Ransomware, ecco i software che minacciano la nostra sicurezza

Comunicazioni e notifiche

08-July-2019

Sono ormai tantissime le aziende e le persone rimaste vittima dei cosiddetti ransomware, software dannosi che impediscono l’accesso ai file di un computer o di una rete fintanto che non si procede al pagamento di un riscatto. In questo post analizziamo i più diffusi.

Un elenco in continua evoluzione, dal momento che gli hacker, al pari del web, si muovono sempre molto rapidamente.

Perché i Ransomware piacciono tanto agli hacker

Dal punto di vista degli hacker, i ransomware sono molto efficaci: è semplice diffonderli, infettano in tempi brevi un gran numero di pc e garantiscono un ritorno economico immediato, con la minaccia del “paga entro 72 ore”. Inoltre sono difficilmente rintracciabili, perché l'utilizzo dei bitcoin garantisce l’anonimato anche nella ricezione del riscatto.

I ransomware inoltre colpiscono soprattutto le PMI: nel 67% dei casi le denunce di perdite di dati sono arrivate da aziende che hanno tra gli 11 e i 100 dipendenti e l’Italia è attualmente il primo Paese dell’Unione Europea per attacchi subiti.

I Traditional Ransomware sono i più diffusi

Si tratta dei malware trasmessi attraverso allegati di posta malevoli, per mezzo di messaggi che sono sempre più spesso ben studiati e indirizzati. Dopo aver infettato/colpito il sistema/pc, criptano i file che riescono a trovare in locale e i file condivisi in rete, rendendoli non più accessibili e utilizzabili. Per poter riavere accesso ai file è necessario il pagamento di un riscatto.

I più diffusi attualmente sono Locky, Cerber, ZCrypt, Sage, CryLocker, Teslacrypt e le numerose varianti di CryptoLocker. Si tratta di ransomware particolarmente insidiosi perché il contagio può avvenire anche attraverso chiavette USB o da post sui social network.

I Ransomware di Backup

È una versione evoluta dei traditional ransomware perché non si limitano a cifrare file locali o condivisi in rete ma ricercano e bloccano anche eventuali file di backup.

Antivirus Ransomware

Questo malware è utilizzatissimo nei siti di streaming. Sembrerebbe un antivirus ma non lo è: di solito si apre un pop-up che avverte di avere rilevato un malware molto pericoloso sul pc ma è palesemente un falso allarme. E’ proprio un messaggio di questo tipo a generare uno stato di preoccupazione nell'utente, oltre al fatto che il malware si presenta con un layout del tutto simile a quello dei principali antivirus. In realtà, si tratta di un ransomware che, come negli altri casi, cifra i file locali, promettendo di liberarli solo dopo il pagamento del riscatto.

Cloud Storage Ransomware

Il veicolo attraverso cui si diffonde sono i server di condivisione file in cloud. Questo malware infetta tutti i file che la vittima ha salvato in cloud: qualunque altra persona che accederà ai file condivisi si ritroverà a sua volta infettata.
Uno dei più noti Cloud Storage Ransomware? Virlock, che finge di essere la Polizia Postale e chiede ai malcapitati di pagare una multa per presunte attività illecite o irregolari riconducibili alle vittime stesse.

DDoS Ransomware

Differentemente dai traditional e dai backup ransomware, i DDoS hanno l’obiettivo di colpire i file di sistema e non i documenti personali di una o più vittime.
Un perfetto esempio è il ransomware Petya, che blocca completamente un computer o un server.

Ramsomware altamente personalizzati

Si chiamano Highly Personalized Ransomware perché studiano il comportamento delle organizzazioni e degli individui da attaccare. Ransoc è il più famoso di questa tipologia: colleziona dati personali o monitora le attività da Facebook, LinkedIn e Skype alla ricerca di materiale illecito o irregolare, come un download di mp3 o uno streaming, a fronte delle quali chiede il pagamento di una multa. In caso di mancato pagamento ricatta le sue vittime minacciando di rendere pubblico l’illecito per danneggiarle il più possibile, con tanto di calcolo di stime e pene previste.

Ransomware che si diffondono attraverso server web

Alcuni siti web hanno delle vulnerabilità di sicurezza, sfruttate dagli hacker per diffondere un ransomware: basta visitare le pagine del sito infetto per diventare vittime di questo ransomware. Samsam è un esempio: ha infettato un gran numero di vittime connesse a scuole, agenzie governative, strutture sanitarie, compagnie aeree.

Windows Interface Ransomware

Il più famoso si chiama WindowsLocker e la sua principale caratteristica è che si presenta esattamente con l'interfaccia di Windows. Quando il ransomware colpisce il computer, la vittima riceve un invito a riavviare il sistema a causa di problemi di privacy. Subito scatta il blocco e la riattivazione può essere fatta solo componendo un numero di telefono oppure compilando una form con i dati …della propria carta di credito!

Windows Script Files Ransomware

Si diffonde attraverso file di scripting tipici di windows (.wsf), utilizzati spesso dagli hacker perché di difficile rilevamento da parte dei sistemi di protezione. L’anno scorso sono state bloccate più di un milione di e-mail contenenti file .wsf infettati dal ransomware Locky. Questo ransomware si è evoluto camuffandosi sotto altre forme, ad esempio all’interno di file .zip.

MAC Ransomware

Anche il mondo Apple colpito dai ransomware? Ebbene sì! Anche se in forma minore, i dispositivi Mac sono colpiti dai malware: KeRanger è stato trovato in numerosi file scambiati via torrent.

Mobile Android Ransomware

Mondo smartphone su Android: esistono svariati ransomware (Android Defender, Simplocker, Adult Player, Lockerpin, Lockdroid, Jiust, Xbot) progettati appositamente per colpire efficacemente utenti Android. L’obiettivo è sempre lo stesso: chiedere il riscatto per poter riavere i propri file o per poter accedere nuovamente al proprio dispositivo.