I ransomware, prìncipi delle minacce informatiche, sono virus informatici che rendono inaccessibili i file dei computer infettati e chiedono il pagamento di un riscatto – in inglese ransom – per ripristinarli. Un tipo di cyber attacco estremamente redditizio e che – anche per questo – è molto cresciuto in questi ultimi anni.

Lo conferma il Rapporto Clusit 2021: i ransomware nell’anno 2018 rappresentavano il 23% di tutti i malware, nel 2019 sono diventati quasi la metà (46%) e nel 2020 sono arrivati al 67%. In pratica sono ransomware i due terzi degli attacchi.

Negli ultimi anni, gli attacchi ransomware sono cresciuti a dismisura. L’emergere degli attacchi WannaCry e NotPetya nel 2017 ha trasformato il ransomware in un incubo per la sicurezza.

Sebbene gli attacchi ransomware possano essere difficili da prevenire in modo proattivo, le aziende possono impedirne la diffusione ed evitare danni estesi implementando diverse misure difensive chiave, pur non potendo impedire la propagazione automatizzata di un payload ransomware.

PC Cyborg: Il primo ransomware della storia

Il primo attacco ransomware della storia: PC Cyborg

Nel 1989 il primo ransomware della storia fece il suo debutto. Battezzato “Pc Cyborg”, il malware bloccava il funzionamento del computer giustificandolo attraverso una presunta “scadenza della licenza di un non meglio specificato software”. Venivano richiesti 189 dollari per ripristinare il normale funzionamento. Era realizzato da Joseph Popp. Fu diffuso a un congresso sull’AIDS mediante floppy disk infetti consegnati ai partecipanti.

Il ransomware non ebbe una grande diffusione poiché le persone che al tempo possedevano personal computer erano poche, internet era una rete utilizzata solo dagli addetti ai lavori, la tecnologia di criptazione era limitata e i pagamenti internazionali erano molto macchinosi.

Col passare degli anni, tuttavia, questi virus sono diventati sempre più sofisticati: le chiave crittografiche utilizzate sono sempre più complesse da decifrare e il messaggio di alert compare nella lingua originale, grazie a tecniche di geo localizzazione.

Vediamo un po’ di storia dei ransomware più famosi:

  • Cryptolocker: 2013. Creato dal famoso hacker russo Evgeniy Mikhailovich Bogachev, inventore anche del malware Zeus e su cui FBI ha posto una taglia di 3 milioni di dollari. Con vari aggiornamenti, continua a colpire ancora oggi.
  • CryptoWall: inizio 2014.
  • CTB-Locker: metà 2014. Ha migliaia di varianti.
  • TorrentLocker: febbraio 2014.
  • Ransom32: fine dicembre 2015.
  • TeslaCrypt: febbraio 2015. A maggio 2016 gli autori hanno rilasciato la chiave Master Key ed hanno chiuso il progetto.
  • Locky: febbraio 2016 (via macro in file Word).
  • CryptXXX: inizio 2016 (attraverso pagine Web compromesse)
  • Petya: marzo 2016, con le sue numerose varianti, tra le quali GoldenEye.
  • Cerber: marzo 2016.
  • PokemonGo: agosto 2016. Nella richiesta di riscatto si presentava con l’immagine di Pokemon, allora molto di moda.
  • Popcorn: fine 2016 (dilemma: pagare o diffonderlo?).
  • WannaCry (maggio 2017): il più veloce a propagarsi, grazie ad una vulnerabilità di Windows.
  • NotPetya (giugno 2017): probabilmente quello che ha creato i danni maggiori a livello mondiale.
  • Bad Rabbit (ottobre 2017)
  • GandCrab, Ryuk (2018)
  • LockerGoga (2019) famoso per aver pesantemente colpito gli impianti industriali del colosso dell’alluminio Norsk Hydro
  • Anatova e MegaCortex (2019)
  • Maze (2019), che ha inaugurato la “double Extorsion” (la doppia estorsione).
Attacco ransomware: come contenerlo prima che si diffonda

La struttura di un attacco ransomware

Ogni attacco ransomware ha tre fasi: consegna, esecuzione e propagazione.

  • Consegna

In questa prima fase, il payload del ransomware viene inserito in un endopoint. Gli aggressori hanno una vasta gamma di metodi di consegna e vulnerabilità di sicurezza tra cui scegliere: in particolare e-mail di spam/phishing, mancanza di formazione sulla sicurezza informatica, password deboli ecc…

Per proteggersi dalla distribuzione di ransomware, la maggior parte delle aziende utilizza un gateway di sicurezza della posta elettronica che gestisce e filtra tutto il traffico e-mail rilevando e rimuovendo i contenuti rischiosi o una piattaforma di protezione degli endpoint (EPP) che fornisce, appunto, una protezione completa dal ransomware poiché utilizza l’autenticazione a più fattori (MFA) sulle connessioni.

  • Esecuzione 

A questo punto, il payload inizia a funzionare, crittografando rapidamente tutti i file di dati. Sebbene esistano molte varianti di ransomware, WannaCry rimane il più attivo, minaccioso e costoso. Nel 2019 ha colpito il 21,85% degli utenti con danni per un totale di $ 4 miliardi in 150 paesi.

Per protezione, le aziende in genere utilizzano un EPP nella speranza che interrompa l’esecuzione di qualsiasi processo rilevato come ransomware.

  • Propagazione

La fase finale, in cui il ransomware viene copiato nel maggior numero possibile di macchine e nel più breve tempo possibile, tramite autenticazione con credenziali compromesse e preferibilmente su cartelle condivise.

Sfide di rilevamento e protezione

Una volta raggiunta l’ultima fase, il risultato è sempre un esteso danno. Questa fase è un punto cieco per le aziende perché nessuna soluzione di sicurezza può impedire la propagazione automatica.

La prima grande sfida è rilevare cosa sta facendo il ransomware utilizzando credenziali compromesse per eseguire un’autenticazione standard con un’altra macchina. Sebbene questa attività sia dannosa, sembra identica a qualsiasi autenticazione legittima nell’ambiente. Il provider di identità approverà la connessione perché non è in grado di distinguere tra autenticazioni legittime e dannose.

La seconda grande sfida, invece, è trovare un modo per bloccare le autenticazioni dannose in tempo reale.

Chiavi per sconfiggere il ransomware

L’unico modo per fermare il ransomware è creare o acquistare funzionalità che impediscano l’uso di credenziali compromesse. Questa operazione dovrebbe essere eseguita in tempo reale ed integrarsi con tutti i provider di identità in modo nativo.

Di seguito alcune linee guida per l’implementazione di misure difensive:

  • Continuous Monitoring

Questa funzionalità rivede ed analizza tutti i tentativi di autenticazione e accesso dell’account utente, creando precisi profili di comportamento delle normali attività degli utenti e dei loro endpoint. L’obiettivo: identificare comportamenti anomali e bloccare i tentativi di autenticazione ransomware.

  • Analisi dei rischi

Un risk assessment è essenziale per prevenire la propagazione automatizzata. Il risk assessment contrassegna automaticamente un comportamento anomalo ed aumentare il punteggio di rischio sia dell’account utente che della macchina.

  • Applicazione dinamica dei criteri di accesso

Questa funzionalità consente di modificare una policy di accesso in base a punteggi di rischio in tempo reale e potenziare l’autenticazione con MFA o addirittura bloccare l’accesso. In caso di propagazione automatica del ransomware, la policy richiede l’autenticazione a più fattori quando il punteggio di rischio di un account utente è elevato. Applicando una policy basata sul punteggio del rischio in tempo reale, è possibile prevenire la propagazione, limitando gli attacchi a un singolo endpoint.

Cybereason Mitre Attack

I trend per il 2022

I ransomware sono stati protagonisti del panorama di cybersecurity del 2021.  Per i primi 11 mesi del 2021, in Italia, il numero di attacchi ransomware mirati è quasi raddoppiato rispetto allo stesso periodo dell’anno precedente, aumentando dell’81%.

Gli obiettivi più comuni di questi attacchi sono rivolti ai settori governativo e industriale. Altri bersagli molto colpiti sono stati il settore IT e le istituzioni finanziarie.

“Abbiamo iniziato a parlare dei cosiddetti Ransomware 2.0 nel 2020, e quello che abbiamo visto nel 2021 è stato lo sviluppo di una nuova era di questo tipo di malware. Gli operatori di ransomware non stanno solo crittografando i dati; li stanno anche rubando da obiettivi critici su larga scala e stanno minacciando di divulgare queste informazioni nel caso in cui le vittime si rifiutino di pagare. Questa tipologia di minaccia sarà molto popolare anche per il prossimo anno”, ha commentato Vladimir Kuskov, Head of Threat Exploration di Kaspersky.

“Allo stesso tempo, ora che i ransomware appaiono anche sulle prime pagine dei giornali, le forze dell’ordine stanno lavorando duramente per abbattere i gruppi criminali più prolifici, come è successo quest’anno con DarkSide e REvil. Il ciclo di vita di queste bande si sta accorciando sempre di più e ciò significa che nel 2022 dovranno perfezionare le loro tattiche per continuare ad essere redditizie, soprattutto se alcuni governi renderanno illegale il pagamento di riscatti, una misura che al momento è in discussione”, ha aggiunto Fedor Sinitsyn, security expert di Kaspersky.

Per proteggere la propria azienda dai ransomware, gli esperti di Kaspersky consigliano di:

  • Non esporre i servizi di desktop remoto (RDP) alle reti pubbliche e proteggerli sempre con password complesse.
  • Installare sempre le patch disponibili per le soluzioni VPN commerciali.
  • Mantenere sempre aggiornati i software su tutti i dispositivi per evitare che i ransomware sfruttino le loro vulnerabilità.
  • Focalizzare la strategia di difesa sul rilevamento dei movimenti laterali e sull’esfiltrazione di dati su internet.
  • Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici.
  • Eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza.
  • Utilizzare le informazioni più recenti di Threat Intelligence per essere sempre al corrente dei TTP utilizzati dai threat actor.
  • Utilizzare soluzioni che aiutano a identificare e fermare gli attacchi nelle loro fasi iniziali.
  • Formare i dipendenti per proteggere l’ambiente aziendale.
  • Utilizzare una soluzione affidabile per la sicurezza degli endpoint basata sulla prevenzione degli exploit, il rilevamento del comportamento e un motore di risoluzione dei problemi in grado di annullare le azioni dannose.

La prevenzione degli incidenti ransomware richiede una solida posizione di sicurezza che comprenda l’applicazione tempestiva di patch grazie a servizi come il Vulnerability Assessment e Network Security Assessment e formazione sulla sicurezza degli utenti finali.

Tuttavia, una volta che il ransomware si è installato nell’ambiente, l’ultima linea di difesa consiste nel monitorare, valutare il rischio e bloccare le richieste di autenticazione dannose. Aumenta la sicurezza con i Cybereason MDR defenders che cacciano in modo proattivo le minacce, monitorano le attività dannose e intercettano gli attacchi 24x7x365 per mantenere la tua rete sicura.