Skip to main content
Cos'è un ransomware e come difendersi
DATA
15 Aprile 2024
#SOLUZIONI
Infrastruttura IT

Ransomware: cos’è, tipologie e difesa

Il ransomware è per prima cosa un malware, ossia programma progettato appositamente per disturbare e attaccare un sistema informatico, comunemente noto come virus. Il ransomware è un particolare tipo di malware capace di limitare l’accesso ai file e ai dati sul dispositivo che attacca, con l’effetto di limitare l’accesso da parte dell’utente. Viene quindi chiesto un riscatto da pagare per poter accedere al sistema. Da qui il nome, dall’inglese “ransom”.

Tipologie di attacchi ransomware

Possiamo identificare due modalità con cui il ransomware attacca un sistema: il blocco e la cifratura.

  • Il ransomware locker impedisce all’utente di accedere al proprio sistema, rendendo di fatto il dispositivo inutilizzabile. Sullo schermo del computer compare un messaggio che afferma che il sistema è stato bloccato, con una richiesta di riscatto. Questo tipo di ransomware è particolarmente dannoso in quanto può interrompere completamente le attività dell’utente o dell’azienda colpita, rendendo necessario il pagamento del riscatto per ripristinare l’accesso al sistema.
  • Il Crypto-ransomware crittografa i file sul dispositivo della vittima, senza impedirne l’accesso e l’utilizzo. Quindi gli utenti possono vedere i propri documenti, foto e file vari, ma non riescono ad accedervi. Gli hacker chiedono un riscatto in cambio della chiave di decrittazione necessaria per ripristinare l’accesso ai dati. Spesso i crypto-ransomware includono anche un conto alla rovescia con la minaccia di distruggere i dati allo scadere del tempo.

Come si prende un ransomware?

Gli attacchi ransomware possono avvenire attraverso diverse vie, ma spesso seguono schemi simili. Ecco alcuni dei metodi più comuni attraverso cui i ransomware possono infettare i sistemi:

  • phishing: l’invio di e-mail contraffatte che sembrano provenire da fonti affidabili, come istituzioni finanziarie o aziende legittime, con allegati malevoli o link a siti web compromessi. Una volta che l’utente clicca sull’allegato o sul link, il ransomware viene scaricato ed eseguito sul sistema. Nel caso di dispositivi mobili, l’attacco di phishing può avvenire tramite SMS o messaggi in app di messaggistica.
  • Siti compromessi: a volte i ransomware si trovano in siti web compromessi, tramite script malevoli inseriti nelle pagine web o redirect automatici a siti fasulli. Quando un utente visita tali siti web, il ransomware può essere scaricato e installato sul suo dispositivo senza il suo consenso o la sua conoscenza.
  • App compromesse: i ransomware possono anche colpire dispositivi mobili, come smartphone e tablet, attraverso app dannose scaricate solitamente da fonti non attendibili. 
  • Vulnerabilità note: i ransomware possono sfruttare vulnerabilità note o appena scoperte nei sistemi operativi, nei browser web o in altri software per infiltrarsi nei sistemi e prendere il controllo dei dispositivi.
  • Reta interna compromessa: una volta che un dispositivo all’interno di una rete aziendale viene infettato da ransomware, può diffondersi rapidamente ad altri dispositivi nella stessa rete. Questo può avvenire attraverso la condivisione di file, cartelle o risorse di rete non protette.

I ransomware più famosi

  • CryptoLocker: è stato uno dei primi ransomware ad aver fatto notizia su larga scala,  ha infettato numerosi computer in tutto il mondo tramite email di phishing, crittografando i dati. Gli sforzi di esperti e autorità hanno permesso di recuperare il database delle chiavi di CryptoLocker, restituendo l’accesso ai dati a molte vittime.
  • WannaCry: uno dei ransomware più devastanti della storia, ha infettato numerose aziende e organizzazioni, anche governative, sfruttando una vulnerabilità di Windows. Tra le vittime dell’attacco su larga scala avvenuto nel 2017 ci sono state l’università Milano-Bicocca e l’NHS, il servizio sanitario del Regno Unito.
  • Locky: è stato uno dei primi ransomware a diffondersi tramite e-mail di phishing con allegati dannosi in file di Microsoft Word. Questo ha permesso a Locky di colpire tanto grandi organizzazioni, quanto utenti domestici e aziende di piccole dimensioni.
  • LockBit: attualmente una delle minacce più significative e diffuse in circolazione. Funzione come un Ransomware-as-a-service, ossia gli sviluppatore del ransomware lo concedono in licenza a una rete di attaccanti affiliati, poi si dividono i guadagni tra gli sviluppatori e gli attaccanti.

Come difendersi dai ransomware?

Quando si tratta di sicurezza informatica, la prevenzione è tutto. Aziende e organizzazioni devono difendersi dai ransomware e dai malware tramite rigorose politiche di sicurezza informatica e procedure codificate sia per proteggersi dagli attacchi, sia per agire in caso di disastro. Un attacco ransomware impedisce il normale svolgimento delle attività, con danni operativi ed economici, e rischia di portare a una perdita di dati sensibili.

Sicuramente è fondamentale sensibilizzare gli utenti alla sicurezza informatica. Per esempio circa l’importanza di non aprire allegati sospetti o di non cliccare su link non attendibili. Ci sono poi delle best practice come effettuare regolari aggiornamenti di software e applicazioni e mantenere copie di backup su dispositivi esterni o cloud.

È però imprescindibile che le aziende, dalle PMI alle grandi organizzazioni, si affidino a esperti del settore IT e facciano uso di soluzioni di sicurezza estese. Queste comprendono sistemi che utilizzano l’AI per riconoscere i ransomware, come gli EDR, oppure soluzioni di data protection e disaster recovery come la piattaforma Syneto.