La tecnica di utilizzare dei virus e malware per “tenere in ostaggio” un computer e ottenere un riscatto è vecchia di anni (una trentina, più o meno, se si fa risalire il primo attacco del genere al 1989) ma solo recentemente i ransomware (letteralmente “virus del riscatto”) sono saliti alla ribalta mondiale. Merito (o colpa) di virus come Wanna Cry, che nel maggio 2017 è stato capace di infettare centinaia di migliaia di computer (tra i 200 e i 300 mila) nel giro di poche ore.
Anche se l’intervento di un ricercatore in sicurezza informatica britannico ha arginato la diffusione del virus del riscatto, da molti esperti del settore è stato considerato come il peggior attacco informatico degli ultimi anni: per velocità di contaminazione e portata dell’attacco, WannaCry ha messo in serio pericolo il funzionamento di uffici pubblici, ospedali, catene di montaggio e fabbriche.
Secondo uno studio pubblicato dalla società di difesa dal phishing PhishLabs due settimane fa, il volume di phishing nei cinque settori più presi di mira (sanità, governo, infrastrutture strategiche, istruzione e piccole imprese) è cresciuto in media di oltre il 33%.
Il phishing è, in assoluto, il modo più diffuso per il ransomware di attaccarsi ai file delle organizzazioni e di crittografarli, tenendoli sotto riscatto fino a che:
- le vittime pagano per avere una chiave di decodifica,
- le vittime pagano per avere una chiave di decrittazione che non arriva mai, perché i truffatori hanno preso i soldi e sono scappati,
- le vittime snobbano le richieste dei truffatori e i loro dati finiscono distrutti.
Il ransomware consente agli aggressori di utilizzare efficacemente una sola configurazione per tutti gli utenti presi di mira. Esso consente anche di monetizzazione all’istante: non ci sono credenziali da vendere, nessuna transazione fraudolenta per iniziare, e non è richiesta ulteriore ingegneria sociale.
L’avvento della criptovaluta nell’economia generale, inoltre, ha fatto sì che i truffatori non debbano correre ulteriori rischi affidandosi a pagamenti con carta di credito o carte prepagate: modalità, queste ultime, della vecchia scuola che non garantiscono ai criminali lo stesso anonimato dei Bitcoin, loro meccanismo di pagamento ora preferito.
Un altro punto chiave per la fattibilità e la redditività del ransomware è stato il passaggio dal prendere di mira individui allo scagliarsi contro le aziende che hanno ben poca scelta se non quella di pagare.
Gli ospedali sono un esempio lampante. Un anno fa l’Hollywood Presbyterian è stato tenuto in ostaggio e ha sborsato $ 17.000 per riavere le sue cartelle mediche elettroniche scomparse, l’accesso ai raggi X e alle informazioni sulle TAC e la possibilità per i dipendenti di riaccendere i loro computer.
La disponibilità dei dati è fondamentale per le operazioni quotidiane di queste organizzazioni che, in molti casi, sono disposte quindi a pagare un riscatto per ripristinare l’accesso rapidamente.
Spesso hanno solamente piccoli budget per il personale IT e sono soggette a regole che possono complicare la loro capacità di creare e memorizzare i backup.
PhishLabs sta iniziando a vedere anche alcuni autori di malware che cominciano a creare campioni che prendono di mira altre piattaforme e comincia a prevedere un maggior numero di attacchi su OS X, Linux, sistemi operativi server e piattaforme mobili.
Per Simon Reed, Guru dei SophosLabs: “Oggi i cyber-criminali ottimizzano il loro modello di business e si concentrano sull’incremento del ritorno sugli investimenti essendo più selettivi, andando più a fondo per realizzare un attacco di successo e ampliando la gamma degli IT assets presi di mira.”
Per maggiori informazioni sulla protezione da RansomWare clicca qui.