La prima infezione da ransomware ha attirato l’attenzione nel 2013, crescendo sempre più da allora.

Oggi i ransomware sono una delle minacce online più comuni che affliggono gli utenti in internet e le aziende di ogni dimensione.
Concordando con il Verizon 2017 Data Breach Investigations Report (DBIR), i ransomware sono i top malware in quanto a varietà della Crimeware per il 2016.

Che cos’è un Ransomware e come funziona?

Le infezioni da Ransomware risultano comunemente come una crittazione dei dati archiviati nei sistemi dei computer. Però certi tipi di ransomware bloccano l’accesso ai dati senza una crittografia o eventualmente possono anche rilasciare dati online in modo che tutti possano vederli. Successivamente gli hacker richiedono al ransomware di riportare tutto allo stato originale e di ripristinare i dati degli utenti, una volta effettuata la transazione di pagamento. Il costo del riscatto di un ransomware varia dai 150 ai 500 dollari ad individuo fino a migliaia di dollari per le aziende. L’aspetto peggiore del ransomware è quello che non si ha la certezza di avere i dati indietro una volta effettuato il pagamento.

Gli esperti di sicurezza hanno classificato quattro macro-categorie di ransomware:

  1. Encrypting ransomware
  2. Non-encrypting ransomware
  3. Leakware
  4. Mobile ransomware


Encrypting ransomware

Gli Encrypting ransomware usano un algoritmo di crittografia RSA che crittografa tutti i dati della vittima o l’intero hard drive e successivamente richiede un riscatto per sbloccare i file crittografati. I ransomware sono diventati prominenti nel 2013 con una nuova versione chiamata Cryptolocker. Cryptolocker è stata la prima versione a richiedere un riscatto in bitcoin per avere la chiave di decrittazione per i dati crittografati.


L’ultima versione del crypto-ransomware è il ransomware di siti web, cioè un particolare tipo di malware che ha come target i siti web. Ha un’influenza limitata quando l’attacco ha inizio e infetta solamente i file del sito, quindi non intacca i database. Dopo che l’attacco è avvenuto i file nel server diventano inaccessibili e l’homepage viene deturpata con un warning che comunica che il sito è stato preso in ostaggio.

Leggi la guida Step-by-step di Netwrix per imparare come liberarti dell’encrypting ransomware basato su un esempio reale.

Non-encrypting ransomware

I Non-encrypting ransomware non eseguono la crittografia dei dati presenti nel sistema. Il suo metodo potrebbe essere differente ma le versioni più comuni dei non-encrypting ransomware sono:

  • Ransomware che entrano nel sistema della vittima, visualizzano immagini pornografiche e offrono la possibilità di liberarsi di questo display se l’utente invia un messaggio a tariffa. Dopo aver pagato il ransomware l’utente riceve il codice che sblocca la macchina e interrompe la visualizzazione di immagini pornografiche.
  • Un worm ransomware che usa l’avviso dell’attivazione del prodotto Windows per ingannare gli utenti. Questo malware informa gli utenti che l’installazione di Windows deve essere riattivata. Però il link rimane non disponibile. L’utente chiama successivamente il numero di assistenza scritto nell’avviso, dichiarato come servizio gratuito. Difatti la chiamata viene effettuata ad un numero internazionale che mette gli utenti in attesa per un lungo periodo di tempo. Il risultato è un grande ammontare di denaro perso dalla vittima del ransomware.


Leakware

Leakware è una forma di ransomware relativamente recente. Può essere pensato come l’opposto dei classici ransomware. I Leakware non bloccano i dati delle vittime ma le minacciano di pubblicare online informazioni rubate. Generalmente i file rubati contengono informazioni che potrebbero rovinare la reputazione della vittima. I danni al business causati da un Leakware possono essere enormi. Perciò le vittime di solito pagano il ransomware per salvare i loro dati sensibili e la loro reputazione. Siccome è possibile contrastare i ransomware tradizionali tenendo dei backup o formattando l’hard drive gli hacker hanno iniziato a preferire i leakware sempre di più. La minaccia del rilascio di informazioni confidenziali al pubblico è una motivazione migliore rispetto alla sola crittografia dei dati per richiedere un riscatto. Un tipico esempio di Leakware è mostrato in uno degli episodi della serie TV Black Mirror.

Mobile ransomware

Il Mobile ransomware è un tipo di malware che affligge i device mobili. Blocca lo schermo del device o ruba dati sensibili e successivamente richiede un riscatto per sbloccare il dispositivo o restituire i dati all’utente. L’attacco inizia con un download di contenuti presumibilmente innocenti o di servizi critici. Dopo che il malware è stato scaricato nel device mostrerà un falso messaggio accusando la vittima di aver violato una legge (per esempio, usare materiale con copyright) prima di crittografare i file e bloccare il dispositivo. Dopo che il ransomware ha ricevuto il riscatto, comunemente via bitcoin, il ransomware invierà un codice per sbloccare il telefono e decrittare i dati.

Le infezioni Ransomware più pericolose 

Incoraggiati dalla profittabilità del ransomware, i criminali hanno portato questa minaccia ad un livello superiore offrendo ransomware-as-a-service, che permette a chiunque, indipendentemente dalle proprie skill di programmazione, di aggiornarsi ad un modello di business encrypting ransomware.  Questo approccio è stato seguito da una serie di esperimenti su come viene fornito il ransomware e quanto richiede.
I cybercriminali hanno introdotto limiti di tempo per fare in modo che dopo lo scadere del timer i file vengano cancellati (Jigsaw, Koolova), ransomware che crescono con il tempo (Cerber) e anche opzioni per decrittare i file gratuitamente se la vittima diventa un attaccante per infettare altre persone (Popcorn Time).

Questi sono i nove ransomware più pericolosi e grandi del 2016-2017:  

#1 – Cerber

Emerso alla fine del febbraio 2016, Cerber è un malware ransomware che crittografa vari tipi di file inclusi .jpg, .doc, .raw, .avi, etc. Cerber aggiunge un’estensione .cerber ad ogni singolo file. In conseguenza all’infezione Cerber chiede un riscatto di 499 dollari in bitcoin per decrittografare i file. Il pagamento deve essere effettuato entro il tempo limite (sette giorni) altrimenti il riscatto verrà raddoppiato.

Avendo generato 2.3 milioni di dollari in un anno Cerber è attualmente uno delle top crypto minacce nel mondo, insieme al suo diretto competitor Locky. Cerber è venduto solamente negli underground dei forum russi e distribuisce il migliore standard di crittografia avanzata. Cerber ha istanziato quattro edizioni con vari miglioramenti durante gli otto mesi della sua operatività. Cerber è anche offerto nella forma di ransomware-as-a-service, che permette agli “affiliati” di distribuirlo in cambio del 40% di ogni transazione andata a buon fine.

#2 – Locky

Il ransomware Locky è stato scoperto nel febbraio 2016, e da allora, è stato inviato a milioni di utenti in tutto il mondo, inclusi 30 milioni di utenti amazon attaccati duranti il maggio 2016. Il ransomware viene distribuito tramite email di spam che contengono un allegato JavaScript. Il file .doc malevolo allegato alla email (risultante in una presumibile fattura da pagare) contiene un testo confusionario, che sembrerebbero macro. Quando l’utente abilita l’utilizzo di macro in Word viene scaricato un file eseguibile e i file dell’utente vengono crittografati.


Locky inoltre cambia tutti i nomi dei file con una stringa unica di 16 caratteri combinata con un’estensione come .aesir.thor.locky.zepto o .odin.
Così diventa praticamente impossibile l’identificazione dei file originali. Per decrittare i file le vittime devono pagare un riscatto che va approssimativamente dai 235 ai 470 dollari in bitcoin.

#3 – KillDisk

KillDisk è un distruttivo malware data-wiping che è già stato usato per sabotare aziende cancellando randomicamente file dai computer. Una volta nella rete, KillDisk identifica tutti i drive, locali o di rete, cui un utente ha accesso, il che significa che l’infezione di un utente può portare al blocco di numerosi altri utenti. KillDisk riesce a identificare non solo sistemi Windows ma anche macchine Linux, il che non è una cosa che vediamo tutti i giorni.


KillDisk probabilmente è il tipo di ransomware più costoso ad oggi – chiede un riscatto fino a 247,000 dollari in bitcoin. Da notare che la versione Linux di KillDisk non archivia la chiave di decrittazione da nessuna parte, quindi anche se si paga una grandissima quantità di denaro i criminali non sono in grado di fornire la chiave di decrittazione e di riportare i file al loro stato originale.

#4 – Petya

Scoperto nel Luglio 2016, Petya è stato uno dei primi tipi di ransomware ad avere successo diffondendosi tramite uno schema ransomware-as-a-service. Petya individua come target principalmente utenti business. Per esempio un impiegato HR riceve un email contenente un link di Dropbox camuffato da falso curriculum vitae. In realtà è un .exe che contiene un eseguibile auto-estraibile che successivamente infetterà il sistema. A parte la crittografia dei file Petya blocca le funzioni di tutto il sistema e rimpiazza il reboot del computer con un codice di reboot malevolo; Le vittime sono forzate a pagare un riscatto di 400 dollari per riavere l’accesso al computer.

In accordo con le ultime news, Petya ora arriva in una forma altamente modificata chiamata PetrWrap. Il trojan PetrWrap trasporta un esempio del ransomware Petya incorporato in sé stesso e lo usa per infettare la macchina della vittima. PetrWrap implementa la sua routine di crittografia e modifica il codice di Petya in runtime per controllare la sua esecuzione, permettendo ai criminali di nascondere il fatto che in realtà stanno utilizzando Petya.

Popcorn Time turns victims into attackers by giving them an option to pay a ransom or to infect two other people

#5 – Popcorn Time

Popcorn Time è un tipo di crypto-ransomware che combina lo schema di Ponzi, attivismi sociali e blackmail. Inizialmente scoperto da MalwareHunterTeam nel tardo 2016, il ransomware Popcorn Time è stato creato per dare alle vittime un metodo illegale di ricevere gratuitamente la chiave di decrittazione per i propri file e cartelle bloccati. Difatti Popcorn Time converte le vittime in attaccanti dando loro la possibilità di pagare il ransomware o di infettare altre due persone per farle pagare per la chiave.

Il ransomware Popcorn Time aggiunge l’estensione .filock eai file crittografati ed è capace di crittografare più di 500 tipi di file usando una chiave AES-256. Popcorn Time richiede alla vittima il pagamento di un bitcoin che attualmente vale 2802,34 dollari (circa 2498,30€).

Koolova’s victim has to read two articles about how to protect data against ransomware before the countdown reaches zero

#6 – Koolova

Koolova è forse la cosa più strana da aprire. Questo ransomware dichiara di ripristinare i tuoi file gratuitamente (come Popcorn Time). L’unica differenza è che la vittima non deve infettare altre persone per avere gratuitamente la chiave. Invece la vittima deve leggere due articoli su come proteggersi contro gli attacchi ransomware: Google “Stay safe while browsing” e Bleeping Computer “Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom”.

Una volta che il ransomware Koolova infettala macchina, crittografa i file e successivamente mostra un messaggio di avviso sullo schermo dove il messaggio invita l’utente ad aprire e leggere consapevolmente due post prima di fornire la chiave. Successivamente mostra uno schermo simile al Jigsaw Ransomware e avvisa alla vittima che se fosse troppo pigra per leggere i due articoli nel tempo limite cancellerà tutti file, e quest’ultimo non è uno scherzo visto che Koolova cancellerà veramente tutti i file.

#8 – Spora

Spora è un nuovo ransomware apparso nel Gennaio 2017. i suoi aspetti piu notevoli sono una solida routine di crittografia, la possibilita di lavorare offline e un sito di pagamento estremamente sofisticato. Spora è distribuito via e-mail di spam che si spacciano per fatture. Le e-mail arrivano con allegati ZIP contenenti file HTA(applicazioni HTML). Questi file contengono doppie estensioni come: PDF.HTA o DOC.HTA. Nei computer Windows,gli utenti vedono solo la prima estensione e possono essere facilmente ingannati ed invogliati ad aprire i file dannosi.
Spora sembra non abbia punti deboli nel processo di crittografia, ed ha un modello di prezzi unico. Il costo dell'intera decrittazione, che include la rimozione, il ripristino dei file e l'immunita contro future versioni di randsomware, è di circa 79-280 dollari in bitcoins. Il prezzo varia a seconda dell'opzione scelta dalla vittima: si può scegliere solo un'opzione (ripristinare i file, rimuovere il ransomware o ricevere l' immunita), oppure le vittime possono decrittografare gratuitamente solo due file. Le vittime hanno un tempo limitato per pagare il riscatto altrimenti le chiavi di decrittazione vengono permanentemente cancellate. Diversamente dagli altri ransomware , Spora non aggiunge un estensione alla fine dei file crittografati. Per evitare di avere macchine danneggiate al punto di essere inaccessibili agli utenti, Spora crittografa solo i seguenti tipi di file: .xls, .doc, .xlsx, .docx, .rts, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .lcd, .dbf, .sqlite, .accdb, .jpg, .jpe, .jpeg, .tiff, .zip, .rar, .7z and .backup.


#9 – WannaCry

L'ultima e probabilmente una delle peggiori catastrofi digitali come non accadeva da anni, WannaCry (noto anche come WannaCrypt, WannaDecrypt, WCry e WanaCryptOr 2.0) è emerso il 12 maggio 2017 e ha infettato più di 300.000 computer in 99 paesi. L'elenco delle organizzazioni colpite da questo attacco comprende notoriamente aziende come Renault, LATAM Airlines, Deutsche Bahn, FedEx e il Servizio Sanitario Nazionale del Regno Unito, nonché organizzazioni e dipartimenti governativi in tutto il mondo (ad esempio, il Ministero degli Affari Interni della Federazione Russa e Il Ministero degli Affari Esteri in Romania).
WannaCry utilizza l'exploit ETERNALBLUE, una parte dell'arsenale della NSA pubblicato nell'aprile 2017 dal gruppo hacker Shadow Brokers. WannaCry sfrutta la vulnerabilità nell'esecuzione di Microsoft del protocollo di condivisione dei file del server di messaggistica per individuare in remoto i computer che utilizzando versioni senza patch o non supportate di Windows e successivamente infetta i computer connessi alla stessa rete. Dopo la crittografia dei file, WannaCry pone un countdown di 3 giorni alle vittime per pagare il riscatto di 300 dollari in bitcoin; Altrimenti, l'importo del riscatto raddoppia, e dopo 7 giorni tutti i dati vengono eliminati.

Spaventato? Scopri le best practise per proteggere i tuoi dati contro i ransomware