19 Set 2023

Ransomware: storie reali

Il ransomware è una delle minacce più gravi nel mondo della cybersecurity. Questa minaccia ha avuto un aumento significativo negli ultimi anni. L’ultimo report «Threatland» curato dal Security Operation Center (SOC) e dal Team di Cyber Threat Intelligence di Swascan, azienda di Cybersecurity del Polo Cyber del Gruppo Tinexta, ha rilevato che nel secondo trimestre del 2023 questo fenomeno è cresciuto del +34,6€ in Italia e del +62% a livello globale.

Cos’è il ransomware e come si prende?

Il ransomware è un malware che sequestra i dati o i sistemi informatici di un’organizzazione o di un individuo, crittografandoli e chiedendo un riscatto (in inglese ransom) per rilasciare la chiave di decrittazione. I dati infettati sono inutilizzabili e costringono spesso i malcapitati a pagare una somma (spesso in bitcoin) affinché vengano ripristinati e restituiti.

Il ransomware si diffonde solitamente tramite:

• le email di phishing: che invitano a cliccare su determinati file o su alcuni link;
• visitando siti compromessi: un ransomware si può prendere anche visitando siti infetti (in questo caso si parla di drive-by-download che significa scaricamento all’insaputa);
• visitando siti fake: che riproducono fedelmente le caratteristiche di quelli originali;
• attraverso supporti di memorizzazione: anche una chiavetta USB può rappresentare un rischio e contenere un link malevolo. Questa tecnica prende il nome di “baiting” (esca) e fa leva sulla curiosità delle persone che trovando una chiavetta o un hard disk incustoditi, spinte dalla curiosità, li inseriscono nel loro dispositivo per sapere cosa contengono;
• attraverso programmi gratuiti da scaricare online: un ransomware potrebbe essere nascosto anche nei programmi gratuiti che ci permettono di “crackare” dei software;

Dietro un attacco ransomware vi sono spesso vere e proprie organizzazioni criminali che spesso guidano la vittima addirittura fino alla fase della transazione. Come abbiamo visto, ci sono tante altre modalità attraverso le quali è possibile subire un attacco ransomware. La consapevolezza d’uso, unitamente al senso di responsabilità mentre si naviga, possono aiutare l’utente a non incappare nella rete degli hacker. Un’altra forma di protezione è rappresentata dalla buona pratica di eseguire dei backup regolari dei propri dati, su più storage differenti e anche su cloud.

Cosa fare se si viene attaccati?

Senza farsi prendere dal panico, ci si può rivolgere ad un’azienda che si occupa di sicurezza informatica. Le strade sono diverse: si può tentare un ripristino dei dati da un backup oppure recuperarli dal cloud o ancora cercare un decryptor online valido. Infine, se nessuna delle soluzioni è percorribile, non resta che valutare il pagamento del riscatto in base all’importanza del recupero dei dati sequestrati.

Qualche caso realmente accaduto…

Geox

A giugno 2020 un ransomware ha attaccato la nota azienda di calzature, rendendo di fatto inaccessibili i suoi sistemi e paralizzandone tutte le attività, dalla logistica all’e-commerce. Purtroppo l’azienda era stata già vittima qualche mese prima di un altro attacco, avvenuto tramite la pubblicazione di un sito fake che si spacciava per l’outlet ufficiale Geox.

Enel

Anche Enel non viene risparmiata dagli hacker: nell’ottobre 2020 infatti subisce un furto di dati per i quali viene richiesto un riscatto di oltre 16 milioni di dollari, pena la pubblicazione. A giugno aveva subito un altro attacco con Snake, un altro ransomware.

Enac

Il 10 luglio del 2020 un attacco ransomware coinvolge l’Ente Nazionale per l’Aviazione Civile. Fortunatamente in quel caso i dati più importanti, di proprietà della NATO, erano presenti su un sistema separato che non era in rete e il sito è stato ripristinato dopo quasi una settimana.

Campari

A novembre del 2020, il ransomware che ha colpito Campari, Ragnar Locker, ha sequestrato oltre 2 Tb di dati, chiedendo un riscatto di oltre 15 milioni di dollari.

Sei un appassionato di Cybersecurity e vorresti frequentare un corso?

Dai un’occhiata al nostro corso Security Analyst in partenza il 12 ottobre 2023!