Che cosa sono i ransomware, come si trasformano e come difendersi

I ransomware sono uno dei grandi protagonisti del panorama degli attacchi informatici degli ultimi anni. Che cosa siano i ransomware è quasi superfluo spiegarlo: saliti a ribalta qualche anno fa con i casi di WannaCry e Cryptolocker, sono software dannosi che infettano un dispositivo realizzando una crittografia dei suoi dati oppure bloccandolo con vari espedienti, per poi chiedere alle vittime il pagamento di un riscatto in denaro (solitamente in criptovaluta) in cambio della “liberazione”. Solitamente vengono diffusi tramite email, contenenti allegati infetti o link diretti verso siti Web malevoli, ma anche gli Sms, i social network e le applicazioni per smartphone possono essere un veicolo. Negli ultimi tempi, alla finalità del guadagno si è affiancata quella, più subdola, del furto di dati e sono comparsi sulla scena ransomware capaci di eseguire azioni di esfiltrazione dati.

La sottocategoria dei ransomware mirati identifica malware usati per estorcere denaro a obiettivi di alto profilo, come aziende, agenzie governative, enti pubblici centrali e locali. Tra le organizzazioni prese di mira, dall’anno scorso è notevolmente aumentata l’attenzione per quelle del settore sanitario, come ospedali, case farmaceutiche, agenzie come l’Ema, impegnate nell’iter di approvazione dei vaccini per il covid-19. I ransomware mirati presuppongono una certa abilità tecnica da parte degli autori dell’attacco e procedure come la compromissione della rete, la ricognizione, meccanismi di persistenza o movimento laterale. Le somme di denaro chieste come riscatto sono più alte.

"Il panorama dei ransomware è cambiato radicalmente rispetto ai primi attacchi”, ha commentato Fedor Sinitsyn, esperto di sicurezza di Kaspersky. “In futuro gli utenti comuni continueranno a essere presi di mira da campagne generiche, ma in misura minore. Le aziende e le organizzazioni di grandi dimensioni, invece, resteranno i target principali di attacchi ransomware sempre più sofisticati e distruttivi. È dunque necessario che le aziende adottino un insieme di pratiche di sicurezza olistiche e complete per proteggere i loro dati”.

I numeri del fenomeno ransomware

Già nel 2019, secondo le stime di Veeam  (“Veeam Ransomware Study 2019”), su scala globale i ransomware avevano fatto danni quantificabili in 20 miliardi di dollari, considerando i riscatti pagati, le interruzioni di attività e di servizi, i costi necessari per ripristinare i sistemi. L’anno dell’esplosione della pandemia, con la sua conseguente accelerazione digitale, ha esacerbato il problema. Dai monitoraggio di Bitdefender (“Consumer Threat Landscape Report 2020”) emerge che complessivamente, considerando tutte le sottocategorie, nel 2020 gli attacchi ransomware sono cresciuti del 485% rispetto al 2019, concentrandosi in particolar modo nel primo semestre dell’anno. E crescono anche le preoccupazioni nelle aziende: nel “2021 Vpn Risk Report” di Zscaler, realizzato da Cybersecurity Insiders e basato su 350 interviste a professionisti della sicurezza informatica, circa tre persone su quattro hanno indicato il ransomware fra i principali vettori di attacco più problematici e più spesso usati per colpire gli utenti che accedono alle Vpn (gli altri due sono il social engineering e il malware generico). 

Il fenomeno dunque continua a imperversare, ma sta modificando le sue caratteristiche: accanto agli attacchi generici, diretti in massa verso obiettivi indifferenziati, sempre più si verificano assalti rivolti a obiettivi specifici. Sulla base di dati forniti volontariamente dai partecipanti al Kaspersky Security Network, anonimizzati e tradotti in metadati, si è visto che tra il 20219 e il 2020  è cresciuto del 767% il numero di utenti Kaspersky incappati in un ransomware mirato, mentre il numero delle vittime di ransomware generici è calato del 29% pur rimanendo decisamente elevato (poco meno di 1,1 milioni di persone). 

Fra l’altro nel 2020 l’Italia è stata tra i dieci Paesi più colpiti e da noi il fenomeno dei ransomware generici non è calato. Anzi: la percentuale degli utenti Kaspersky bersagliati è passata del dal 2,01% del 2019 al 2,43% del 2020. Siamo al decimo posto anche nella classifica delle nazioni più colpite dai ransomware mirati, dopo Cina, Federazione Russa, Sud Africa, Vietnam, Stati Uniti, Germania, India, Brasile e Francia. Un deciso picco di attacchi mirati c’è stato lo scorso mese di luglio, come evidenzia il grafico qui sotto.

Il numero di utenti unici di Kaspersky colpiti da ransomware mirato tra il 2019 e il 2020

Risale invece ai primissimi giorni di agosto 2021 l'eclatante attacco ai danni della Regione Lazio, nel quale il ransomware Lockit 2.0 è stato usato per crittografare i database del sistema informativo regionale, inclusi quelli del sistema di prenotazione dei vaccini per il covid. Il caso ha scoperchiato diversi elementi tipici degli attacchi ransomware: l'intrusione nella rete di un'organizzazione attraverso un "punto debole" (in questo caso, il computer di un dipendente in smart working), il movimento laterale all'interno della rete stessa (per raggiungere il vero bersaglio), l'attesa silente del momento più propizio per attaccare (nel fine settimana e di notte), l'uso di un programma crittografico e la richiesta di un riscatto.

I ransomware più diffusi

Tra le famiglie di ransomware di maggiore “successo” nel 2020 spiccano Maze e RagnarLocker. In queste due campagne, fra le altre cose, si è vista per la prima volta una capacità di esfiltrare i dati oltre che di crittografarli, dunque gli autori degli attacchi hanno potuto minacciare le loro vittime di divulgare informazioni riservate in caso di mancato pagamento. Anche WastedLocker è noto per incidenti simili. In molti di questi casi, spiega Kaspersky, il software viene progettato specificatamente per infettare un determinato obiettivo.

La famiglia di ransomware più diffusa nel 2020 resta WannaCry, un trojan ransomware apparso per la prima volta nel 2017 e che ha fatto danni in tutto il mondo, causando secondo le stime una perdita pari a 4 miliardi di dollari. Sul totale delle vittime di ransomware, nel 2019 il 22% era stato colpito da Wannacry e l’anno seguente la percentuale era scesa al 16%.

Come proteggersi dagli attacchi ransomware

Come difendersi dai ransomware? Alcuni dei consigli più frequenti, nei vademecum dei vendor di sicurezza informatica, sono questi: 

• Curare l'aggiornamento software: assicurarsi di usare la versione più recente e di aver installato le patch di sicurezza rilasciate dai vendor. Solo così si evitano vulnerabilità potenzialmente sfruttabili dagli autori degli attacchi.
   
• Utilizzare antivirus, che garantiscono una protezione generica agli endpoint, ma anche adottare servizi dedicati a contrastare gli attacchi ransomware sofisticati.
   
• Condurre audit sulla sicurezza delle reti e correggere eventuali vulnerabilità trovate all'interno del perimetro o all'esterno (connessioni cloud).
   
• Prestare attenzione ad attività sospette di traffico in uscita dal "perimetro" aziendale verso l'esterno. Sul mercato esistono soluzioni ad hoc, che rilevano attività di movimento laterale ed esfiltrazione di dati, eseguite dai ransomware più complessi.
   
• Eseguire regolari backup dei dati, a cui si deve poter accedere rapidamente in caso di emergenza, e che devono essere parte della strategia di data management.
   
• Curare le attività di formazione del personale, affinché i dipendenti imparino a riconoscere le email di phishing ed evitino di scaricare allegati o si cliccare su link verso siti Web se la fonte non è conosciuta.