Ransomware: cosa sono e come funzionano

Scritto da Webristle

Lug 23, 2020

Luglio 23, 2020

Siete incappati in un ransomware, ma non sapete come comportarvi? Oggi, vi spieghiamo prima di tutto cos’è un ramsonware, come si prende e come difendersi dai problemi e dalle conseguenze negative che questo comporta.

 

Ramsonware cos’è

Si tratta di un tipo di malware capace di limitare l’accesso al dispositivo che infetta, ma la sua particolarità risiede proprio nel suo nome inglese.
Ramson”, infatti, significa riscatto ed è proprio questo che succede: il malware impossessatosi del dispositivo richiede un riscatto da pagare per rimuovere la limitazione.
Alcuni tipologie di questo malware riescono a bloccare il sistema per poi richiedere all’utente un pagamento per sbloccarlo e renderlo di nuovo utilizzabile, mentre altri cifrano i file dell’utente e anche in questo caso chiedono di pagare per riavere i nuovo i file cifrati leggibili in chiaro.
In origine, gli attacchi ramsonware sono stati diffusi in Russia, per poi diffondersi in tutto il mondo.
Basti pensare che nel giugno del 2013, una nota casa specializzata in software di sicurezza, la McAfee, ha divulgato dei dati che riportavano l’andamento del fenomeno nei primi tre mesi del 2013: erano stati registrati ben 250 mila tipologie diverse di ramsonware, praticamente oltre il doppio di quelli registrati nei primi tre mesi del 2012!

Noi ne avevamo già parlato in nostri precedenti articoli: qui e in un case study molto interessante.

Ciò dimostra come il fenomeno sia letteralmente esploso nel giro di pochissimo tempo.
Alla fine dello stesso anno, apparve e fece scalpore CryptoLocker, un worm ramsonware che è stato in grado di ottenere circa 3 milioni di dollari prima di essere reso innocuo!

 

Come funzionano

I ransomware si diffondono come i trojan, ossia dei malware worm, e penetrano nel sistema servendosi di un file scaricato o anche di una falla nel servizio di rete. Una volta infiltratosi, il software esegue un payload, il quale, ad esempio, può bloccare il funzionamento del dispositivo o criptare i file personali sull’hard disk.

Le tipologie più elaborate e sofisticate si servono di sistemi di criptazione ibridi sui documenti dell’utente vittima. In quanto tali, questi sistemi di criptazione non richiedono la condivisione di chiavi tra due utenti, ma adottano una chiave privata casuale e una chiave pubblica fissa.

In questo modo, l’unico a conoscere la chiave di decriptazione privata è proprio l’autore del malware.

Altre tipologie eseguono un payload senza abbinarci la criptazione, ma limitandosi ad interagire con il sistema e ad agire sulla shell di Windows per renderla non operativa e porla sotto il controllo del malware o per modificare il master boot record e/o la tabella di partizione, che impedisce di avviare il sistema operativo fino a sua riparazione.

I payload si servono anche di scareware per sottrarre denaro all’utente del sistema, mostrando, ad esempio, false notifiche inviate dalla polizia federale o da altre compagnie, in cui si afferma che il sistema è stato utilizzato per attività illegali o che contenga materiale illegale, piratato o pornografico.

Ancora, altri payload imitano le notifiche di attivazione prodotto di Windows XP, in cui si indica che il PC potrebbe avere una versione di Windows contraffatta e che, quindi, deve essere riattivata.
Tali tattiche portano l’utente a pagare l’autore del malware così che rimuova il ramsonware, con un programma che decripti i file criptati o con un codice di sblocco per eliminare le modifiche apportate dal malware.
Di solito, i pagamenti sono effettuati con bonifico, sottoscrizione via SMS, con pagamento online attraverso un voucher o con pagamento in bitcoin, ossia in valuta digitale.

In sostanza, dunque, le modifiche apportate al dispositivo della vittima possono consistere in:

  • una crittografia dei dati memorizzati, così da impedirvi l’accesso;
  • un blocco generale dell’accesso al sistema.

Come si viene infettati

I metodi di installazione utilizzati da un trojan ransomware sono:

  • e-mail di phishing;
  • accesso ad un sito web con un programma nocivo;
  • download di software che nascondono un malware.

ThiefQuest: ramsonware per MacOS

Di recente, è stato scoperto da Malware Bytes il ramsonware per macOS ThiefQuest, già noto con il nome di EvilQuest.
Si tratta di un malware distribuito tramite versioni pirata di famosi software per Mac, condivisi su siti torrent popolari, e che colpisce gli utenti macOS per rubare informazioni sensibili, portafogli di criptovalute e password.
Ad oggi, è stata individuata la routine di crittografia simmetrica utilizzata dal malware per bloccare l’accesso ai file e basata sull’algoritmo RC2.
Il processo di cifratura dei file è stato, quindi, invertito e sono stati sbloccati i file attaccati; inoltre, si è giunti anche allo sviluppo di un tool di decriptazione che è possibile scaricare in modo gratuito sotto la licenza di software libero GNU GPL v2.
Pur potendo sbloccare i file criptati da ThiefQuest, vi è però il rischio di furto dei dati sensibili da parte del malware.

Per evitare ciò, l’Apple ha aggiornato il sistema di antimalware integrato in macOS, Xprotect, il quale analizza i download effettuati dall’utente così da segnalare subito l’eventuale presenza di codici malevoli.
L’applicazione non pulisce il sistema, ma si limita a segnalare il pericolo all’utente, così che questo mossa cancellare in modo tempestivo il file infetto.

 

Vuoi mettere al sicuro i tuoi dati da qualunque imprevisto? Contattaci

 

Articoli correlati

Cyber Insurance: cos’è e perché è fondamentale

Cosa è la cyber insurance La cyber insurance, nota anche come assicurazione cibernetica o assicurazione informatica, è un tipo di polizza assicurativa progettata per proteggere le organizzazioni dai rischi legati alle minacce e agli incidenti informatici. Queste...

Spear phishing: cos’è e come proteggersi

Spear phishing: cos’è e come proteggersi

Lo spear phishing rappresenta una minaccia sempre più sofisticata nel panorama della sicurezza informatica. Questa forma di attacco mirato va oltre le tecniche tradizionali di phishing, concentrandosi su individui specifici o aziende con un livello di precisione...

Teabot: cos’è e come difendersi dal banking trojan

Teabot: cos’è e come difendersi dal banking trojan

Aveva fatto la sua comparsa nel maggio 2021 e un anno dopo è tornato a colpire; stiamo parlando di Teabot, un trojan bancario in grado di rubare i dati di accesso ai conti degli utenti. Nascosto in app all'apparenza non pericolose, il malware Teabot aveva creato già...

Iscriviti alla nostra Newsletter

Ricevi consigli utili su come mantenerti sicuro nel mondo digitale una volta al mese!