Un ransomware è un tipo di virus che prende il controllo del computer di un utente ed esegue la crittografia dei dati, chiedendo poi un riscatto per ripristinare il normale funzionamento.
Gli esempi più famosi di ransomware sono Reveton, CryptoLocker e WannaCry. Si diffonde generalmente mediante attacchi di phishing o clickjacking: una volta installato, il virus impedisce agli utenti di accedere ai dati che risiedono nel computer o di usare la macchina stessa. Ad oggi, diversi attacchi ransomware chiedono il pagamento di un riscatto mediante criptovalute, ad esempio il Bitcoin.
Come funziona il ransomware
Per sferrare un attacco ransomware a un sistema, un hacker deve prima ottenere l’accesso al sistema stesso. I metodi per farlo sono diventati piuttosto sofisticati e utilizzano exploit zero‑day (metodo utilizzato dagli hacker per attaccare i sistemi con una vulnerabilità non identificata in precedenza) sconosciuti o contro i quali non sono state applicate le apposite patch.
Spesso tutto comincia con un attacco di phishing, un’e-mail pericolosa, allegati e-mail compromessi, worm informatici aggressivi, exploit di vulnerabilità, attacchi mirati o di tipo clickjacking (ossia vengono inseriti collegamenti ipertestuali alternativi malevoli all’interno di contenuti cliccabili altrimenti legittimi).
Il ransomware può penetrare senza essere rilevato o causare danni a livello di file se l’antivirus installato nel sistema non possiede già la firma del malware o non esegue la scansione in tempo reale. Un computer in rete, poi, consente l’accesso anche ad altri computer e dispositivi di archiviazione collegati.
Due tipi di ransomware
Esistono due tipi principali di ransomware: gli attacchi di tipo screen‑locking e quelli di tipo encrypting.
- Gli attacchi di tipo encrypting crittografano i dati del sistema e richiedono una chiave di decriptazione per poterli ripristinare.
- Gli attacchi di tipo screen‑locking, invece, impediscono l’accesso a un sistema informatico tramite il blocco dello schermo.
In entrambi i tipi di attacco viene solitamente utilizzata una schermata di blocco in cui si comunica all’utente che il ransomware ha preso il controllo del computer, l’importo da pagare per il riscatto, e come fare per recuperare l’accesso ai dati o riacquisire il controllo del sistema (solitamente tramite una chiave di decriptazione o altro codice). Spesso il messaggio avverte che in caso di mancato pagamento del riscatto richiesto i dati saranno eliminati o resi pubblici.
Mentre in passato gli aggressori esigevano il pagamento del riscatto tramite carte regalo, bonifici bancari o servizi prepagati, oggi il metodo preferito è generalmente costituito da Bitcoin e altre criptovalute. Il problema è che il pagamento del riscatto comunque non garantisce che l’utente o l’azienda possa riprendere il controllo dei propri dati.
Vuoi sapere come proteggere la tua azienda?
Ti aspettiamo Venerdì 12 aprile presso Tenuta Cartirago di Ceregnano (Rovigo).
In occasione del nostro decimo anniversario, infatti, abbiamo pensato di regalarti UNA GIORNATA DI SEMINARI GRATUITI proprio SULLA SICUREZZA INFORMATICA!
L’accesso è gratuito, ma è necessaria la prenotazione per garantire la disponibilità dei posti.
Vuoi conoscere meglio il programma e partecipare?
Non perdere l’opportunità di proteggere la tua infrastruttura informatica e saperne di più su come prevenire gli attacchi di social engineering.
Unisciti a noi e diventa un protagonista attivo nella lotta contro i crimini informatici!