Mentre l’attacco informatico ai danni della Regione Lazio sta ancora facendo scalpore e si sta cercando di risolverne le conseguenze, Palo Alto Networks ha diramato la lista dei ransomware più popolari del primo trimestre del 2021. Prima di capire quali siano i malware del genere più diffusi, cerchiamo di capire cos’è un ransomware.
Cos’è un ransomware?
La loro storia inizia nel 1989, ma al mondo divennero noti solo nel 2006. Semplificando, si tratta di un malware che infetta un dispositivo, che per tornare ad utilizzare o consultare file, richiede un riscatto (ransom, in inglese). Spesso i dati anche sensibili vengono cifrati; per sbloccare la possibilità di tornare ad usare il device o a consultare e visionare i vari documenti, viene richiesto un pagamento (in bitcoin). CryptoLocker, il ransomware tra i più noti, apparso verso la fine del 2013, ha ottenuto 3 milioni di dollari prima di essere reso inoffensivo.
La lista dei ransomware più popolari
Secondo quanto riferito da Palo Alto Networks, società di sicurezza americana, è una delle maggiori minacce attive in questo periodo storico. I pagamenti dei riscatti sarebbero in aumento, con le organizzazioni attive nel tentativo di proteggersi da questo tipo di attacchi. Il Ransomware Threat Report 2021 di Unit 42, istituto di ricerca sulle minacce interno a Palo Alto Networks, aveva rilevato le tendenze delle principali famiglie di ransomware da gennaio 2020 a gennaio 2021. Recentemente è stato aggiornato con i dati del primo trimestre del 2021.
Secondo il report, sarebbero 113 le famiglie di ransomware, con le sole prime 15 famiglie che coprono il 52,3% totale dei casi. Tra questi, il 6,7% dei campioni di ransomware è rappresentato da Virlock, attivo dal 2014, dotato di diverse varianti per via del suo comportamento di tipo file-infector.
Più varianti non significa maggiore prevalenza. Alcune famiglie di ransomware non creano ogni volta varianti diverse, ma il rapporto di infezione per campione è alto. Ciò vuol dire che gli attaccanti hanno usato lo stesso malware per molte vittime. Se prendessimo in considerazione il solo conteggio dei campioni di ransomware relativi a casi di infezione, sul “podio”, troveremmo Ryuk, Sodinokibi e Maze (vedi grafico sottostante).
Qual è il metodo di attacco più diffuso?
Secondo la società di sicurezza informatica, il metodo più efficiente sono sempre le e-mail. Le modalità per colpire sono tuttavia variegate. Può avvenire tramite un URL, con gli indirizzi che possono essere pubblicati su forum gruppi di chat, applicazioni di messaggistica istantanea, attraverso falsi freeware da scaricare, o come allegato via e-mail. Alcuni malware hanno processi più macchinosi, come AlumniLocker, che viene prima consegnato come un PDF di phishing, il quale conduce ad un download di un archivio zip che contiene un downloader LNK; così viene scaricato ed esegue uno script PowerShell offuscato per installare il ransomware.
I tipi di file più diffusi
L’EXE a 32 bit è il più comune. Altri tipi di file sono utilizzati come primo stadio di infezione, come abbiamo visto per AlumniLocker. Molti comunque vengono consegnati tramite allegato, con il ransomware che viene archiviato in uno zip con o senza password. Gli archivi possono essere chiamati Resume o portfolio document, e possono contenere uno o più parti del malware, con icone di file di documenti falsi.
Se VirLock non è tra i più noti perché richiede il pagamento in Bitcoin equivalenti a circa 250 dollari, Ryuk è il più dannoso. Non solo cambierà l’estensione dei file infettati in .RYK, lasciando una richiesta di riscatto in un file denominato RyukReadMe.html. Ma eseguirà anche una scansione della rete locale, cercando di infettare altre macchine.
Come difendersi quindi?
Oltre ad avvalersi dell’aiuto di società di sicurezza, un buon modo per difendersi da questi malware è eseguire sistematicamente i backup, con strategie precise e disporre di punti di ripristino di emergenza. Buone norme sarebbero inoltre non scaricare allegati da e-mail sospette, non aprire link inaffidabili e dal contenuto inattendibile (o con offerte troppo generose), trovati in giro per il Web o su chat non sicure.
Aiutaci a crescere: lasciaci un like :)