L'evoluzione del ransomware
Quando un criminale informatico vuole fare un bel po' di soldi, utilizza il ransomware per infettare un computer e crittografare tutti i dati sul disco rigido. Il software dannoso invia un avviso all'utente indicando che deve pagare un riscatto o perdere i propri file per sempre.
In passato, i criminali chiedevano che i riscatti venissero inviati in contanti o vaglia postali alle caselle postali. Tuttavia, questo non è sempre durato perché le caselle postali sono riconducibili a un individuo. Oggi, il riscatto viene quasi sempre richiesto nella valuta anonima e non rintracciabile di Bitcoin. Ora che i riscatti possono essere pagati in modo non tracciabile, la frequenza degli attacchi ransomware è esplosa.
Dove è iniziato il ransomware?
Il primo attacco ransomware documentato fu perpetrato nel dicembre 1989 da un biologo evoluzionista di nome Joseph L. Popp. Nel 1989, Internet esisteva ma non era quello che è oggi, quindi l'attacco è stato eseguito attraverso un disco infetto.
Popp inviò 20.000 dischi infetti ai partecipanti alla conferenza internazionale sull'AIDS. I dischi erano etichettati come "AIDS Information – Introductory Diskettes". Con il pretesto di essere un questionario per aiutare gli utenti a determinare il rischio di contrarre l'AIDS, i dischi venivano segretamente infettati da un ransomware soprannominato "AIDS Trojan", noto anche come "PC Cyborg".
Dopo 90 riavvii, le ignare vittime hanno ricevuto una richiesta di riscatto di 189 dollari. Popp voleva che i pagamenti venissero inviati alla sua casella postale a Panama, che alla fine è stata rintracciata. Sorprendentemente, è stato catturato ma mai perseguito.
Da allora, migliaia di attacchi ransomware sono stati perpetrati contro privati, piccole imprese e persino grandi aziende. Sebbene gli attacchi ransomware fossero inizialmente piuttosto semplici, sono diventati complessi e praticamente irrintracciabili. Sfortunatamente, a causa della redditività, gli attacchi ransomware sono destinati a restare.
Il ransomware è un'estorsione digitale
Sebbene la maggior parte delle persone comprenda il concetto di ransomware, dovrebbe essere definito per quello che realmente è: estorsione. L'estorsione è un crimine negli Stati Uniti ed è per questo che i criminali moderni sono abbastanza coraggiosi da lanciare attacchi ransomware facendo affidamento sull'anonimato delle criptovalute.
Il ransomware è diventato una mucca da mungere negli anni 2000
Gli attacchi ransomware si basano sulla tecnologia di crittografia per impedire l'accesso ai file. Nel corso degli anni '90, con il continuo progresso dei metodi di crittografia, anche gli attacchi ransomware sono diventati più sofisticati e impossibili da decifrare. Intorno al 2006, gruppi di criminali informatici hanno iniziato a sfruttare la crittografia RSA asimmetrica per rendere i propri attacchi ancora più impossibili da contrastare.
Ad esempio, il trojan Archiveus utilizzava la crittografia RSA per crittografare il contenuto della cartella "Documenti" di un utente. Il riscatto richiedeva alle vittime di acquistare beni tramite una farmacia online in cambio di una password di 30 cifre che avrebbe sbloccato i file.
Un altro attacco ransomware in quel periodo fu l’attacco GPcode. GPcode era un Trojan distribuito come allegato di posta elettronica mascherato da applicazione di lavoro. Questo attacco ha utilizzato una chiave RSA a 660 bit per la crittografia. Diversi anni dopo Gpcode.AK, il suo predecessore, è passato al livello fino a utilizzare la crittografia RSA a 1024 bit. Questa variante mirava a più di 35 estensioni di file.
Anche se all'inizio gli attacchi ransomware erano semplicistici e audaci, oggi sono diventati il peggior incubo di un'azienda e la mucca da mungere di un criminale.
Il ransomware è un settore redditizio
I criminali informatici sanno che possono guadagnare con il ransomware ed è diventato un settore ampiamente redditizio.
Secondo uno studio di Google intitolato Tracking ransomware End-to-End , i criminali informatici guadagnano oltre 1 milione di dollari al mese con ransomware . "È diventato un mercato molto, molto redditizio ed è qui per restare", ha detto un ricercatore. Lo studio ha monitorato più di 16 milioni di dollari che sembravano essere pagamenti di riscatti effettuati da 19.750 persone nell'arco di due anni.
La BBC ha riferito su questo studio di Google e ha spiegato che esistono molteplici "ceppi" di ransomware e alcuni ceppi guadagnano più soldi di altri. Ad esempio, un'analisi della blockchain di Bitcoin ha mostrato che le due varietà più popolari – Locky e Cerber – hanno guadagnato 14,7 milioni di dollari in un solo anno.
Secondo lo studio, oltre il 95% degli aggressori di ransomware ha incassato i propri pagamenti in Bitcoin attraverso l'ormai defunto scambio BTC-e russo. Probabilmente non verranno mai catturati.
Come le aziende possono riprendersi rapidamente dopo un attacco ransomware
Gli imprenditori che non sono preparati a un attacco ransomware non si riprenderanno senza conseguenze, sempre che si riprendano. Pagheranno il riscatto (che non sempre porta al ripristino dei file) oppure spenderanno tempo e denaro cercando senza successo di decifrare la crittografia.
Quando non funziona nulla, si procurano una versione precedente dei loro file da dipendenti, appaltatori e altri che potrebbero averne delle copie. Anche se potrebbero trovare la maggior parte dei loro file, non saranno versioni aggiornate e l'intero team dovrà dedicare ore extra solo per riportare l'attività alla normalità.
L'unico modo per prevenire un attacco ransomware è essere preparati prima che accada. Ciò richiede la creazione di backup offline regolari su un dispositivo che non rimane connesso a Internet. I malware, incluso il ransomware, possono infettare allo stesso modo le unità di backup e le unità USB. È fondamentale assicurarsi di mantenere i backup offline correnti.
I tuoi dati sono protetti da un software anti-ransomware?
If you haven’t yet, now is the time to secure all endpoints with anti-ransomware software. At Check Point Software, we offer this solution to all of our endpoint security suite customers. Our endpoint security suite – Workspace Security endpoint – delivers real-time threat prevention to all of your organization’s endpoints.
Con così tanti dispositivi che accedono alla rete della tua azienda, non puoi permetterti di tralasciare la protezione degli endpoint e threat prevention . La rete senza confini di oggi richiede un software potente per proteggersi dagli attacchi informatici di ogni tipo, compresi i ransomware.
With Check Point Endpoint Security, your network will be dynamically protected around the clock from ransomware and other threats.
To learn more about how Check Point can protect your network, schedule a free demo for Workspace Security endpoint or contact us for more information. If you’re not sure which services you need, our data protection experts will help you find what’s right for you.
