Cos'è il ransomware?

Una terminologia che abbiamo ascoltato e letto molto, in particolare negli ultimi due anni ci siamo imbattuti in questo gergo, per lo più in un contesto negativo in cui alcune organizzazioni sono state vittime di un attacco ransomware e così via.

Il ransomware è un tipo di software dannoso, noto anche come malware (un altro gergo usato abbastanza frequentemente) che rappresenta una potenziale minaccia per limitare i dati o pubblicarli in un forum pubblico, causando potenziali rischi per l'azienda. Questo di solito viene fatto crittografando i dati per cui la vittima deve pagare un riscatto all'attaccante per aver rilasciato i dati. Di solito in questi casi, c'è un termine entro il quale la vittima deve pagare il riscatto. Nel caso in cui la vittima non rispetti la scadenza, l'attaccante cancellerà i dati. Nella migliore delle ipotesi, l'attaccante aumenterà il valore del riscatto con una scadenza rivista.

Gli attacchi di malware sono piuttosto comuni in questi giorni e abbiamo visto molte organizzazioni del Nord America e dell'Europa essere vittime di tali attacchi. Questi cybercriminali non hanno criteri prestabiliti in quanto possono attaccare qualsiasi gruppo di clienti o qualsiasi organizzazione in tutti i settori verticali.

Molte agenzie come l'FBI e alcuni governi si astengono dal pagare tali riscatti. In effetti, esiste un progetto speciale chiamato No Ransom Project, un'organizzazione senza scopo di lucro che lavora per l'obiettivo di non dare riscatti agli attaccanti informatici. Inoltre, si osserva che le vittime che pagano il riscatto sono soggette a ripetuti attacchi ransomware

Sfondo di attacchi ransomware

Se osserviamo la storia degli attacchi ransomware, risale al 1989, quando "AIDS Virus" è stato utilizzato dai cyberattaccanti per estorcere fondi alle vittime. Una volta che i pagamenti per questo attacco sono stati rilasciati (tramite posta) a Panama, la chiave di decrittazione è stata rilasciata anche via posta.

Nell'anno 1996, due individui Moti Yung e Adam Young della Columbia University hanno introdotto una definizione di ransomware e hanno coniato il termine "estorsione cripto virale". Questi due accademici hanno presentato il primo attacco di criptovirologia nell'anno 1996 in una conferenza dell'IEEE, che era una conferenza sulla sicurezza e sulla privacy.

Per un periodo di tempo, abbiamo assistito all'innovazione nel campo degli attacchi informatici e degli attacchi ransomware. Gli aggressori informatici sono diventati creativi chiedendo pagamenti di riscatto praticamente impossibili da tracciare. In questo modo questi criminali informatici mantengono l'anonimato su dove si trovano. Poiché abbiamo assistito a un'impennata nell'uso di criptovalute come Bitcoin, abbiamo assistito a un aumento considerevole degli attacchi ransomware.

Se osserviamo il modello, gli attacchi ransomware hanno reso ogni settore una vittima, con l'attacco più famoso quello al Presbyterian Memorial Hospital. È stato un attacco massiccio in cui laboratori, farmacie e pronto soccorso sono stati tutti vittime di questo.

Come funziona un ransomware?

Come accennato in precedenza, il ransomware è un tipo di malware creato per estorcere denaro alle organizzazioni crittografando i loro dati e bloccandone l'accesso. Vediamo principalmente due tipi di ransomware: un set è noto come crittografi e l'altro set è noto come screen locker. Poiché il nome è autoesplicativo, i crittografi crittografano i dati, rendendoli ridondanti senza una chiave di decrittografia. Tuttavia, i blocca schermo bloccano semplicemente l'accesso al sistema distribuendo una "schermata di blocco".

In questo scenario, di solito le vittime vedono una schermata di blocco che contiene un messaggio per acquistare criptovaluta come Bitcoin per pagare il riscatto. Non appena il riscatto viene pagato, le organizzazioni ricevono la chiave di decrittazione e quindi possono provare a decrittografare i file. Tuttavia, non esiste una regola o un'etica seguita da questi cyber-attaccanti. A volte, anche dopo il pagamento del riscatto, le vittime non ricevono le chiavi di decrittazione. Nel peggiore dei casi, il malware è ancora installato anche dopo il pagamento del riscatto.

Di solito, tali attacchi di malware aziendali iniziano con un'e-mail sospetta che. Un utente potrebbe aprire quell'e-mail senza sospettare nulla e questo apre solo un barattolo di worm.

Chi è a rischio?

Quando si parla di ransomware, qualsiasi gadget o dispositivo connesso a Internet è un potenziale rischio per diventare vittima di un attacco malware. Il ransomware di solito controlla un dispositivo locale e qualsiasi dispositivo connesso alla rete, il che significa che anche la rete locale di un'organizzazione rischia di diventare una vittima.

Pertanto, se un dispositivo è connesso a Internet, diventa un prerequisito per l'organizzazione garantire che gli ultimi aggiornamenti di sicurezza e sistemi di sicurezza degli endpoint siano in atto per evitare qualsiasi tipo di ingresso dannoso da parte di questi cybercriminali.

Impatto del ransomware sul business?

È una dichiarazione non scritta che qualsiasi azienda vittima di un ransomware subirà perdite che possono arrivare a milioni di dollari. Oltre a ciò, crea un effetto increspato della perdita di nuovi affari. Anche se un'azienda viene salvata, i dipendenti devono dedicare molte ore a costruire i dati che hanno perso, causando così migliaia di ore di perdita di produttività. Una delle prime cose che fa qualsiasi attacco malware è fermare la produttività dell'organizzazione. Pertanto, è pertinente che le organizzazioni eseguano il contenimento come primo compito. L'esecuzione di un'analisi della causa principale aiuta a identificare la vulnerabilità, ma se provoca ritardi, avrà un grave impatto sulla produttività e sui ricavi.

Esempi di ransomware

Mentre gli esempi di ransomware sono in abbondanza per ogni entità aziendale a cui fare riferimento, ce ne sono alcuni cruciali che si distinguono, che possono aiutare a creare le basi per qualsiasi organizzazione per evitare tali attacchi ransomware. Diamo un'occhiata ad alcuni degli esempi

WannaCry – Era un potente virus attorno a una vulnerabilità di Microsoft che è stata sfruttata da questi cyber-attaccanti per infettare oltre 250.000 sistemi. Tuttavia, prima che potesse diffondersi su più sistemi, è stato attivato un kill switch per fermarlo. Proofpoint: un nome nello spazio di sicurezza e privacy, è stato distribuito per ottenere i dettagli del ransomware.

BadRabbit – questo era considerato un ransomware visibile, il cui obiettivo principale erano le società di media in Russia e nella regione dell'Ucraina. Non appena il riscatto è stato pagato, BadRabbit ha fornito il codice di decrittazione. Si sospetta che il virus sia stato diffuso tramite un falso Flash Player.

NotPetya – detto essere il fratello maggiore di BadRabbit, NotPetya è stato uno degli attacchi malware più devastanti. Ha sfruttato la vulnerabilità come WannaCry e ha iniziato a diffondersi rapidamente. Ha richiesto un riscatto in bitcoin, tuttavia, NotPetya non ha potuto annullare le modifiche al record di avvio principale, il che significava che il sistema di destinazione era reso irrecuperabile.

Questi sono alcuni dei migliori esempi di malware. Ce ne sono stati altri come CryptoLocker, REvil, Ryuk e molti altri.

Pensieri finali

Il ransomware non sta scomparendo. Finché ci sono persone che hanno cattive intenzioni, vedremo costantemente innovazione in questo settore. Ciò è evidente da una statistica dell'FBI, che afferma che ogni giorno si verificano circa 4000 attacchi ransomware. Sebbene ransomware e virus siano diversi tipi di malware, il ransomware essenzialmente non è un virus, perché non si replica come un virus.

L'unico modo per le organizzazioni di proteggersi da tali attacchi ransomware è continuare a innovare i propri sistemi di sicurezza e anche istruire gli utenti sulle potenziali minacce ransomware, comprese le e-mail dannose e altre fonti.