Ransomware

Il ransomware, o filecoder, è un software dannoso che esegue la crittografia dei file o blocca i dispositivi richiedendo un riscatto, solitamente in criptovaluta, per il ripristino dell’accesso. I ransomware moderni si sono evoluti in maniera significativa, spesso combinando più tecniche di estorsione e prendendo di mira sistemi complessi.

Come funziona

•Infiltrazione: contenuto inviato tramite e-mail di phishing, allegati dannosi, siti web compromessi o vulnerabilità del software.

•Crittografia: viene utilizzata una chiave simmetrica per la crittografia dei file, che vengono successivamente crittografati con una chiave pubblica incorporata.

•Estorsione: alle vittime viene mostrata una richiesta di riscatto in cui si richiede un pagamento in cambio della chiave di decrittografia.

•Esfiltrazione (tecnica moderna): oggigiorno numerose varianti rubano i dati prima della crittografia, minacciando di farli trapelare in caso di mancata corresponsione di un pagamento (doppia estorsione).

•Interruzione (tecnica moderna): alcuni ransomware disattivano i backup e gli strumenti di ripristino per aumentare la pressione sulle vittime.

Strumenti moderni

•Doppia/tripla estorsione: crittografia, furto e minacce di trapelamento di dati privati o attacchi DDoS.

•Ransomware-as-a-Service (RaaS): i modelli basati su affiliazione consentono ai malfattori meno esperti di lanciare attacchi utilizzando kit di ransomware noleggiati.

•Attacchi supportati dall’intelligenza artificiale: l’intelligenza artificiale viene utilizzata per creare esche di phishing convincenti ed eludere il rilevamento.

•Attacchi mirati: attacchi incentrati su infrastrutture critiche, sanità, istruzione e catene di approvvigionamento.

•Furto di dati senza crittografia: alcuni gruppi saltano completamente la crittografia, affidandosi al solo ricatto.

Pagamento e offuscamento

•I pagamenti sono solitamente richiesti in criptovalute come Bitcoin o Monero.

•Gli autori degli attacchi utilizzano servizi di mixaggio e privacy coin per oscurare la tracciabilità delle transazioni.

Prevenzione e protezione

•ESET Ransomware Shield: rileva e blocca i comportamenti sospetti in tempo reale.

•Correzione ransomware: esegue automaticamente il backup e il ripristino dei file in caso di rilevamento di un ransomware.

•ESET LiveGrid® e LiveGuard: sistemi di reputazione e sandboxing basati su cloud per il rilevamento di minacce zero-day.

Il pagamento del riscatto non garantisce il recupero dei dati.

Le vittime sono incoraggiate a segnalare gli incidenti alle autorità locali e alle agenzie di sicurezza informatica.