Alzi la mano chi si è ritrovato una finestra aperta sul desktop del proprio computer che, in seguito al blocco del sistema, intima l’utente di pagare per poter sbloccare il computer oppure chi si è visto criptografati (o crittografati, o cifrati) i propri file con la conseguente richiesta di pagare per poterli riportare in chiaro.
Questo tipo di limitazione all’accesso del proprio dispositivo si definisce Ransomware: è un tipo di malware conosciuto comunemente come virus per computer o anche codice maligno che infetta i propri strumenti informatici richiedendo un riscatto (ransom in inglese) da pagare per rimuovere tale limitazione.
Gli attacchi informatici aumentano sempre più con il progresso del mondo digitale.
Uno degli esempi più eclatanti accadde nel 2017, quando oltre 230.000 computer in 150 Paesi diversi vennero infettati dal diffondersi di una marea di ransomware con richieste di riscatto in BitCoin in 28 lingue diverse.
L’Europol, ufficio europeo di polizia, lo ha definito come il più vasto attacco ransomware di sempre: si tratta dell’attacco WannaCry che, a differenza dei precedenti, non si è diffuso tramite posta elettronica, ma attraverso un worm (in italiano verme perché in grado di autoriprodursi) informatico chiamato EternalBlue (si ritiene sia stato sviluppato dalla National Security Agency statunitense).
I fautori di tale attacco chiedevano inizialmente 300 Dollari statunitensi per poi passare al doppio del prezzo, ma la peggiore minaccia per gli utenti era quella di vedersi cancellati in modo permanente tutti i file infetti in caso di mancato pagamento.
Il WannaCry ha avuto un così grande impatto finanziario mondiale che ha causato una perdita per 4 miliardi di Dollari statunitensi in tutto il mondo.
Questi vermi informatici penetrano nel sistema rendendolo debole e attaccano i file presenti con il solo scopo di estorcere denaro agli utenti.
Da pochi giorni circola a livello mondiale la scoperta inerente l’identità dei cyber criminali che si celavano dietro un enorme attacco informatico conosciuto come Ransomware Hades.
Chi sono questi criminali informatici? Quale era il loro scopo?
Si tratta di un gruppo criminale russo, noto come Gold Winter, i cui attacchi avevano come unico obiettivo l’alto valore, ossia recuperare dalle vittime grandi quantità di denaro.
È un gruppo molto particolare, poiché generalmente i gruppi ransomware mirano a qualsiasi organizzazione, mentre tale gruppo possedeva degli obiettivi ben precisi ma, soprattutto, possedeva delle caratteristiche che lo rendevano diverso da tutti i precedenti gruppi d’attacco.
Quali sono questi tratti unici?
L’identificazione si basa sulle loro TTP, ossia sulle tattiche, tecniche e procedure impiegate nei propri cyber attacchi, i quali si fondavano soprattutto su tre punti salienti e un pilastro fondamentale.
I tre punti salienti riguardano:
- la pubblicazione della lista dei nomi delle vittime (senza usare un sito centralizzato per l’esposizione);
- la contraffazione delle note di riscatto da altri gruppi ransomware come REvil e Conti (aggiungendo identificatori unici per le vittime e sostituendo i siti web con indirizzi di posta elettronica di contatto);
- l’uso di due diversi vettori di attacco (il malware SocGholish trasformato in un falso aggiornamento di Chrome e l’accesso VPN con autenticazione a fattore singolo).
Il pilastro portante riguarda la risposta dell’utente, ossia le organizzazioni dovevano dare una risposta positiva già ai primi segnali di attacco prima che si verificasse la criptografia dei dati.
Con l’evoluzione del digitale sta diventando sempre più difficile stare un passo avanti rispetto a chi compie tali attacchi e, dal loro canto, le organizzazioni, le aziende e i vari utenti non hanno il lusso del tempo quando si tratta di indagare sull’attività prima che avvenga l’infezione.
Come possiamo difenderci da questi attacchi proveniente dal cyberspazio?
Gli esperti di sicurezza suggeriscono di creare un piano di prevenzione che vada a rilevare e a rispondere agli endpoint, l’uso dell’autenticazione multi-fattore, il backup offline dei dati in aree non accessibili al malware e la formazione periodica del team.
Foto di copertina: iltuoiphone.it
