Ransomware, cosa sono (ripasso) e lista dei Top 2021

I Ransomware rappresentano una famiglia di malware che tipicamente va a cifrare file di vario genere con una chiave di encryption molto robusta, talmente robusta da non poter essere scoperta ed attaccata, nemmeno mettendo a disposizione hardware estremamente performante. Quando i file vengono cifrati, questi ultimi non si riescono più ad aprire in alcun modo e a video compare un messaggio dove viene presentata una richiesta di riscatto per poter riavere i file in chiaro (da qui la parola RANSOM = riscatto in italiano).

Tipicamente la richiesta di riscatto pone un limite di tempo nei confronti dell’azienda colpita dal Ransomware al fine di poter essere esaudita e il pagamento effettuato in Bitcoin o altre cryptovalute, minacciando la cancellazione della chiave privata utilizzata per la cifratura e rendendo quindi impossibile decriptare i file.

Ransomware

Top 10 Ransomware 2021, ecco la lista

Partendo dal presupposto che esistono migliaia di Ransomware e relative varianti, ad oggi possiamo ipotizzare una lista dei TOP 10 Ransomware e relative estensioni utilizzate dai malware per la cifratura dei file:

  • STOP Ransomware (.STOP, .Puma, .Djvu, .Promo, .Drume)
  • Dharma ransomware (<id>-<id***>.[<email>].dharma, .wallet, .arena)
  • Original CryptoWall Ransomware
  • TeslaCrypt (.VVV, .CCC, .EXX, .EZZ, .ECC, etc)
  • Phobos Ransomware (<ID>-<id***>.[<email>].phobos, .Adame, .help)
  • GandCrab Ransomware Help & Support Topic (.GDCB, .CRAB & CRAB-DECRYPT.txt)
  • Locky Ransomware (Lukitus) Support and Help Topic – Lukitus.html
  • eCh0raix Ransomware – QNAPCrypt/Synology NAS (.encrypt)
  • Scarab / Mich78 Ransomware (.scarab, .scorpio, .[mich78@usa.com])
  • Cr1ptT0r Ransomware (_FILES_ENCRYPTED_README.txt)

Top ransomware 2021

Sei stato infettato da un Ransomware?

Se hai subito un attacco Ransomware contattaci subito.

Quali sono i danni che un ransomware può fare sulla tua azienda?

Da un punto di vista puramente tecnico, un attacco ransomware comporta per una azienda due problemi principali: la perdita di dati e un downtime dei servizi erogati.

La perdita dei dati è sicuramente il problema più evidente; infatti tramite l’attività svolta dai malware, quest’ultimo potrà crittografare dati aziendali di qualsiasi natura (commerciali, aziendali, personali) e senza particolari distinzioni per quanta riguarda le tipologie e i contenuti dei files. In alcuni casi la perdita di questo tipo di dati, ha comportato addirittura la chiusura dell’azienda, che non avevano backup, nè tantomeno la disponibilità per procedere al pagamento del riscatto richiesto, a seguito dell’infezione ransomware.

Cryptolocker

Inoltre, anche a seguito del pagamento del riscatto in crypto-valute, non vi è la garanzia e la certezza che la chiave di decryption funzioni a dovere, oppure si verifichi la situazione in cui “oltre al danno, anche la beffa”.

Oltre al problema dell’accesso ai dati, per le aziende c’è un altro elemento da considerare: il d dei servizi erogati a livello informatico. Infatti un attacco di questo tipo può paralizzare completamente il funzionamento di un’azienda, impedendo agli utenti di lavorare sui sistemi e gli applicativi aziendali. Senza contare poi, anche il danno di immagine nel momento in cui si dovrà spiegare agli utenti cosa è successo e verosimilmente poi la notizia verrà resa pubblica.

Per natura, le infezioni da ransomware sono piuttosto rumorose. Se ti ritrovi dalla parte sbagliata di un attacco, verrai informato su ciò che sta accadendo e i tuoi clienti impareranno che anche qualcosa non va.

Un’infezione da ransomware può interrompere completamente il funzionamento di un’azienda e impedirne il servizio ai suoi utenti. Inevitabilmente, la causa del problema sarà resa pubblica e creerà il seme di incertezza nei tuoi utenti che presumeranno che la tua azienda non si prenda particolarmente cura della sicurezza dei loro dati. Ciò significa che è estremamente importante affrontare la situazione nel modo più rapido ed efficiente possibile.

CyberSecurity

Cosa fare a seguito di un attacco ransomware riuscito?

Ecco alcune regole di base da adottare a seguito di un attacco ransomware:

1) Non improvvisatemi tecnici informatici e intraprendete questa strada in solitaria: potreste causare più danni del malware stesso.

2) Cercate di circoscrivere l’infezione all’interno dell’azienda, in modo da salvaguardare altri sistemi non ancora colpiti dal malware.

3) In alcuni casi potrebbe senso anche spegnere alcuni sistemi se non ancora “attaccati”, poichè non c’è sistema più sicuro di un sistema spento 🙂

4) Affidarvi ad un’azienda informatica con esperienza in ambito sicurezza informatica.

Sicurezza informatica

8 tecniche per progettersi dai Ransomware

Ora che abbiamo visto come funzionano gli attacchi ransomware e come possono bloccare le aziende, proviamo a individuare delle possibili protezioni.

È importante sottolineare che, rispetto agli attacchi più recenti, è alquanto improbabile trovare un decrypter per la chiave specifica e quindi il modo migliore per proteggersi da questo tipo di attacco, è quello di mettere in pratiche delle strategie di prevenzione.

Prevenzione Ransomware

1. Innanzitutto, è molto importante formare costantemente il personale sulle evoluzioni dei programmi malevoli; se le persone fossero più prudenti prima di aprire un allegato, il rischio di essere infettati da un ransomware diminuirebbe notevolmente. Quindi, suggeriamo di non aprire mai gli allegati di mail sospette, non visitate siti web strani e non scaricate programmi da siti che non siano i siti web ufficiali dello sviluppatore e gli store. Il mittente della mail può essere camuffato, con contatti che potreste conoscere, quindi bisogna sempre porre la massima attenzione alla provenienza delle email e agli eventuali allegati presenti. I cyber criminali si preparano per mesi per i loro attacchi, quindi è bene ricordarsi che essi preparano le email in maniera tale da trarre in inganno chi le riceve.

2. È altrettanto importante effettuare regolarmente il backup dei fileInoltre, suggeriamo di tenere un backup di tutti quanti i dati staccato dalla rete locale o con la possibilità di scriverci solo in determinati orari del giorno. Così, anche se il ransomware riesce ad accedere ad una delle macchine all’interno della rete, non sarà in grado di collegarsi al server di backup e bloccare l’unica fonte di dati che tutta la rete aziendale ha a disposizione.

3. È altamente consigliato installare un buon antivirus.

4. Un’altra strategia per difendersi da questa tipologia di malware è effettuare una verifica a intervalli regolari dello stato di sicurezza della propria rete aziendale.Con ciò intendiamo affidarsi ad esperti di cyber security, che facciano attività di Penetration Test e Vulnerability Assessment che sono essenzialmente delle simulazione di attacchi volte ad identificare le falle all’interno di un sistema con lo scopo ultimo di rimuoverle.

5. Suggeriamo anche di creare account utenti standard per ogni dipendente da usare per il lavoro quotidiano. Con ciò intendiamo che, quando si lavora in Windows, per le attività di tutti i giorni, suggeriamo di utilizzare un account utente dotato di privilegi standard, ossia limitato rispetto agli account amministratori. In caso di infezione da ransomware il danno sarebbe più limitato ai soli file dell’utente in uso, l’aggressione non potrebbe diffondersi altrove. L’account amministratore dovrebbe essere utilizzato solo per le attività che ne richiedono strettamente l’utilizzo.

6. Bisogna attivare la visualizzazione delle estensioni conosciute in Windows e non fare mai doppio clic sui file con una doppia estensione. Questo perché uno degli espedienti più utilizzati in assoluto dagli aggressori informatici è inviare email con allegati malevoli contraddistinti da una doppia estensione.

7. Bisogna prestare anche molta attenzione ai file che si scaricano dai social, in quanto anche gli stessi social network sono sempre più utilizzati dai criminali informatici per diffondere i ransomware e malware.

8. Un altro metodo è sicuramente quello di applicare tutte quante le patch di sicurezza, ovvero tenere i propri software costantemente aggiornati. Per esempio, l’arsenale creato dall NSA, a cui abbiamo accennato prima, sfrutta delle falle all’interno dei sistemi che sono note e quindi ormai sono state risolte. Per cui applicando le patch contenute negli aggiornamenti si rendono completamente inefficaci queste armi digitali. È anche importante tenere aggiornati il browser e tutti i plugin da questo utilizzati.