L’emergenza sanitaria da Covid2019 – che porta molte più persone e per molto più tempo a essere connesse online e a utilizzare dispositivi digitali – ha alimentato un aumento di attacchi informatici che diffondono software “malevoli” per varie finalità illecite. Una delle attività più diffuse e dannose è il cosiddetto ransomware.

Cosa è un ransomware

Chiamati anche rogueware o scareware, i ransomware sono un tipo di virus che prende il controllo del computer di un utente ed esegue la crittografia dei dati al fine di chiedere un riscatto (in inglese, “ransom”), per ripristinare il normale funzionamento.

Questo programma può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.).

La richiesta di pagamento, con le relative istruzioni, compare di solito in una finestra che si apre automaticamente sullo schermo del dispositivo infettato. All’utente viene minacciosamente comunicato che ha poche ore o pochi giorni per effettuare il versamento del riscatto, altrimenti il blocco dei contenuti diventerà definitivo.

Ci sono due tipi principali di ransomware:

• i cryptor (che criptano i file contenuti nel dispositivo rendendoli inaccessibili);
• i blocker (che bloccano l’accesso al dispositivo infettato).

Quella dei ransomware è una minaccia molto grave.  Gli esempi più famosi di ransomware sono Reveton, CryptoLocker e WannaCry. Un ransomware si diffonde generalmente mediante attacchi di phishing o clickjacking. Una volta installato, il virus impedisce agli utenti di accedere ai dati che risiedono nel computer o di usare il dispositivo stesso.

I ransomware, pertanto, mettono gli utenti in una situazione piuttosto complicata, per questo è meglio sapere come evitarli.

Come ci si infetta con un ransomware

Questo tipo di virus si diffonde soprattutto attraverso comunicazioni ricevute via e-mail, sms o sistemi di messaggistica che:

• sembrano apparentemente provenire da soggetti conosciuti e affidabili (ad esempio, corrieri espressi, gestori di servizi, operatori telefonici, pubbliche amministrazioni, ecc.), oppure da persone fidate  (colleghi di lavoro, conoscenti);
• contengono allegati da aprire (spesso “con urgenza”), oppure link e banner da cliccare (per verificare informazioni o ricevere importanti avvisi), ovviamente collegati a software malevoli.

In altri casi, il ransomware può essere scaricato sul dispositivo quando l’utente:

• clicca link o banner pubblicitari su siti web (un canale molto usato è rappresentato dai siti per adulti) o social network;

• naviga su siti web creati ad hoc o “compromessi” da hacker per diventare veicolo del contagio ransomware.

Il ransomware può essere diffuso di criminali informatici anche attraverso software e app (giochi, utilità per il PC, persino falsi anti-virus), offerti gratuitamente per invogliare gli utenti al download e infettare così i loro dispositivi.

Inoltre, è necessario sapere che ogni dispositivo “infettato” ne può “contagiare” altri. Il ransomware può diffondersi sfruttando, ad esempio, le sincronizzazioni tra dispositivi, i sistemi di condivisione in cloud, oppure può impossessarsi della rubrica dei contatti e utilizzarla per spedire automaticamente ad altre persone messaggi contenenti link e allegati che diventano veicolo del ransomware.

In alcuni casi (non molto frequenti) il ransomware può essere installato sul dispositivo anche tramite sofisticate forme di attacco informatico (es: controllo da remoto).

Come prevenire un ransomware

Nel mirino di un ransomware spesso ci sono le grandi e piccole medie imprese e le agenzie della pubblica amministrazione, dove l’errore di un singolo utente può provocare un’infezione molto più estesa.

La protezione dagli attacchi informatici si fonda su una duplice collaborazione: l’azienda da un lato e il dipendente dall’altro.

Per quanto riguarda il lavoratore è fondamentale che questi sia consapevole dei rischi e sia informato e formato su come prevenire gli attacchi.

In particolare, bisogna evitare di:

1. aprire messaggi provenienti da soggetti sconosciuti o con i quali non si hanno rapporti e, in ogni caso, se si hanno dubbi, non si deve cliccare su link o banner sospetti e non si devono aprire allegati di cui si ognora il contenuto;
2. non aprire mai allegati con estensioni “strane” anche se provengono da soggetti conosciuti (ad esempio, gli allegati con estensione “.exe” sono a rischio, perché potrebbero installare applicazioni di qualche tipo nel dispositivo);
3. non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento);
4. scaricare preferibilmente app e programmi da market ufficiali, i cui gestori effettuano controlli sui prodotti e dove è eventualmente possibile leggere i commenti di altri utenti che contengono avvisi sui potenziali rischi;
5. se si usa un pc, si può passare la freccia del mouse su eventuali link o banner pubblicitari ricevuti via e-mail o presenti su siti web senza aprirli (così, in basso nella finestra del browser, si può vedere l’anteprima del link da aprire e verificare se corrisponde al link che si vede scritto nel messaggio: in caso non corrispondano, c’è ovviamente un rischio).

Per quanto riguarda l’azienda, invece, è bene seguire di base le seguenti norme:

• installare su tutti i dispositivi un antivirus con estensioni anti-malware;
• mantenere costantemente aggiornati il sistema operativo oltre che i software e le app che vengono utilizzati più spesso;
• utilizzare dei sistemi di backup che salvino (anche in maniera automatica) una copia dei dati (sono disponibili soluzioni anche libere e gratuite per tutti i sistemi operativi). Con un corretto backup, in caso di necessità, si potranno così ripristinare i dati contenuti nel dispositivo, quantomeno fino all’ultimo salvataggio.

Come rimuovere un ransomware

Pagare il riscatto non è la soluzione. Infatti, oltre al danno economico, si corre il rischio di non ricevere i codici di sblocco, o addirittura di finire in “liste di pagatori” potenzialmente soggetti a periodici attacchi ransomware.

La soluzione consigliata è quella di rivolgersi a tecnici specializzati capaci di sbloccare il dispositivo.

Un’alternativa efficace è quella di formattare il dispositivo: ma in questo caso, oltre ad eliminare il malware, si perdono tutti i dati in esso contenuti. Per questo è fondamentale effettuare backup periodici dei contenuti  in modo da non perderli in caso di incidenti (es: danneggiamento del dispositivo, ecc.) o attacchi informatici che necessitano di interventi di ripristino.

I tipi di ransomware noti prevedono la copertura mediante antivirus ma, come qualsiasi minaccia, utility di questo tipo non possono schermare in modo efficace un attacco zero-day. Analogamente, anche gli utenti più esperti e competenti possono essere vittima di un attacco di phishing o di tipo click-fraud. I worm ransomware, ad esempio, si diffondono lateralmente in una rete senza intervento umano. Dipende dalla complessità del codice exploit.

L’uso di uno strumento antivirus e anti-ransomware è il modo migliore di riconoscere, rimuovere e prevenire i ransomware.

É necessario, quindi:

• accertarsi che tutti i software presenti sul proprio PC siano aggiornati, inclusi il sistema operativo, il browser e qualsiasi plug-in per le barre degli strumenti;
• assicurarsi che la propria protezione antivirus e firewall sia aggiornata.

Conclusione

Il rischio di ransomware induce i titolari delle aziende a riconsiderare l’approccio adottato alla protezione antivirus, alla sicurezza della rete e ai backup dei dati. È consigliabile per le aziende utilizzare una scansione antivirus che includa gli attacchi ransomware noti. Gli amministratori devono considerare il livello di tolleranza in caso di perdita dei dati sui PC dei lavoratori e come integrare backup sicuri regolari sulle macchine per la produttività desktop.

Scopri come le soluzioni Intrusa possono aiutarti a contrastare i ransomware e altri attacchi.