Cos’è e come si prende un ransomware

I ransomware sono programmi dannosi che bloccano l’accesso ai file e/o ai sistemi informatici dell’utente e richiedono un pagamento per ripristinare l’accesso. Ecco alcune delle modalità più comuni per prendere un ransomware:

• Tramite email di phishing:
  gli hacker possono inviare email che sembrano provenire da fonti affidabili o legittime, ma che in realtà contengono allegati infetti o link dannosi.
• Attraverso siti web compromessi:
  gli hacker possono inserire un codice malevolo all’interno di siti web legittimi per infettare i visitatori del sito.
• Tramite exploit di vulnerabilità del software:
  gli hacker possono sfruttare le vulnerabilità dei software non aggiornati o non corretti per infiltrarsi nei sistemi informatici e installare il ransomware.
• Attraverso dispositivi USB infetti:
  gli hacker possono infettare i dispositivi USB con il ransomware e lasciarli in luoghi pubblici dove le persone possono prenderli e inserirli nei propri computer.

Per evitare di prendere un ransomware, è importante adottare alcune misure di sicurezza come mantenere il software sempre aggiornato, evitare di cliccare su link o allegati sospetti in email, evitare di visitare siti web sospetti o non sicuri, utilizzare software antivirus aggiornato e fare il backup regolare dei propri dati in modo da poter ripristinare i file in caso di attacco ransomware.

Le e-mail di phishing (che ci invitano a cliccare su un determinato link o a scaricare un certo file) continuano ad essere la modalità più diffusa, che sfrutta la scarsa attenzione e la mancanza di consapevolezza degli utenti.

Spesso il messaggio di posta elettronica viene mascherato in modo che risulti inviato da qualcuno di cui ci fidiamo, ad esempio un collega di lavoro (con la tecnica nota come “spoofing”). In altri casi, cybercriminali sfruttano vulnerabilità presenti nei vari programmi – come Java o nei diversi sistemi operativi.

In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione.

I vettori d’infezione utilizzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware:

• Il più diffuso, perché purtroppo continua a funzionare molto bene, sono le email di phishing:
  attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 75% dei ransomware. A tutti noi sarà capitato di ricevere email da spedizionieri, o con false bollette allegate. Sono evidentemente e-mail di phishing, ma le statistiche ci dicono che nel 10% dei casi questi messaggi vengono aperti dagli utenti ed addirittura, secondo il Verizon Data Breach Investigation Report, in circa il 2-5% dei casi vengono cliccati anche gli allegati o i link presenti nelle email permettendo così l’infiltrazione del malware.
• Attraverso la navigazione su siti compromessi:
  il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa) da siti nei quali sono stati introdotti, da parte di attaccanti che sono riusciti a violare il sito o che hanno realizzato appositamente siti fake simili ad altri più noti, exploit kit che sfruttano vulnerabilità dei browser, Java o altri. I cybercriminali compromettono ed infettano (con JavaScript, HTML, exploit) i siti visitati dalle potenziali vittime. In questo caso muta lo scenario poiché è la vittima ad andare nel sito infetto e non l’attaccante a sollecitarne la visita attraverso una email. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su siti malevoli, diversi dall’originale, ove avverrà il download del malware.
• Usando un supporto rimovibile:
  per esempio una chiavetta USB contenente il software malevolo. Questa tecnica si chiama “baiting” (esca) e – così come le email di phishing – fa leva sul fattore umano e sulla curiosità delle persone. In pratica viene lasciato incustodito in un luogo comune (ingresso dell’azienda, mensa, parcheggio ecc.) un supporto di memorizzazione come una chiavetta USB o un hard disk contenenti malware (che si attiveranno appena l’oggetto sarà collegato al computer). E la curiosità umana fa sì che in molti casi questa esca (bait) funzioni e la persona inserisca la chiavetta sconosciuta nel proprio computer.
• All’interno (in bundle) di altri software che vengono scaricati:
  per esempio programmi gratuiti che ci promettono di “crackare” software costosi (spesso anche videogiochi) per utilizzarli senza pagare. È una pratica che oggi è diventata assai pericolosa, perché il crack che andremo a scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe essere anche una brutta sorpresa. Nei primi mesi del 2021 si segnalano campagne di ransomware che vengono veicolati attraverso versioni craccate (quindi gratuite) di noti programmi a pagamento, soprattutto Microsoft Office e Adobe Photoshop CC.
• Attacchi attraverso il desktop remoto (RDP):
  Remote Desktop Protocol, posizionato in genere sulla porta 3389): sono attacchi con furto di credenziali (per accedere ai server attraverso RDP e prenderne il controllo. I computer ed i server con RDP attivo ed esposti in rete sono soggetti ad attacchi mirati ad ottenere le credenziali di accesso (in genere con attacchi di tipo brute force). Una volta ottenuto l’accesso al sistema, il cyber criminale potrà eseguire varie operazioni, quali: furto di credenziali e dati e – appunto – iniezione del ransomware.
• Attraverso lo sfruttamento di vulnerabilità:
  Cito solo due casi molto famosi: il celebre WannaCry del maggio 2017 (che utilizzava la vulnerabilità del protocollo Windows Server Message Block versione 1.0 (SMBv1) e l’attacco del marzo 2021 che ha utilizzato vulnerabilità di Microsoft Exchange Server (il software che aziende e organizzazioni in tutto il mondo utilizzano per gestire email e calendari) per distribuire ransomware dopo la compromissione dei server. Microsoft ha assegnato a questa nuova famiglia di ransomware il nome Win32/DoejoCrypt.A. (o anche, più semplicemente, DearCry). L’attacco sembra partito dal gruppo di cyber criminali cinesi denominato Hafnium e sfrutta le vulnerabilità zero-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime, accedendo alle caselle di posta elettronica delle aziende per sottrarne il contenuto e per iniettare malware.

Per questo motivo i ransomware rappresentano un attacco che si rivela pressoché immediatamente, perché l’obiettivo dei cyber criminali è quello di batter cassa.