Cosa sono i ransomware? 4 tipologie e guida pratica per ripristinare file criptati da ransomware nel 2023

October 11, 2022
Cybersecurity

WannaCry. Reveton. CryptoLocker. Fusob. CryptoWall. E ancora: BadRabbit, DarkSide, SamSam... 

Stiamo parlando di ransomware, virus informatici che prendono in ostaggio i tuoi dati. L’hacker, fautore dell’attacco, ti chiedere un riscatto in denaro per ridarti il dato. 

infografica ladro dietro pc e nomi tipologie ransomware

Ma cosa sono i ransomware? Come fa un criminale informatico a violare il tuo sistema? Quali sono le tipologie di attacco ransomware più comuni? E come puoi prevenire un attacco ransomware?

Se sei il CEO, il CIO o l'IT manager di un'azienda sei sicuramente consapevole della gravità del pericolo ransomware — una minaccia globale che, testimonia l'agenzia di cybersecurity americana CISA, non conosce crisi. 

Per aiutare chi come te è alla ricerca di consigli actionable su come far fronte a questo problema abbiamo scritto questa guida pratica sui ransomware dalla A alla Z. Al suo interno scoprirai:

  • Cosa sono i ransomware
  • Come fa un ransomware a entrare nel tuo sistema
  • Come prevenire un attacco ransomware: 5 strategie per il 2023
  • Ransomware: tipologie più comuni
  • Come garantire la ransomware recovery, o in altre parole: come ripristinare file criptati da ransomware.

Partiamo!

#1 Cosa sono i ransomware

Il ransomware è un tipo di malware che prende in ostaggio i dati e/o i device della vittima e li rilascia dietro il pagamento di un riscatto, solitamente in bitcoin. Ad oggi i ransomware rappresentano una delle più insidiose minacce per un'azienda. Nel 2021, gli attacchi ransomware costituivano il 21% di tutti gli attacchi informatici, corrispondenti a un costo globale di oltre 20 miliardi di dollari

La crescita degli attacchi ransomware è esponenziale. Nel 2019 un'azienda cadeva vittima di file ransomware una volta ogni 14 secondi; nel 2021, ogni 11. Nel 2031, le previsioni di Cybersecurity Ventures parlano di un'azienda al secondo.

cosa sono i ransomware statistiche

La perdita economica dovuta ai ransomware è in continuo aumento. Nei casi più estremi, le aziende possono arrivare a pagare anche 40 milioni di dollari per riavere indietro i propri dati. Secondo l'agenzia di sicurezza informatica Panda Security, il riscatto medio pagato dalle vittime di ransomware è incrementato dell'82% dal 2020 fino a raggiungere la cifra di $570.000. Tale numero non tiene però conto del danno causato dall’interruzione di servizio che il ransomware provoca, stimato da Gartner sui $5.600 al minuto. Il downtime medio, riporta Coveware, è invece di 12 giorni. 

costo per ripristinare file criptati da ransomware

Ora che hai capito cosa sono i ransomware, e i danni che possono provocare, andiamo a vedere in dettaglio le tipologie di attacco ransomware oggi esistenti.

#2 Ransomware: tipologie 

Dietro ogni attacco ransomware c'è quasi sempre un errore umano. Così come ogni altro attacco hacker, un attacco ransomware si basa sul social engineering prima ancora che sull'hacking vero e proprio. L'attacco avviene facendo cadere la vittima in trappola o, più raramente, sfruttando falle di sicurezza presenti in uno dei punti di accesso al sistema stesso.

#2.1 Phishing

Il phishing non è precisamente un tipo di ransomware, ma dato che, secondo IBM, il 41% degli attacchi ransomware si basa sul phishing, affrontare l’argomento in una guida pratica ai ransomware è doveroso. Oggi i criminali informatici conducono indagini approfondite sul personale di un'azienda prima di passare all'azione. Per individuare potenziali bersagli, i criminali informatici possono monitorare il sito web della compagnia e successivamente incrociare i dati raccolti con i profili pubblici sui social media

esca ransomware phishing infografica

Scopo di questa pratica è accumulare informazioni al fine di riprodurre una pagina di accesso a un sito usato dalla vittima che sia identica a una pagina che essa visita frequentemente e di cui si fida. Per accedere, la vittima darà le proprie credenziali senza rendersi conto che le sta fornendo non al sito ma all'hacker

Una volta in possesso di questi dati, l’hacker ha accesso al dispositivo della vittima e, di conseguenza, a qualsiasi sistema informatico all’interno del quale la vittima è loggata di default con privilegi di root. Anche se la vittima non è loggata di default, il criminale informatico può comunque sfruttare i dati presenti sul dispositivo della vittima per fare un attacco a dizionario o simili ed estrarre nomi utenti e password non sicure. A questo punto l’hacker ha accesso completo al sistema e può cifrare qualsiasi file presente su di esso.

#2.2 Scareware 

Lo scareware è un tipo di ransomware che utilizza il social engineering per spaventare un bersaglio affinché egli acquisti software di cui non ha bisogno. Spesso lo scareware afferma di aver esposto l'utente a un'altra forma di malware. Il metodo più semplice per evitare gli scareware è quello di mettere in dubbio qualsiasi affermazione che il computer sia stato infettato, a meno che essa non provenga da un antivirus provider affidabile ed effettivamente in uso da parte dell'utente.

cosa sono i ransomware infografica esempio scareware

#2.3 Screen locking 

Gli screen lockers bloccano lo schermo del computer, rendendone impossibile l'accesso. Se sei stato infettato da uno screen locker vedrai un messaggio sullo schermo che richiede un pagamento per fornirti nuovamente accesso. Di solito, il messaggio finge di provenire da una fonte affidabile, quale ad esempio la polizia, un'agenzia governativa, una società Internet nota all'utente o il servizio postale. 

esempio screen locking

#2.4 Ransomware crittografico 

Il ransomware crittografico è ciò a cui normalmente ci si riferisce quando si parla di ransomware. I ransomware crittografici utilizzano algoritmi di crittografia avanzati per criptare i dati presenti sul dispositivo. La vittima riceve un avviso che mostra il riscatto da pagare e le procedure da seguire per recuperare l'accesso ai dati; di solito si tratta di un pagamento in criptovalute. Come nel caso degli screen locker e degli scareware, è necessario utilizzare un ransomware proof backup recente per ripristinare i file criptati da ransomware.

cosa sono i ransomware esempio tipologia ransomware crittografico

#3 Come prevenire un attacco ransomware: 5 strategie per il 2023

Molte sono le misure di sicurezza che un'azienda può adottare per prevenire un attacco ransomware. Tra queste, le 5 best practice da seguire sono:

#3.1 Disaster recovery plan testing

Niente è in grado di garantire business continuity e disaster recovery come una strategia di ransomware proof backup adeguata. Un piano di ransomware recovery che permetta di ripristinare i file criptati fa spesso la differenza tra perdere tutti i dati e recuperarli in pochissimo tempo.

Una solida strategia di disaster recovery prevede il backup dei dati in tempi certi in una o, meglio ancora, in più sedi. Inoltre, deve essere semplice da testare, giacché il testing è l'unico metodo per confermare che il tempo di ripristino è conforme ai tuoi obiettivi aziendali. Ultimo ma non meno importante, il piano di disaster recovery deve essere in grado di recuperare i dati rapidamente e regolarmente, senza sorprese. Quando il file ransomware colpisce, devi essere certo di poter recuperare i tuoi dati e continuare a lavorare il prima possibile.

Vuoi approfondire? [Articolo] Piano di disaster recovery: 3 best practices (testate da Veeam e Gartner) per il 2023

#3.2 Minimizzare attack surface attraverso il principio del privilegio minimo

Il principio del privilegio minimo predica che ogni processo, programma e/o utente all'interno dell'organizzazione abbia visibilità delle sole risorse immediatamente necessarie al suo funzionamento. Applicare questo principio fa sì che se un dipendente è stato colpito da un ransomware, quest’ultimo non si diffonda automaticamente nel resto del sistema. 

Una misura precauzionale aggiuntiva molto comune è quella di testare file o programmi sconosciuti all'interno di una sandbox — un ambiente di testing isolato che, in caso di attacco, limita il danno all’ambiente stesso, riducendo i rischi di contagiare il resto del sistema.

#3.3 Preparare il personale con un vero e proprio security training

Formare il personale è una conditio sine qua non per minimizzare il rischio di attacchi ransomware. Perché un'organizzazione sia compromessa basta che un solo dipendente abbassi la guardia. Ecco perché i dipendenti devono essere formati regolarmente sui possibili pericoli e sulle misure precauzionali da adottare per proteggere i propri dispositivi e la propria azienda (adottare un password manager, usare un filtro anti spam, non aprire mail sospette, configurare le estensioni desktop, bloccare gli eseguibili e i file Javascript malevoli, etc.). Per penetrare il sistema informatico dell'azienda infatti è spesso sufficiente penetrare il computer di un dipendente.

dipendenti che parlano a meeting

Infine, è fondamentale preparare e testare una strategia di gestione della crisi, pre-assegnando ruoli all'interno della compagnia e assicurandosi che, in caso di attacco, ogni dipendente sappia cosa fare così da agire tempestivamente.

#3.4 Implementare la 321 backup rule

Se non la conosci, la 321 backup rule è la base di una gestione dati efficiente. Secondo l’intelligence di cyber security americana CISA, “tutte le aziende dovrebbero utilizzare la 321 backup rule". 

La 321 backup rule è una strategia di salvataggio su più supporti per minimizzare il rischio di perdita e mantenere l’accesso a backup critici evitando problemi quali ransomware e disastri naturali. 

Perché una simile regola? Semplice: Grazie a questo semplice stratagemma puoi ridurre sostanzialmente il rischio di perdita dati minimizzando la possibilità che il guasto di una copia di backup si trasformi in un danno catastrofico. Per seguire la 321 backup rule è necessario conservare:

  • Tre o più copie di backup 
  • Su almeno due supporti diversi 
  • Con almeno una copia off-site

Vuoi approfondire? [Articolo] 321 backup rule & hybrid cloud: diversifica il tuo piano di disaster recovery per il 2023

cosa è la 321 backup rule infografica

#3.5 Usare un’esca

Una misura cautelativa inusuale ma estremamente efficace è quella di usare dei "canary files". Dall'espressione inglese "canary in the coalmine", ossia canarini nella miniera per carbone (che un tempo venivano usati per stanare i tunnel senza ossigeno), i canary files sono file lasciati esposti a un attacco esterno — e dunque intenzionalmente più vulnerabili del resto del sistema — sul quale gira un software di monitoring che verifica costantemente se i file sono stati criptati da un ransomware. 

Scopo di tale pratica è spingere il criminale informatico a rivelarsi in una posizione di svantaggio così da poter agilmente neutralizzare la minaccia. In alternativa a un file è possibile usare anche dispositivi, hard disk o asset di altro tipo.

#4 Ransomware recovery: strategie per ripristinare i file criptati senza pagare il riscatto

Se sei caduto vittima di un ransomware hai due opzioni: 

  • Pagare il riscatto 

L'obiettivo di qualsiasi ransomware è mettere le vittime in una situazione nella quale il pagamento del riscatto sembra l'unica soluzione. La scelta di pagare o meno dipende dalle circostanze particolari di ogni azienda e comporta rischi notevoli. In linea generale, non è consigliabile cedere alle richieste del criminale informatico: secondo Kaspersky, oltre metà delle vittime paga il riscatto ma solo un quarto di esse riesce a ripristinare i file criptati da ransomware.

statistica ransomware

  • Ripristinare file criptati da ransomware con un ransomware proof backup off-site

Un ransomware proof backup permette di ripristinare i file criptati da ransomware in tempi rapidi e certi. Ciononostante, I ransomware cercano sempre di criptare non solo i file ma anche i backup. Per questo motivo, è necessario seguire la 321 backup rule e affidarsi a multiple copie di backup off-site — ragion per cui molti si affidano all’hybrid cloud e al multicloud.

Un'altra misura di sicurezza in questa direzione è l'object storage. Secondo Gartner il 40% dei leader d'industria scala l'object storage su hybrid cloud

Questo perché, grazie all'archiviazione basata su oggetti, l'object storage abilita una flessibilità granulare in termini di efficienza e costi e al contempo garantisce un livello di disaster recovery e business continuity superiore a soluzioni di file storage. Inoltre, l'object storage fortifica la cybersecurity dell’azienda mediante due tecnologie innovative:  

  • L'object lock, funzione che impedisce di modificare file antecedenti a una data stabilita, rendendo dunque impossibile sia al criminale informatico che al provider del servizio stesso, la modifica (e quindi cifratura) dei file della vittima.
  • Il versioning, che fornisce all’utente una cronologia delle modifiche ai file, permettendo dunque di tornare in qualsiasi momento a qualsiasi configurazione precedente.

#5 Vuoi approfondire? 

Con il presente articolo hai scoperto cosa sono i ransomware, le tipologie, come prevenirli e quali sono le basi per mettere in atto una strategia di ransomware recovery.

Vuoi approfondire? Scarica gratis la guida pratica per una ransomware recovery garantita.

Share it:

Stories to help you get to know us

Subscribe not to miss new articles and updates about Cubbit.

Subscription successful!
Check your inbox, we've already sent you something.
Oops! Something went wrong while submitting the form.

By signing up you accept our Privacy Policy.

Related posts