Gli attacchi ransomware sono un tipo di attacco informatico in cui i file vengono cifrati o rubati, costringendo le vittime a pagare un riscatto per ripristinare l’accesso ai propri dati o dispositivi. Il ransomware è un tipo di malware che blocca i dati o il dispositivo della vittima e minaccia di tenerli bloccati fino al pagamento del riscatto. Questi attacchi hanno rappresentato una parte significativa degli attacchi informatici recenti, con varianti sempre più sofisticate che utilizzano la crittografia per estorcere denaro alle vittime. In questo articolo vediamo come si sono evoluti nella storia gli attacchi ransomware e quali sono stati i più devastanti.
Indice dei contenuti
Attacchi ransomware più dannosi nella storia
Alcuni degli attacchi ransomware più famosi nella storia hanno causato danni significativi a individui, aziende e infrastrutture critiche a livello globale. Questi attacchi hanno sottolineato l’importanza di pratiche di sicurezza informatica robuste, tra cui aggiornamenti regolari del software, backup dei dati e formazione degli utenti sulla prevenzione delle truffe di phishing. La minaccia del ransomware continua a evolversi, con nuovi varianti e tattiche che emergono regolarmente, rendendo essenziale per le organizzazioni rimanere vigilanti e ben preparate.
WannaCry su Windows: questioni di aggiornamenti
L’attacco ransomware WannaCry, avvenuto a maggio 2017, rappresenta uno degli episodi più eclatanti e dannosi nella storia della sicurezza informatica. Questo attacco ha sfruttato una vulnerabilità nei sistemi operativi Windows, nota come EternalBlue, che era stata originariamente scoperta dalla National Security Agency (NSA) degli Stati Uniti e poi resa pubblica da un gruppo di hacker noto come The Shadow Brokers.
Una volta che WannaCry era riuscito a infiltrarsi in un computer, utilizzava la vulnerabilità di EternalBlue per diffondersi rapidamente all’interno delle reti aziendali, crittografando i file su ogni computer infetto. Ai proprietari dei file veniva poi mostrato un messaggio che richiedeva il pagamento di un riscatto in Bitcoin per ricevere la chiave di decrittazione e recuperare l’accesso ai propri dati. La richiesta di riscatto variava, ma tipicamente oscillava tra i 300 e i 600 dollari in Bitcoin.
L’impatto di WannaCry è stato devastante e globale: ha colpito centinaia di migliaia di computer in oltre 150 paesi, causando interruzioni significative in vari settori. Tra le vittime più note ci sono state diverse strutture sanitarie del Servizio Sanitario Nazionale (NHS) nel Regno Unito, che hanno subito l’interruzione di servizi critici, compresa la cancellazione di appuntamenti e interventi chirurgici. Anche grandi aziende internazionali, come la compagnia di telecomunicazioni spagnola Telefonica, FedEx negli Stati Uniti e il produttore di automobili francese Renault, hanno riportato gravi interruzioni delle loro operazioni a causa dell’attacco.
L’attacco WannaCry ha evidenziato diverse questioni critiche relative alla sicurezza informatica, in particolare l’importanza degli aggiornamenti e delle patch di sicurezza. Sebbene Microsoft avesse rilasciato una patch di sicurezza che correggeva la vulnerabilità di EternalBlue circa due mesi prima dell’attacco, molte organizzazioni e individui non avevano ancora applicato l’aggiornamento, lasciando i loro sistemi vulnerabili.
In risposta all’attacco, agenzie di sicurezza informatica e ricercatori di tutto il mondo hanno lavorato febbrilmente per contenere la diffusione di WannaCry. Uno sforzo significativo è stato l’identificazione di un “kill switch” da parte di un ricercatore di sicurezza britannico, che ha accidentalmente trovato un modo per arrestare la diffusione del ransomware registrando un dominio web specifico utilizzato dal malware.
NotPetya in Ucraina: il massimo danno possibile
L’attacco di NotPetya, avvenuto a giugno 2017, è stato uno degli attacchi informatici più distruttivi della storia. Sebbene inizialmente si presentasse come un ransomware, ossia un malware che crittografa i file della vittima richiedendo un riscatto per il loro sblocco, NotPetya aveva in realtà obiettivi molto più dannosi. Differente da WannaCry e altri attacchi ransomware tradizionali, l’intento di NotPetya sembrava essere quello di infliggere il massimo danno possibile, piuttosto che generare profitto per i suoi autori.
L’attacco ha avuto origine in Ucraina, colpendo inizialmente molteplici organizzazioni attraverso un software di contabilità ucraino molto diffuso, M.E.Doc. Gli aggressori hanno sfruttato una backdoor nel software di aggiornamento di M.E.Doc per distribuire il malware, che ha rapidamente superato i confini nazionali, diffondendosi globalmente grazie alla stessa vulnerabilità EternalBlue utilizzata da WannaCry, oltre a un’altra vulnerabilità Windows nota come EternalRomance.
Una volta all’interno del sistema, NotPetya si diffondeva attraverso la rete, crittografando non solo i file, ma anche il Master Boot Record (MBR) dei computer infetti, impedendo loro di avviarsi. Contrariamente ai tradizionali ransomware, NotPetya non lasciava chiare istruzioni per il pagamento del riscatto. Anche nei casi in cui le vittime erano disposte a pagare, la struttura del malware rendeva spesso impossibile il recupero dei file, suggerendo che l’obiettivo principale fosse il disordine e la distruzione.
In Ucraina, ha colpito infrastrutture critiche, inclusi i sistemi di monitoraggio della centrale nucleare di Chernobyl, reti bancarie, aeroporti e il governo. Fuori dall’Ucraina, grandi aziende multinazionali come Maersk, la più grande compagnia di spedizioni containerizzate al mondo, Merck, una delle maggiori compagnie farmaceutiche, e TNT Express, una compagnia di corriere, hanno subito interruzioni significative delle loro operazioni, con stime di danni che si aggirano sui miliardi di dollari.
La risposta all’attacco NotPetya ha richiesto un coordinamento internazionale e la collaborazione tra aziende private e agenzie governative. Le indagini hanno in seguito attribuito l’attacco a hacker sponsorizzati dallo stato russo, con l’intento di destabilizzare l’Ucraina, sebbene le conseguenze abbiano avuto un impatto globale.
Locky con mail phishing: il più veloce dei ransomware
Locky, emerso all’inizio del 2016, ha segnato un’epoca nella storia degli attacchi ransomware per la sua rapida diffusione e l’impatto significativo su utenti e organizzazioni in tutto il mondo. Questo malware si distingueva per la sua metodologia di distribuzione ingegnosa e per la capacità di evolversi rapidamente, adattandosi per eludere le difese informatiche esistenti.
Il vettore di attacco primario di Locky era l’email di phishing. Gli aggressori inviavano email che simulavano essere comunicazioni legittime da parte di aziende o individui, spesso mascherandole come fatture, documenti di lavoro o notifiche di spedizione che richiedevano attenzione immediata. Queste email contenevano allegati, tipicamente documenti Word o file JavaScript, che una volta aperti, invitavano l’utente a “abilitare le macro” o eseguire lo script, sfruttando tecniche di ingegneria sociale per ingannare le vittime e indurle a compiere azioni che avrebbero attivato il payload del ransomware.
Una volta eseguito, Locky si metteva all’opera, crittografando sistematicamente i file presenti sul computer della vittima. Utilizzava un algoritmo di crittografia forte, rendendo i file inaccessibili senza la chiave di decrittografia. I file crittografati venivano rinominati con un’estensione unica, e alle vittime veniva presentato un messaggio di riscatto, solitamente sotto forma di una nota di testo salvata sul desktop o in ogni directory contenente file crittografati. Il messaggio informava le vittime che i loro file erano stati criptati e richiedeva il pagamento di un riscatto in Bitcoin per ottenere la chiave di decrittografia necessaria a recuperare l’accesso ai propri dati.
Locky si è rapidamente evoluto, adottando nuove tecniche di diffusione e elusione delle difese. Tra queste, l’utilizzo di exploit kit nei siti web compromessi per infettare i visitatori e la variazione delle tecniche di cifratura e comunicazione con i server di comando e controllo per resistere agli sforzi di analisi e mitigazione. La sua capacità di eludere le soluzioni antivirus tradizionali e di adattarsi alle strategie di difesa ha contribuito alla sua diffusione.
L’impatto di Locky è stato vasto, colpendo utenti individuali, piccole e medie imprese, e persino grandi organizzazioni in diversi settori. La perdita di dati critici e le interruzioni operative hanno causato danni finanziari significativi.
CryptoLocker, il “money ransomware”: danni per milioni di dollari
CryptoLocker, emerso verso la fine del 2013, ha segnato un punto di svolta nell’evoluzione del ransomware, dimostrandosi uno dei primi e più noti esempi di questa minaccia in grado di criptare in modo efficace i file delle vittime e richiedere un riscatto per il loro sblocco. La sua efficacia e il successo finanziario hanno stabilito un modello che sarebbe stato imitato da innumerevoli varianti di ransomware nei successivi anni.
Il metodo di distribuzione di CryptoLocker si affidava pesantemente alle email di phishing. Gli autori di questo malware camuffavano le loro email per farle apparire come se provenissero da organizzazioni legittime, come aziende di spedizioni, banche o altre entità fidate.
Una volta attivato sul sistema della vittima, CryptoLocker criptava una vasta gamma di file utilizzando un algoritmo di crittografia asimmetrica RSA-2048, una delle sue caratteristiche distintive. Questo algoritmo richiedeva due chiavi per la decrittografia: una chiave pubblica utilizzata per criptare i file e una chiave privata, conservata sui server dei criminali, necessaria per la decrittografia. I file colpiti includevano documenti, immagini, video e altri file importanti, rendendoli inaccessibili senza la chiave di decrittografia.
Dopo la crittografia dei file, CryptoLocker presentava alle vittime una richiesta di riscatto, solitamente in Bitcoin, con una deadline precisa. Se il pagamento non veniva effettuato entro il termine stabilito, la chiave di decrittografia veniva affermato che sarebbe stata distrutta, rendendo i file irrecuperabili. Molti hanno pagato il riscatto, ma non c’era garanzia che i file sarebbero stati decifrati.
L’impatto di CryptoLocker è stato vasto e ha attirato l’attenzione internazionale, stimando danni per milioni di dollari e la perdita di dati inestimabili. Tuttavia, nel maggio 2014, una collaborazione internazionale tra società di sicurezza informatica, legge e agenzie di ordine ha portato all’Operazione Tovar. Questa operazione ha smantellato la rete di botnet Gameover ZeuS usata per diffondere CryptoLocker, sequestrando i server e interrompendo l’infrastruttura del malware. Durante l’operazione, le forze dell’ordine sono state anche in grado di recuperare le chiavi di decrittografia, che sono state poi utilizzate per aiutare le vittime a recuperare i loro file senza pagare il riscatto.
CryptoLocker ha lasciato un’eredità duratura, dimostrando il potenziale lucrativo degli attacchi ransomware e incentivando l’emergere di varianti sempre più sofisticate.
Ryuk il ransomware nemico delle istituzioni
Ryuk rappresenta una sofisticata evoluzione nel panorama dei ransomware, emergendo per la prima volta nel 2018. A differenza dei suoi predecessori che spesso adottavano un approccio di diffusione “a tappeto”, Ryuk si è distinto per essere estremamente selettivo nelle sue vittime, concentrando i suoi attacchi su enti governativi, strutture sanitarie, istituti educativi e grandi imprese. Questo approccio mirato, unito a richieste di riscatto esorbitanti, ha segnato un pericoloso cambiamento nel modus operandi degli aggressori ransomware, indicando una tendenza verso attacchi più calcolati e potenzialmente devastanti.
Una delle caratteristiche distintive di Ryuk è la sua metodologia di attacco, che impiega tecniche avanzate per infiltrarsi nelle reti delle vittime. Spesso, l’infezione iniziale avviene tramite email di phishing o l’esecuzione di malware secondario che prepara il terreno per Ryuk, disabilitando la sicurezza esistente e mappando la rete per l’ulteriore diffusione. Una volta all’interno della rete, Ryuk procede alla crittografia dei file, utilizzando algoritmi robusti per garantire che i dati vittima siano inaccessibili senza la chiave di decrittografia.
Un aspetto particolarmente nefasto di Ryuk è la sua capacità di interrompere i processi di backup di Windows. Gli attaccanti dietro Ryuk hanno progettato il ransomware per identificare e eliminare o criptare i backup e le shadow copies (copie ombra), una tattica che mira a ostacolare gli sforzi di recupero dei dati senza il pagamento del riscatto. Questa strategia riduce significativamente le possibilità di un recupero dei dati senza cedere alle richieste degli aggressori.
Le richieste di riscatto di Ryuk sono notoriamente elevate, spesso raggiungendo centinaia di migliaia o addirittura milioni di dollari, riflettendo il valore che gli attaccanti attribuiscono ai dati delle organizzazioni bersaglio.
Ryuk ha chiaramente dimostrato che nessuna organizzazione è immune dagli attacchi ransomware e che la preparazione e la resilienza sono essenziali per mitigare l’impatto di tali minacce. La crescente sofisticazione di campagne ransomware come Ryuk richiede una vigilanza costante e un impegno proattivo nella sicurezza informatica per proteggere le risorse più preziose delle organizzazioni.
Quali saranno i prossimi attacchi ransomware?
Nel futuro degli attacchi ransomware, ci si aspetta una progressione tecnica e strategica mirata a superare le difese attuali. Per difendersi da queste minacce avanzate, le organizzazioni dovranno adottare misure di sicurezza informatica altrettanto avanzate, tra cui l‘hardening dei sistemi, l’implementazione di soluzioni di sicurezza basate sull’IA per il rilevamento e la risposta, l’uso di strumenti di analisi forense per identificare e mitigare rapidamente gli attacchi, e strategie di backup e di ripristino robuste.
- Tecniche di evasione avanzate:gli attaccanti adotteranno tecniche di evasione più sofisticate per eludere i sistemi di rilevamento basati sull’analisi comportamentale e sull’intelligenza artificiale. Ad esempio l’uso di tecniche di living off the land (LotL), dove il malware sfrutta gli strumenti e i processi nativi del sistema per rimanere indisturbato.
- Crittoanalisi e algoritmi di cifratura personalizzati: Si vedrà un uso più diffuso di algoritmi di crittografia personalizzati e potenzialmente vulnerabili progettati per ostacolare gli sforzi di decrittazione senza il pagamento del riscatto.
- Exploit Zero-Day: l’acquisizione e l’utilizzo di exploit zero-day in software ampiamente diffusi per diffondere ransomware saranno tattiche privilegiate. Questi exploit, per loro natura, rendono i ransomware particolarmente difficili da prevenire poiché sfruttano vulnerabilità non ancora note ai produttori e ai team di sicurezza.
- Attacchi alla catena di approvvigionamento: Lla compromissione di software terzo o aggiornamenti software per distribuire ransomware diventerà una tecnica ancora più comune, sfruttando la fiducia nelle relazioni commerciali per ottenere un ampio spettro di vittime.
- Sfruttamento di Infrastrutture Cloud e SaaS: con l’aumento della dipendenza da cloud e servizi SaaS, gli attaccanti mireranno a compromettere queste piattaforme per diffondere ransomware attraverso reti e sistemi connessi.
- Ransomware-as-a-Service (RaaS): l’ecosistema RaaS si evolverà offrendo strumenti più avanzati e personalizzabili, consentendo anche agli attaccanti meno esperti di lanciare campagne ransomware sofisticate.
- Polimorfismo e metamorfismo: I ransomware polimorfici e metamorfici, capaci di modificare il proprio codice per evitare il rilevamento, diventeranno più comuni. Questi approcci complicano significativamente l’identificazione e l’analisi del malware.
- Ransomware che sfrutta l’IA per l’obiettivazione: L’utilizzo dell’intelligenza artificiale per identificare obiettivi vulnerabili o di alto valore, ottimizzando la strategia di attacco in base alla rete o all’organizzazione bersaglio.
Se ti interessa l’argomento dai uno sguardo alla nostra rubrica dedicata alla Cybersecurity!