Che cosa sono i ransomware?

Il ransomware è un software dannoso che punta a estorcere denaro dalle vittime. È una delle strategie criminali più proficue nel mondo del business, soprattutto grazie ai riscatti multimilionari che i criminali riescono a sottrarre a persone e aziende. Le richieste sono molto semplici: pagare il riscatto o subire una grave compromissione o l'interruzione completa delle attività.

Molto spesso, un'organizzazione viene a conoscenza dell'attacco solo quando su uno schermo compare una notifica con cui viene informata che i dati della sua rete sono stati crittografati e resteranno inaccessibili finché non sarà pagato un riscatto. Solo dopo il pagamento sarà fornito il codice di decrittazione che consente di accedere nuovamente ai dati. Il mancato pagamento può causare la distruzione del codice, che rende i dati definitivamente inaccessibili.

La buona notizia è che di solito i ransomware non fanno tutto da soli. Per poter entrare in azione, devono essere prima attivati, solitamente tramite un link dannoso o un allegato e-mail.

Generalmente sono cinque le fasi che permettono a un ransomware di raggiungere il proprio obiettivo.

Il sistema viene compromesso

La maggioranza degli attacchi ransomware nasce come esercizio di social engineering, solitamente sotto forma di allegato o link dannoso. Lo scopo è invogliare l'utente a cliccare su questi oggetti per attivare il malware.

Il malware assume il controllo

Una volta che il malware ha assunto il controllo del sistema, alcuni tipi di file vengono crittografati e il sistema non è più accessibile agli utenti.

La vittima viene informata

Per il pagamento del riscatto, l'utente deve essere a conoscenza delle richieste dei criminali. A questo punto, di solito riceve una notifica sullo schermo che spiega quali sono le richieste e come riottenere l'accesso.

Il riscatto viene pagato

Una volta ottenuto l'accesso al sistema, i criminali identificano e crittografano alcuni tipi di file o negano l'accesso all'intero sistema.

Ripristino dell'accesso completo

Nella maggioranza dei casi, gli hacker restituiscono alla vittima il controllo completo del sistema. È nel loro interesse farlo: in caso contrario, infatti, dubitando di poter rientrare in possesso dei loro dati le vittime sarebbero meno propense a pagare.

I ransomware sono assurti agli onori della cronaca negli ultimi anni, ma si ritiene che il primo virus di questo tipo sia entrato in circolazione già nel 1998, quando il ceppo PC Cyborg utilizzò la crittografia simmetrica per prevenire l'accesso ai file. Tuttavia, solo nel 2012 è comparso il worm Reveton: il primo ceppo di malware a tenere in ostaggio i dati fino al pagamento di un riscatto.

Sono due i tipi di ransomware più diffusi oggi: Crypto e Locker. Entrambi impediscono l'accesso a dati e file, solitamente mediante crittografia.