I ransomware, negli ultimi 5 anni, sono passati da essere una minaccia per i computer di singoli utenti a rappresentare un serio pericolo per le reti aziendali.

Nel 2020 la minaccia dei ransomware ha toccato il suo apice. A livello globale i cybercriminali hanno approfittato delle diffuse preoccupazioni legate al COVID-19, conducendo attacchi di phishing con temi legati alla pandemia e prendendo pesantemente di mira settori già messi sotto pressione come quello sanitario.

I criminali informatici hanno smesso di cercare semplicemente di infettare il maggior numero possibile di computer e ora prendono di mira le vittime di maggiore peso economico. Gli attacchi alle organizzazioni commerciali e alle agenzie governative richiedono un’attenta pianificazione ma possono portare a ricompense potenziali di decine di milioni di dollari.

I gruppi di cybercriminali che creano i ransomware sfruttano il potenziale economico delle aziende, che tende a essere molto più grande rispetto a quello degli utenti comuni. Inoltre, molti gruppi di cybercriminali moderni rubano i dati prima della cifratura, aggiungendo la minaccia della pubblicazione come ulteriore leva. Per l’azienda colpita i rischi aumentano: si va dal danno di immagine ai problemi con gli azionisti, per non parlare delle multe imposte dagli organismi regolatori, il cui importo spesso è superiore rispetto a quello richiesto come riscatto.

Secondo l’X-Force Threat Intelligence Index 2021 il gruppo criminale Sodinokibi (noto anche come REvil) grazie ai ransomware ha guadagnato la cifra record di 123 milioni di dollari nel 2020.

Ecco una breve classifica dei ransomware più pericolosi.

AIDS Info Disk: il primo ransomware della storia

Il primo ransomware passato alla storia fu il trojan AIDS, noto anche come PC Cybor. Fu programmato in QuickBasic 3.0 nel 1989 dal biologo statunitense Joseph Popp e diffuso tramite floppy disk inviati tramite servizi postali. Popp inviò 20.000 floppy disk da 5,25” a ricercatori fuori dagli Stati Uniti che stavano effettuando delle ricerche sull’AIDS. “PC Cybor Corporation” era il mittente fittizio delle lettere da cui provenivano i floppy disk con su scritto “AIDS Information – Introductory Diskettes”. I dischetti erano accompagnati da un opuscolo informativo in cui si affermava la necessità di acquistare una licenza per utilizzare il software. All’interno dei dischetti erano presenti due installabili: “INSTALL.EXE” e “AIDS.EXE”. Il primo era il malware effettivo. Una volta che il malware si era insediato nel PC sostituendosi al file AUTOEXEC.BAT, il file di avvio del sistemi Windows MS-DOS, veniva visualizzato un messaggio in cui veniva chiesto all’utente di rinnovare la licenza per poter continuare ad utilizzare il computer. Le stampanti connesse stampavano un documento in cui si invitava a inviare 189 dollari a una casella postale a Panama per una licenza annuale e ottenere istruzioni sul ripristino dei dati. L’installazione del ransomware è stata eseguita dal 5% degli utenti, pari a circa 1.000 computer. Il ransomware provocò danni notevoli alla scienza. Un’organizzazione italiana per la ricerca sulla cura all’AIDS perse a causa del ransomware circa 10 anni di risultati di studio. Joseph Popp venne arrestato dall’FBI nel gennaio del 1990 dopo essere stato notato da un funzionario di sicurezza all’aeroporto di Amsterdam Schiphol. Ciò impedì che inviasse 2 milioni di floppy fisk contenenti il ransomware. Fu dimesso dal carcere prematuramente nel 1991 a causa della sua salute mentale instabile.

CryptoLocker

CryptoLocker è entrato in scena nel 2013 ed è stato molto probabilmente il primo ad aprire l’era dei ransomware su larga scala. Diffusosi tramite allegati e messaggi spam utilizzando il botnet Gameover ZeuS, ha utilizzato la crittografia della chiave pubblica RSA 2048 bit per criptare i file degli utenti in cambio di denaro. Secondo Avast, al suo apice tra la fine del 2013 e l’inizio del 2014, CryptoLocker aveva infettato oltre 500.000 computer utilizzando anche i cloni CryptoWall, Crypt0L0cker e TorrentLocker. Il software malevolo era piuttosto “elementare” ed è stato sconfitto grazie all’Operazione Tovar, una campagna congiunta tra FBI, Interpol, aziende di sicurezza e università. CryptoLocker ha aperto la strada a molte altre varietà di ransomware che si sono basati proprio sul suo codice per creare nuove minacce.

TeslaCrypt

Se all’inizio si era presentato come una variante di CryptoLocker, questo ransomware ha poi ottenuto una sua identità grazie al suo particolare modus operandi. TeslaCrypt ha preso di mira i file ancillari associati ai videogiochi, come partite salvate, mappe, contenuti scaricabili e simili. Per i gamer si tratta spesso di file importanti, salvati localmente piuttosto che su cloud o unità esterne. Nel 2016 TeslaCrypt ricopriva il 48% degli attacchi ransomware a livello mondiale. Alle vittime veniva richiesto un riscatto pari a 500 dollari in bitcoin. Una caratteristica che gli ha permesso di colpire così tante vittime è stata il suo costante evolversi. Agli inizi del 2016 era possibile ripristinare i file solo con l’intervento degli hacker creatori. La sorpresa arrivò a maggio 2016 quando i creatori di TeslaCrypt decisero di metter fine alle proprie attività malevole e offrirono al mondo la chiave di decodifica principale. Dopo qualche giorno ESET rilasciò un tool gratuito per decrittare i computer infetti.

SimpleLocker

Sappiamo tutti come il mobile abbia preso piede nella nostra vita e sia diventato il dispositivo elettronico più utilizzato. Questo nuovo trend non poteva non essere sfruttato dagli hacker. Tra la fine del 2015 e il 2016 abbiamo assistito a un escalation di attacchi ransomware a dispositivi con sistema operativo Android fino a quattro volte in più.

All’inizio si trattava di attacchi che rendevano difficile l’accesso ai file impedendo agli utenti di accedere a sezioni dell’interfaccia utente. Alla fine del 2015 si diffuse SimpleLocker, conosciuto anche come Andr/Slocker-A, il primo vero ransomware su Android. SimpleLocker si diffonde come trojan downloader mascherato da app. Una volta installato, scansiona il dispositivo e utilizzando la crittografia AES cambia l’estensione dei file in .ENC. Raccoglie inoltre informazioni come il numero IMEI, il modello, il produttore e li invia a un server C2. Le versioni più recenti erano in grado di accedere alla fotocamera e mostrare una foto della vittima per spaventarla e convincerla a pagare il riscatto. SimpleLocker è nato in Europa dell’Est, ma la maggior parte delle sue vittime sono state localizzate negli Stati Uniti. SimpleLocker non rappresenta più una minaccia oggi. Su questa pagina è possibile trovare dettagliate informazioni su come rimuovere SimpleLocker su diversi modelli Android.

Emotet

Emotet è un programma malware originariamente sviluppato sotto forma di trojan bancario. L’obiettivo era quello di accedere a dispositivi stranieri e spiare i dati privati sensibili. Emotet ha ingannato i programmi anti-virus di base nascondendosi da essi. Una volta infettati i sistemi, il malware si diffonde come un worm cerando di infiltrarsi in altri computer nella rete. Emotet si diffonde principalmente attraverso e-mail di spam. L’e-mail contiene un collegamento dannoso o un documento infetto. Scaricando il documento o aprendo il collegamento, vengono automaticamente scaricati altri malware nel computer. Le e-mail sono state create per sembrare molto autentiche e molte persone sono rimaste vittime di Emotet. E’ stato rilevato per la prima volta nel 2014, quando i clienti di banche tedesche e austriache sono stati colpiti dal trojan. Emotet aveva ottenuto l’accesso ai dati degli account di accesso dei clienti. Negli anni successivi, il virus si è diffuso a livello globale. Emotet si è evoluto da trojan bancario a dropper, ovvero un trojan che ricarica il malware sui dispositivi. Questi ultimi sono quindi i responsabili del danno effettivo al sistema. Emotet prende di mira privati, nonché aziende, organizzazioni e autorità. Nel 2018, dopo essere stato infettato da Emotet, l’ospedale di Fuerstenfeldbruck in Germania ha dovuto arrestare 450 computer e disconnettersi dal centro di controllo dei soccorsi nel tentativo di controllare l’infezione. A settembre 2019 è stata colpita la Corte d’Appello di Berlino, mentre a dicembre 2019 è stata la volta dell’Università di Giessen. Anche la Medical University di Hannover e l’amministrazione comunale di Francoforte sul Meno sono state vittime di Emotet.

Cerber

Cerber è un esempio di tecnologia ransomware evoluta che sfrutta la crittografia RSA avanzata. Viene distribuito come ransomware-as-a-service (RaaS), una sorta di “programma di affiliazione” per i criminali informatici. Chiunque può acquistarlo e farlo circolare sul web in cambio del 40% dei profitti. Il software malevolo ha preso come target gli utenti del pacchetto Office 365 su cloud. Utilizza un’elaborata campagna di phishing che ad oggi ha colpito milioni di utenti in tutto il mondo. Unica eccezione i paesi dell’Europa orientale. L’attacco avviene così: in genere la vittima riceve un’e-mail con in allegato un documento Microsoft Office infetto. Una volta aperto, il ransomware può funzionare silenziosamente in background durante la fase di crittografia non destando nessun sospetto. Una volta completata la crittografia dei file, l’utente trova una nota con il riscatto nelle cartelle infette e spesso anche come sfondo del desktop. Al suo apice agli inizi del 2017, Cerber rappresentava il 26% di tutti gli attacchi ransomware. Ad oggi sono disponibili vari decodificatori che possono aiutare a decrittare i file.

SamSam

Gli attacchi ransomware noti come SamSam sono apparsi alla fine del 2015, ma sono cresciuti solo qualche anno dopo riuscendo a mettere in ginocchio obiettivi di alto profilo in particolare negli Stati Uniti. SamSam ha alle spalle un solido modello organizzativo piuttosto che una struttura tecnica. Nel 2015 e 2016 venivano sfruttare le vulnerabilità JBoss. Poi nel 2018 SamSam ha forzato password deboli o sfruttato le vulnerabilità su RDP, server basati su Java e server FTP per ottenere accesso alla rete delle vittime. Sembra che gli attacchi SamSam siano manuali e che quindi ci sia qualcuno dietro la tastiera ad attaccare la rete e rendere i file inaccessibile con la crittografia RSA-2048. Si tratta di un attacco studiato e il riscatto varia in base al livello e al volume dei dati della vittima, nonché della sua disponibilità a pagare. Analizzando il wallet Bitcoin del gruppo SamSam è emerso, ad esempio, che l’ospedale statunitense Hancock Health il 13 gennaio 2018 alle 2:31 del mattino ha versato il riscatto di 4 bitcoin pari a circa 51.000 euro. Nel giro di due ore i sistemi della struttura sanitaria sono stati ripristinati.

WannaCry

WannaCry è uno dei ransomware più pericolosi, nonché uno dei maggiori attacchi informatici di sempre. Per la prima volta il termine ransomware entrò nel dibattito pubblico e nella stampa mondiale. A maggio 2017 erano caduti vittime 200 mila utenti in circa 150 paesi tra cui grosse aziende, organizzazioni e istituzioni pubbliche. Si tratta della prima ondata di attacchi con strumenti di hacking trapelati dalla NSA. WannaCry utilizza l’exploit EternalBlue e un bug di Microsoft nell’implementazione del protocollo SMB. Nonostante Microsoft avesse rilasciato un aggiornamento di sicurezza, molti computer non erano stati ancora aggiornati. WannaCry ha sfruttato proprio questa lacuna diffondendosi in modo aggressivo su tutti i dispositivi collegati in rete. Una sua caratteristica pericolosa è il fatto che si autoinstalla nel computer criptando i file con l’estensione .WCRY. L’estorsione è pari a 300 dollari in bitcoin da pagare entro i primi 3 giorni, poi vengono raddoppiati a 600. Se il pagamento non avviene entro una settimana tutti i file andranno persi. Due anni dopo la diffusione mondiale di WannaCry, si conta che ancora due milioni di computer siano ancora esposti all’attacco.

Petya e NotPetya

Dopo WannaCry, l’era dei ransomware è stata confermata da NotPetya. Petya era un pacchetto ransomware risalente al 2016. Poche settimane dopo l’epidemia di WannaCry, iniziò a diffondersi in una versione aggiornata, che sulle tracce dell’ormai noto ransomware WannaCry, sfruttava l’exploit EternalBlue. Data la sua evoluzione nel tempo venne cambiato il nome in NotPetya. Il ransomware in data 28 giugno 2017 è stato registrato per l’80% in Ucraina, secondi dati ESET. Al secondo posto c’era la Germania al 9%. Anche NotPetya si è diffuso principalmente via e-mail allegando un file con estensione .doc, .xls, .ppt o .pdf. Il file può essere visualizzato tranquillamente ma all’insaputa dell’utente viene installato e avviato un dropper che scarica da Internet il malware vero e proprio. Una volta criptati i file, il PC viene reso inutilizzabile e viene chiesto un riscatto di 300 dollari in bitcoin. La differenza fondamentale tra Petya e gli altri ransomware come WannaCry, è che invece di crittografare ogni file, questo ransomware punta direttamente al boot loader del PC.

Bad Rabbit

Bad rabbit segue le orme di WannaCry e NotPetya. Ha colpito organizzazioni prevalentemente in Russia e nell’Europa orientale travestito da installazione Adobe Flash. Si diffonde tramite download drive-by su siti web compromessi in cui è stato inserito nel codice HTML o nei file Java utilizzando JavaScript. Una volta scaricato e installato, il PC viene bloccato. Il riscatto è di 280 dollari in bitcoin con una scadenza di 40 ore per effettuare il pagamento.

Ryuk

Ryuk è un ransomware che ha colpito molto tra il 2018 e il 2019 mirando specificamente organizzazioni che possono sborsare parecchio e a cui non è possibile avere tempi di inattività. Tra le vittime si annoverano quotidiani americani e il servizio idrico del North Carolina alle prese con le conseguenze dell’uragano Florence. Il ransomware utilizza algoritmi militari robusti come RSA4096 e AES-256. Una caratteristica particolarmente subdola di Ryuk è che può disabilitare l’opzione “Ripristino configurazione di sistema” di Windows sui computer infetti. Ciò rende ancora più difficile recuperare i dati crittografati senza pagare i criminali. Le richieste di riscatto erano inoltre particolarmente elevate in corrispondenza all’importanza delle vittime. Gli analisti ritengono che il codice sorgente di Ryuk sia in gran parte derivato da Hermes, un prodotto del gruppo Lazarus della Corea del Nord. Ciò non significa che il ransomware sia gestito dallo stato coreano. McAfee ritiene che Ryuk sia stato costruito su un codice di un produttore di lingua russa, in parte perché il ransomware non viene eseguito su computer in cui la lingua è impostata su russo, bielorusso e ucraino. Qui è possibile trovare dettagliate informazioni per eliminare Ryuk su diversi sistemi operativi Windows.

GandCrab

GandCrab è considerato il ransomware multimilionario più popolare e diffuso nel 2018 e 2019. Per evitare il rilevamento i criminali informatici dietro a GandCrab hanno fatto forte affidamento sulle macro di Microsoft Office, VBScript e PowerShell. GandCrab utilizza un modello ransomware-as-a-service (RaaS) per massimizzare la distribuzione focalizzandosi soprattutto sul phishing via e-mail. Le richieste di riscatto vanno da 500 a 600 dollari. Secondo un report di gennaio 2018, GandCrab ha infettato oltre 48.000 nodi in un mese. Nonostante tutti gli sforzi e i successi nel recupero dei dati, non si è ancora riuscito a debellare la minaccia dal momento che il team di criminali apporta continuamente modifiche. A marzo 2019, erano in circolo 9 distinte varianti del ransomware. L’Europol, in collaborazione con la polizia rumena, la procura generale e Bitdefender, ha hackerato i server di GandCrab per ottenere le chiave e ha realizzato un prodotto che permette di decifrare i file gratuitamente per la versione del software malevolo 1,4 fino a 5.1.