Ransomware: cosa sono, come si comportano, come si contrastano

Niccolò Ellena

12 Aprile 2022 - 14:31

condividi

I ransomware prendono in ostaggio un dispositivo rendendo inaccessibili i dati: per liberarli al proprietario viene richiesto il pagamento di una somma in denaro

Ransomware: cosa sono, come si comportano, come si contrastano

Oggigiorno, infettare il proprio smartphone o il proprio computer con un ransomware è purtroppo molto semplice in quanto le persone che li predispongono sono estremamente esperte. Talvolta è sufficiente cliccare su un sito non sicuro o aprire un link interno ad una mail per vedere il proprio device parzialmente o completamente disabilitato.

Nel 2021 gli attacchi informatici basati sui ransomware sono aumentati in misure importanti: secondo il 2021 Annual Threat Monitor, redatto dal NCC Group, si è passati dai 1389 attacchi del 2020 ai 2690 del 2021, un aumento del 92,7%.

Esistono vari tipi di ransomware:

  • scareware
  • screenlocker
  • crypto locker.
  • worm

Scareware

Gli scareware consistono nello spingere l’utente, facendolo spaventare, a cliccare rapidamente su un pop-up che compare sul suo schermo.
Se si ignora il pop-up non ci saranno conseguenze per i nostri dispositivi e per i nostri dati, ma se, presi alla sprovvista, si dovesse cliccare su uno di questi, coloro che si celano dietro allo scareware prenderebbero il controllo del nostro dispositivo, bloccandolo.

Un esempio di scareware è rappresentato da Smart Fortress: questo si palesa sullo schermo della potenziale vittima sotto forma di pop-up, richiedendo il pagamento di una somma di denaro in cambio della rimozione di un malware che, secondo l’annuncio che compare, avrebbe infettato il nostro dispositivo.

Il modo principale per difendersi da questi malware è sicuramente quello di avere un buon antimalware sul proprio computer; ma se questo non dovesse bastare è assolutamente necessario rivolgersi ad esperti del settore, come la polizia postale.

Screenlocker

Questo ransomware ha la peculiarità di bloccare completamente lo schermo della sua vittima. Spesso è accompagnato da un annuncio che richiede di pagare una somma in denaro.

Un caso divenuto molto celebre nel 2020 è quello del Corona Locker, un caso di ransomware blocca schermo che segnala la presenza di un coronavirus e che impedisce all’utente di interagire con il dispositivo. La sua più grande particolarità è quella, grazie a un sintetizzatore vocale utilizzato dagli hacker, di far ripetere al dispositivo la parola “coronavirus” durante il blocco.

È stato recentemente scoperto un nuovo tipo di screenlocker dal nome “android/lockerpin”, sviluppato da alcuni giovani hacker in Cina.

Il malware si attiva nel momento in cui l’utente apre un’app all’interno della quale si annida e la esegue; successivamente questa chiede i diritti di amministrazione del device che, se concessi, rendono impossibile per l’utente la rimozione dell’app stessa e l’uso del dispositivo.

Una volta avvenuto ciò, il telefono inizia ad emettere un messaggio vocale che richiede il pagamento di una somma per avere di nuovo a disposizione l’uso del proprio smartphone.

Il modo più sicuro per prevenire che il proprio smartphone venga colpito da questo tipo di malware è di prestare estrema attenzione al tipo di applicazione che si scaricano sul proprio cellulare.
È pertanto consigliabile scaricare applicazioni soltanto dagli store riconosciuti e controllare in ogni caso le relative recensioni.

Cryptolocker

Questi ransomware sono in assoluto i più pericolosi: qualora infatti il proprio device venga infettato da un malware di questo tipo, non esiste alcuna possibilità di avere indietro il proprio dispositivo, almeno che non si paghi una somma in denaro.

Purtroppo, sebbene un tempo fosse possibile pagare il riscatto e successivamente rintracciare l’hacker, oggi, con il sistema della crittografia dei dati è impossibile risalire ai ladri.
Inoltre, qualora si decida di pagare la somma richiesta è necessario ricordare che non si hanno garanzie sulla restituzione dei dati che ci sono stati sottratti.

È necessario prendere tutte le precauzioni dovute per evitare di incappare in questo tipo di ransomware, in quanto, qualora ci colpisse, non ci sarebbe altra scelta che pagare il riscatto.

Un modo sicuramente intelligente per prevenire che ciò accada è armarsi di un ottimo antimalware, sebbene l’arma più potente in questi casi sia il giudizio umano e la consapevolezza che il web può nascondere molte insidie, stando attenti sui siti sul quale si naviga.

È fondamentale, inoltre, per le aziende che vogliono tutelarsi da questo rischio, fare dei backup periodici dei loro dati, cosicché, qualora vengano attaccate, queste non rischieranno di perdere completamente i loro dati.

Worm

I worm sono malware che hanno la caratteristica di diffondersi infiltrandosi in altri dispositivi attraverso la connessione Internet.

Riconoscere un dispositivo infettato da un worm non è complesso: spesso infatti i device infetti iniziano ad avere comportamenti anomali quali spegnimento del dispositivo autonomo, eccessivo rallentamento e improvvisa comparsa o scomparsa di file.

Il modo migliore per difendersi da questo tipo di malware è utilizzare un buon antimalware ed effettuare spesso scansioni del proprio dispositivo. Qualora si palesino comportamenti anomali, è consigliabile rivolgersi a uno specialista della sicurezza informatica.

Il caso forse più famoso di ransomware di tipo worm è WannaCry, che nel 2017 ha colpito tutto il mondo. I device che venivano colpiti da questo malware diventavano immediatamente inutilizzabili e costringevano i proprietari a un pagamento in denaro per averli indietro.

La storia dei ransomware

Sebbene WannCcry sia stato uno degli ultimi grandi ransomware a salire agli onori della cronaca, la storia di questi malware è molto lunga: Il primo ransomware della storia è stato creato nel 1989 da uno scienziato di Harvard, il biologo Joseph Popp. Il malware, conosciuto anche come PC cyborg, era un virus di tipo trojan che infettava i computer nei quali veniva immesso.

Una volta inserito, il virus bloccava completamente il computer dell’utente al quale veniva poi richiesto il pagamento di 189$ in favore della “PC cyborg Corporation” per sbloccare il sistema. Essendo stata la diffusione di internet successiva alla nascita di questo virus, questo non ebbe la possibilità di fare molti danni, dal momento che il suo principale mezzo di infezione erano i floppy disk.

Il fautore del malware fu presto arrestato ma non processato, dal momento che gli venne riconosciuta l’impossibilità di intendere e di volere. Per far fronte alle sue malefatte, dichiarò in seguito di voler devolvere i soldi raccolti per combattere l’AIDS.

Con l’avvento di internet i casi di attacchi ransomware sono aumentati vertiginosamente: già nel 2005 venne isolato un malware chiamato GPCode, questo aveva la caratteristica di bloccare tutti i file con una determinata estensione (.doc, .html, .zip, .rar, .xls, .jpg).

Successivamente, nel 2010, 10 hacker russi sono stati arrestati in seguito alla creazione di un ransomware chiamato WinLock, nato tre anni prima. Questo malware, della tipologia trojan, infettava i computer di coloro che lo aprivano sul proprio computer chiedendo un codice di sblocco reperibile solamente inviando un SMS ad un numero che veniva mostrato. Questa truffa, costata 10$ a ciascuno dei malcapitati, ha fruttato agli hacker più di 16 milioni di dollari.

Nel 2012 è salito agli onori della cronaca un ransomware conosciuto con Reveton. Questo malware di tipo trojan aveva infettato moltissimi dispositivi; la sua strategia si basava sul far apparire sullo schermo del device infettato un annuncio proveniente dalla polizia federale che chiedeva di pagare una multa per dei reati che il possessore del dispositivo avrebbe commesso.

Uno dei principali autori di questo malware è stato arrestato nel 2013 dalla polizia spagnola a Dubai con l’accusa di essere colluso con il gruppo di criminali creatori di Reveton.

Nel 2016 è nato un nuovo ransomware molto particolare: popcorn time. La caratteristica di questo ransomware era quella di dare la possibilità ai proprietari di dispositivi infetti di riaverli indietro scegliendo fra due possibilità: pagare un bitcoin (dal valore, al tempo, di circa 750 dollari) o di inviare un link ad altre due persone contenenti il medesimo malware, diventando rei questi stessi del reato degli hacker.

Qualora si fosse raggiunto l’obiettivo di infettare altri due dispositivi e i malcapitati avessero deciso di pagare il riscatto, gli hacker avrebbero fornito all’utente la chiave di sblocco del proprio dispositivo.

La particolarità di questo ransomware risiede proprio nella sua capacità di diffondersi mediante persone che non sono degli hacker ma che, messi davanti alla difficile scelta di pagare, preferiscono la via più semplice, macchiandosi però di un reato.

All’inizio del 2018 è stato scoperto Ryuk, un ransomware che ha fra le sue peculiarità il fatto che attacchi soltanto le aziende.

Nato nel 2018 da un gruppo di hacker russi chiamato Grim Spyder, il malware aveva già nel 2019 raccolto più di quattro milioni di dollari. Nel medesimo anno, si è manifestato anche il primo attacco a un’azienda italiana, la quale è stata costretta a fermare momentaneamente il proprio processo di produzione per arginare il malware e rimettersi in sicurezza, perdendo un sacco di soldi.

Nel 2019 nasce Maze, un ransomware che è circolato dal 2019 al 2020, principalmente attraverso mail spam con allegati excel o word o collegamenti esterni.

Durante la diffusione di questo malware i suoi creatori avevano creato un sito online dove, al fine di incoraggiare i derubati a pagare il riscatto, pubblicavano le informazioni più sensibili che avevano sottratto.

Argomenti

# Hacker

Iscriviti a Money.it