,5,6,10 e altri RAID. Siamo in grado di recuperare dati da Dell, HP, IBM, Acer, per nominrane solo alcuni.

Database

Database

Possiamo aiutarti con tutte le tue esigenze di recupero dati. Alcuni dei servizi di recupero che offriamo includono la ricostruzione di database.

Virtualizzazione

Virtualizzazione

La virtual machine non funziona?
Possiamo ricostruire qualsiari raid con FS VMFS e presenza di Vm e LUNs.

Nas

Nas

Dopo un ampio esame, i nostri specialisti hanno creato strategie native che garantiscono il più significativo recupero dei dati dai sistemi NAS.

Memory Card

Memory Card

La scheda memory card non funziona?
Recupera i dati da diversi tipi di schede di memoria utilizzate nelle fotocamere professionali.

Pendrive

Chiavetta usb

La  chiavetta usb non funziona?
Recuperiamo i dati da diversi tipi e modelli di memory stick USB.

Le recensioni dei nostri Clienti sono il nostro orgoglio più grande:

5 out of five star rating on Trustpilot
Recensione verificata
Scopri di più sui diversi tipi di recensioni
Verificata
Bravissimi hanno recuperato tutto…
Bravissimi hanno recuperato tutto quello che avevo perso
5 out of five star rating on Trustpilot
Recensione verificata
Scopri di più sui diversi tipi di recensioni
Verificata
Competenti e veloci
Come da titolo, competenti e veloci.
5 out of five star rating on Trustpilot
Recensione verificata
Scopri di più sui diversi tipi di recensioni
Verificata
Affidabilità garantita
Affidabilità garantita, disponibilità per ogni chiarimento lavoro riuscito
5 out of five star rating on Trustpilot
Recensione verificata
Scopri di più sui diversi tipi di recensioni
Verificata
Servizio trasparente
Servizio trasparente, efficace e al giusto prezzo.
5 out of five star rating on Trustpilot
Recensione verificata
Scopri di più sui diversi tipi di recensioni
Verificata
velocita' competenza
velocita' competenza
5 out of five star rating on Trustpilot
Recensione verificata
Scopri di più sui diversi tipi di recensioni
Verificata
Ottimo servizio
Personale disponibile, preparato e cordiale. Sono riusciti a recuperare il 90% di qua ...
 
CHI CI HA SCELTO:
Consorzio Interuniversitario Nazionale per la Scienza e Tecnologia dei Materiali
Gazzetta di Parma
Cigno Verde Cooperativa Sociale
Clevertech SPA
Comune di Sant Ilario Enza
Comune di Bibbiano
Ingegneria Industriale Università Di Padova
Cia Agricoltori Italiani
Previous Next