Skip to content Skip to navigation Skip to footer

Defining Ransomware

Ransomware is malicious code that renders the files and/or operating environment of an endpoint unavailable—be it an end user device or a server—until a payment is made to the cybercriminal.

Cybercriminals use ransomware to take over devices or systems to extort money. Once the malware has been installed, the hacker controls and freezes you out of it until you pay a ransom. In the earliest versions of ransomware, the attackers claimed that after you paid the ransom, you would get a decryption key to regain control of your computer. 

The Evolution of Ransomware

Ransomware has evolved and now there are various types. Some ransomware just encrypt files while others that destroy file systems. Some cybercriminals are solely financially motivated and will indeed return systems to operation after payment. Other types of attackers aren’t and won’t restore operations after payment out of spite or, perhaps, for political or other reasons.

Currently, many ransomware campaigns employ multiple measures and methods to elicit payment. In addition to holding systems for ransom, some cybercriminals steal data and threaten to release it if  ransom is not paid. Other attackers even go so far as to contact the customers whose data they’ve stolen in an attempt to collect payment from them.

Ransomware attacks have crippled entire organizations for hours, days, or longer. The latest ransomware threat class requires much more than just a secure backup and proactive restore process.

Initially, protecting against ransomware with a secure backup and proactive restore process were often enough to get an organization off the hook. However, the latest versions of ransomware require more comprehensive security solutions.

Prevenzione del ransomware

Ci sono delle buone notizie: i sofisticati attacchi ransomware multistadio di oggi offrono alle potenziali vittime/organizzazioni molteplici possibilità di bloccare un attacco ransomware prima che rubi dati o blocchi computer/file. 

Naturalmente l’ideale sarebbe non dar modo a un aggressore di iniziare la sua opera, ma anche qualora l’attacco andasse a buon fine e penetrasse il sistema, è fondamentale identificare le fasi iniziali, come il rilevamento della rete, le comunicazioni di comando e controllo, il movimento laterale, la raccolta e lo staging dei dati, l’esfiltrazione e la crittografia. Di seguito sono riportati alcuni suggerimenti su come prevenire e rispondere al meglio a un attacco ransomware.

9 Tips To Reduce Ransomware Risk

1. Non fare mai clic su collegamenti non verificati

Se il collegamento si trova in un’e-mail di spam o in un sito web strano, dovresti evitarlo. Spesso gli hacker propagano il ransomware attraverso un collegamento dannoso che avvia il download di un malware. Una volta che il malware si è installato sul tuo computer, può crittografare i tuoi dati e tenerli in ostaggio, consentendo solo a chi possiede la chiave di decrittazione di accedervi.

Tuttavia, il malware deve prima avere accesso al computer e il metodo più diffuso per propagare il ransomware è attraverso i collegamenti malevoli. Se un collegamento non è stato verificato, la cosa migliore da fare è ignorarlo.

2. Analizza le e-mail per verificare che non contengano malware

Per bloccare i virus ransomware o altri malware inizia con l‘eseguire la scansione delle comunicazioni e-mail. Gli strumenti di scansione delle e-mail sono spesso in grado di rilevare i software dannosi. Se viene individuato un malware, l’e-mail può essere eliminata prima che raggiunga la tua casella di posta in arrivo. 

Solitamente il malware contenuto nell’e-mail è incorporato in un allegato o in un file contenuto nel corpo dell’e-mail. È risaputo che gli hacker utilizzano immagini che all’apparenza sembrano innocenti, ma se fai clic su di esse, innescano l’installazione del ransomware sul tuo computer. La scansione delle e-mail contenenti questi tipi di file può impedire l'infezione del dispositivo o di altri utenti della rete.

3. Utilizza un firewall e la protezione degli endpoint

I firewall possono essere un valido aiuto mentre si cerca di capire come bloccare gli attacchi ransomware. I firewall analizzano il traffico in entrata e in uscita, alla ricerca di malware e altre minacce. Un firewall può scoprire da dove provenga un file, dove sia diretto e altre informazioni sul percorso compiuto, e utilizzare tali informazioni per capire se è probabile che contenga un ransomware. 

Un firewall di nuova generazione (NGFW) può utilizzare tecniche DPI per esaminare il contenuto dei dati stessi alla ricerca di ransomware, ed eliminare qualsiasi file che li contenga.

Con la protezione degli endpoint, i singoli endpoint sono protetti dalle minacce. Esistono alcuni tipi di traffico più inclini a trasportare minacce e la protezione degli endpoint può impedire al tuo dispositivo di interagire con questi tipi di dati. Inoltre, gli hacker possono utilizzare applicazioni dannose per infettare i tuoi endpoint con ransomware. La protezione degli endpoint impedirà agli endpoint designati di eseguire questo tipo di applicazioni.

4. Scarica contenuti solo da siti attendibili

È pratica comune per gli hacker inserire malware in un sito web e utilizzare contenuti o tecniche di ingegneria sociale per indurre un utente a fare clic all’interno del sito. L’ingegneria sociale applica pressione sull’utente, in genere attraverso la paura, per indurlo a intraprendere l’azione desiderata, che in questo caso sarebbe fare clic su un collegamento dannoso.

In molti casi, il collegamento stesso può sembrare innocente. Se non conosci il sito o se il suo URL appare sospetto nonostante il sito in sé sembri affidabile, stanne lontano. I cybercriminali spesso creano siti falsi che sembrano affidabili. Controlla sempre l’URL prima di scaricare qualsiasi cosa da un sito.

5. Effettua il backup dei dati importanti

Chi utilizza attacchi ransomware predilige colpire gli utenti che dipendono da determinati dati per gestire le loro organizzazioni. Spesso, poiché i dati svolgono un ruolo fondamentale nelle operazioni quotidiane, una vittima potrebbe ritenere sensato pagare il riscatto per riottenere l’accesso ai propri dati. Puoi evitare questa imbarazzante situazione eseguendo regolarmente il backup dei tuoi dati importanti.

Se esegui il backup dei dati su un dispositivo o una posizione per accedere alla quale non hai bisogno del computer, in caso di attacco puoi ripristinare facilmente i dati di cui hai bisogno. È importante che il backup dei dati critici sia eseguito di frequente, perché se lasci passare troppo tempo i dati del backup potrebbero non essere più sufficienti a garantirti la continuità operativa.

6 Proteggiti sempre con una VPN quando utilizzi il Wi-Fi pubblico

Il Wi-Fi pubblico è utile perché è facile da usare e spesso non richiede la password. Purtroppo però è altrettanto facile per gli hacker servirsi del Wi-Fi pubblico per propagare il ransomware. Se hai bisogno di utilizzare una rete Wi-Fi pubblica, proteggiti con una rete privata virtuale (VPN).

La VPN crittografa i dati provenienti e diretti al tuo dispositivo mentre sei connesso a Internet. È come se creasse un “tunnel” attraverso il quale passano i dati. Per accedere al tunnel, un utente deve disporre di una chiave di crittografia. Non solo, ma per leggere i dati che attraversano il tunnel, un hacker dovrebbe decrittarli. Per bloccare il ransomware, la VPN impedisce agli estranei di intrufolarsi nella tua connessione e di depositare malware nel tuo percorso o sul tuo computer.

7. Usa un software di sicurezza

I software di sicurezza possono essere uno strumento potente per la prevenzione degli attacchi ransomware. Per questo motivo sono spesso elencati tra le best practice per prevenire i ransomware. Il software di sicurezza controlla i file che entrano nel tuo computer provenendo da Internet. Se rileva un file dannoso, ne impedisce l’accesso al computer.

Il software di sicurezza utilizza i profili di minacce note e i tipi di file dannosi per capire quali possano essere pericolosi per il computer. Il software di sicurezza viene spesso fornito con aggiornamenti regolari gratuiti che ne mantengono l’efficacia. Gli aggiornamenti possono essere installati automaticamente dal fornitore. Quando il fornitore viene a conoscenza di nuove minacce, ne include i profili nell’aggiornamento. Finché gli aggiornamenti saranno eseguiti periodicamente, godrai della migliore protezione software possibile.

USD 8 Non utilizzare dispositivi USB sconosciuti

I dispositivi USB possono essere utilizzati per l’archiviazione di file dannosi che potrebbero contenere ransomware. Sia che il dispositivo USB contenga un file eseguibile che può infettare il computer, sia che il file si avvii automaticamente dopo l’inserimento del dispositivo USB, in un attimo un dispositivo USB apparentemente benevolo può impossessarsi del tuo computer.

I criminali informatici possono lasciare in giro di proposito un dispositivo USB, sapendo che qualcuno potrebbe essere tentato di prenderlo e inserirlo nei proprio computer. Il malintenzionato può anche stampare e applicare un’etichetta apparentemente innocente sul dispositivo, facendolo sembrare l’omaggio gratuito di un’azienda rispettabile. Se trovi un dispositivo USB, non inserirlo nel computer. I dispositivi USB più sicuri sono quelli acquistati in negozio, sigillati in confezioni intatte.

9. Evita di divulgare dati personali

Se in possesso di dati personali corretti, un cybercriminale può creare una varietà di trappole per introdurre ransomware nel tuo computer o indurti a installarlo sul tuo dispositivo. Le persone spesso utilizzano le stesse password per i computer, i siti web e gli account. Un cybercriminale può servirsi dei tuoi dati personali per accedere a un account e usare quella password per accedere al tuo computer e installare ransomware.

Evitando di divulgare i tuoi dati personali, rendi molto più difficile a un aggressore la possibilità di sferrare questi tipi di attacchi, perché dovrebbe trovare un altro modo per scoprire le tue password o altre informazioni sull’account. Per dati personali si intendono anche i nomi di persone, animali domestici o luoghi utilizzati come risposte alle domande di sicurezza per gli account. 

2021 Ransomware Survey Report

How To Defend Against the Growing Challenge of Ransomware

Download our latest Ransomware Survey Report

Come rispondere agli attacchi ransomware

Solo perché un attacco ransomware è riuscito a raggiungere il tuo computer o la tua rete non significa che tu non possa fare nulla per migliorare la situazione. Spesso puoi limitare i danni di un ransomware agendo rapidamente.

Isolare

Isolare il ransomware è il primo passo da compiere. In questo modo è possibile prevenire gli attacchi est-ovest, dove il ransomware si propaga da un dispositivo all’altro attraverso le connessioni di rete. Per prima cosa, spegni il sistema che è stato infettato. Lo spegnimento impedisce che il sistema venga utilizzato dal malware per propagare ulteriormente il ransomware. 

Scollega tutti i cavi di rete dal dispositivo. Ciò include tutto ciò che collega il dispositivo infetto alla rete stessa o ad altri dispositivi in rete. Ad esempio, il dispositivo potrebbe essere collegato a una stampante collegata alla LAN. Scollegando la stampante si impedirà che venga utilizzata per propagare il ransomware.

Oltre a scollegare i cavi, devi anche spegnere il Wi-Fi che serve l’area infettata dal ransomware. La connessione Wi-Fi può essere utilizzata come canale di diffusione del ransomware, per infettare gli altri dispositivi connessi alla stessa rete Wi-Fi. Spegnendo il router puoi arrestare questo tipo di propagazione est-ovest ancora prima che inizi. Se però è già iniziata, nel momento in cui ti rendi conto che il computer è stato infettato, spegnendo il Wi-Fi puoi impedirne l’ulteriore diffusione.

Anche i dispositivi di storage connessi alla rete devono essere immediatamente disconnessi. Il ransomware potrebbe trovare il dispositivo di storage e infettarlo. In tal caso, potrebbe venire infettato qualsiasi dispositivo collegato al sistema di storage. E ciò potrebbe accadere nell’immediato o in futuro. Pertanto, se sei vittima di un attacco ransomware, devi presumere che tutti i dispositivi di storage siano stati infettati e debbano quindi essere ripuliti prima di essere ricollegati a qualsiasi dispositivo della tua rete.

Identificare

Il passaggio successivo è quello di accertare il tipo di malware utilizzato per infettare il sistema con il ransomware. In alcuni casi, conoscere il tipo di malware può aiutare il team che si occupa della risposta agli incidenti a trovare una soluzione. Le chiavi di decrittazione di alcuni attacchi ransomware sono già note e conoscere il tipo di malware utilizzato può aiutare il team a capire se la chiave di decrittazione sia già disponibile. In caso affermativo, potrà essere utilizzata per sbloccare il computer e vanificare l’attacco dell’aggressore.

Conoscere il tipo di malware può inoltre aiutare a determinare altri possibili modi di gestire la minaccia. Per comprendere quali siano le opzioni disponibili, il team IT o il consulente esterno incaricato della risposta dovrà sapere con quale tipo di malware ha a che fare, facendo dell’identificazione precoce un passaggio critico.

Rimuovere il malware

La necessità di rimuovere il malware può sembrare ovvia, ma la necessità di questa fase è meno importante della sua tempistica. È importante cercare di rimuovere il malware solo dopo aver eseguito i passaggi precedentemente descritti di isolamento e identificazione. Cercare di rimuovere il malware prima di averlo isolato potrebbe consentirgli il tempo necessario per contagiare altri dispositivi connessi alla rete.

Inoltre, rimuovendo il malware prima di identificarlo, potresti perdere l’occasione di raccogliere informazioni su di esso utili al tuo team di risposta agli incidenti, ai consulenti esterni o alle forze dell’ordine.

Una volta adottate le misure di cui sopra, la rimozione del malware può impedirne la diffusione ad altri dispositivi. Anche se il computer non è più connesso alla rete, il malware potrebbe propagarsi in un secondo momento se non viene rimosso.

Recuperare i dati

Non appena l’attacco è stato contenuto e il tuo computer è nuovamente protetto e libero da minacce, dovresti iniziare a recuperare i tuoi dati. Ciò può aiutare a garantire la business continuity e a migliorare la resilienza, soprattutto se i dati provengono da un backup recente.

Il successo dell’operazione dipende dal programma di recupero dati utilizzato prima dell’attacco. Se il backup dei dati viene effettuato più volte al giorno, ad esempio, nel peggiore dei casi un attacco ti riporterà indietro solo di poche ore. Per eseguire il backup dei dati puoi utilizzare servizi basati sul cloud o dispositivi hardware locali, a patto che la soluzione scelta, sia accessibile da un dispositivo diverso. Garantire l’accesso può richiedere l’archiviazione delle informazioni di accesso in un luogo sicuro, invece che sui dispositivi che accedono allo storage di backup.

Non pagare mai il riscatto

La vittima di un attacco ransomware può essere tentata di pagare il riscatto. Potrebbe essere motivata a pagare dall’idea che più tempo passa nell’impossibilità di operare più sembra conveniente pagare il riscatto. Ad esempio, se venisse interrotto il funzionamento di sistemi critici e i clienti non potessero più effettuare acquisti, le perdite potrebbero facilmente raggiungere cifre considerevoli. Se l’aggressore chiedesse solo poche centinaia di dollari, potresti pensare che pagare sia la scelta migliore. Non è così.

Analogamente ai dirottatori e ai terroristi che tengono gli esseri umani in ostaggio, anche per gli hacker la sopravvivenza dipende dall’esito degli attacchi ransomware. Se un numero sufficiente di persone rifiuta di pagare il riscatto, in futuro gli aggressori potrebbero pensarci due volte prima di ricorrere al ransomware e decidere di investire le loro energie in imprese potenzialmente più redditizie. Quando rifiuti di pagare il riscatto, previeni che altre persone siano l’obiettivo di attacchi futuri.

Inoltre, se paghi una volta, gli aggressori sanno che probabilmente pagherai di nuovo in una situazione simile. Pagando ti esponi ad essere il bersaglio di un attacco futuro.

Quando dovresti pagare il riscatto? (e quando invece non devi pagare)

In generale, non dovresti mai pagare il riscatto. Pagare significa confermare all’aggressore che è riuscito nel suo intento, cosicché sarà pronto a riprovarci. Oltre che te, pagare danneggia anche gli altri, in quanto invia alla comunità degli hacker il messaggio che il ransomware è ancora un vettore di attacco efficace. Ricorda inoltre che una volta pagato il riscatto, non c’è alcuna garanzia che l’aggressore ti consentirà di riprendere possesso del tuo computer.

Tuttavia, rifiutarsi di pagare può essere più facile a dirsi che a farsi, specialmente se non si dispone di un piano di backup o resilienza adeguato. Anche se non è mai consigliabile pagare il riscatto, potrebbe essere necessario soppesare tutti i pro e i contro prima di decidere. Dovresti prendere in considerazione i seguenti fattori:

  1. Quanto costerà recuperare i dati persi?
  2. La tua assicurazione informatica, ammesso che tu ne abbia stipulata una, può aiutarti a sostenere parte del costo?
  3. Quali sono le probabilità che l’attore della minaccia ransomware decritterà i sistemi dopo il pagamento?

Come può aiutarti Fortinet?

Fortinet Security Fabric offre un’ampia gamma di prodotti e servizi che possono essere distribuiti sulla superficie di attacco digitale e lungo la catena della criminalità informatica al fine di ridurre il rischio e il potenziale impatto del ransomware. Possono aiutare le organizzazioni a essere preparate e a prevenire gli incidenti ransomware, a rilevarli, a rispondere efficacemente e ad aumentare il numero dei team interni secondo necessità.

L’esposizione corrente, la propensione al rischio, la situazione delle licenze, le competenze di sicurezza e altri fattori specifici di ogni organizzazione determineranno di volta in volta quali saranno i prodotti e i servizi più appropriati. Le opzioni comprendono:

  1. Preparazione: Incident Readiness Service, FortiRecon Attack Surface Management, FortiTester Breach Attack Simulation. InfoSec Training and Awareness
  2. Prevenzione: FortiGate Next-Generation Firewall, FortiMail Secure Email Gateway, FortiWeb Web Application Firewall, FortiEDR Modern Endpoint Security, FortiSandbox Inline Sandbox Analysis
  3. Rilevamento: FortiDeceptor, FortiXDR Extended Detection and Response, FortiNDR Network Detection and Response
  4. Risposta: FortiAnalyzer, FortiSIEM, FortiSOAR, FortiGuard Incident Response Service
  5. Aumento: FortiGuard SOCaaS, FortiGuard Managed Detection and Response