Gli attacchi Ransomware, che sono tra gli attacchi informatici più diffusi, con migliaia di vittime e sviluppi sempre più sofisticati per generare business milionari, risalgono a oltre trent'anni fa, quando la crittografia trovò utilizzi imprevisti.


Oggi, subire uno di questi attacchi è purtroppo molto facile, grazie a tecniche di social engineering e di phishing, capaci di ingannare gli utenti, anche quelli più attenti, come ben sanno aziende e organizzazioni che hanno visto i loro dati scomparire dietro a schermate di richieste di riscatto, con poche probabilità di ottenerne nuovamente l'accesso. 

La storia degli attacchi Ransomware.

Ripercorrendo la loro storia, notiamo che gli attacchi Ransomware risalgono al lontano 1989. Si trattava del trojan AIDS (o Aids Info Disk), un software malevolo che rendeva illeggibili i dati grazie alla crittografia e chiedeva il pagamento di una somma di denaro per ottenere la chiave di decifratura. Diffuso durante un convegno sull'Aids, era nascosto all'interno di un floppy disk consegnato a tutti i partecipanti. Quando il floppy disk veniva inserito nel pc il virus si installava criptando i dati. Veniva poi richiesto il pagamento di una somma da inviare a Panama per avere la chiave e decrittare i dati. Ovviamente allora la sua diffusione fu limitata, soprattutto grazie al fatto che si trasmetteva tramite floppy disk e alla tecnologia che criptava i dati piuttosto debole.

Il concetto venne ripreso in seguito da due ricercatori, Adam Young e Moti Yung, quando nel 1996 pubblicarono l'articolo "Criptovirologia: minacce e contromisure alla sicurezza basate sull'estorsione" presentando l'idea di un utilizzo offensivo della crittografia, la quale, da mezzo di difesa per proteggere i dati poteva essere utilizzata proprio per il fine che normalmente doveva evitare, cioè rendere illeggibili i dati fino alla soddisfazione della richiesta dell'attaccante. Questi studi mettevano in evidenza le potenzialità e lo sviluppo degli strumenti per la crittografia che si stavano sviluppando, anticipando il boom che avrebbe avuto questa tipologia di attacchi negli anni successivi.

Dovrò infatti trascorrere ancora del tempo prima che gli attacchi Ransomware come li conosciamo oggi si diffondano, complici ovviamente la disponibilità di internet e il numero di persone connesse, nonché lo sviluppo delle criptovalute e la digitalizzazione in ambito aziendale. Nel 2013 CryptoLocker riuscì a estorcere 3 milioni di dollari in due mesi. Tra il 2014 e il 2015 gli esperti stimarono che furono attaccati oltre 100 mila individui in tutto il mondo con Ransomware come CryptoWall. Nel 2017, un altro famosissimo Ransomware, WannaCry, ha infettato almeno 200 mila computer in 74 nazioni. La crescita è stata esponenziale negli anni successivi: nel 2018 i Ransomware erano il 23% di tutti i malware, l'anno successivo il 46% e nel 2020 il 67%.

Gli attacchi Ransomware più famosi.

Il Ransomware conosciuto come NotPetya è famoso per essere stato quello ad oggi più costoso. Tra il 2017 e il 2018 prese di mira soprattutto aziende provocando danni per circa 10 miliardi di dollari. NotPetya si diffuse tramite email di phishing con allegati pdf e immagini jpeg. Quando si apriva il file il pc veniva infettato da un dropper, cioè un software che scarica da internet il Ransomware. Questo doppio passaggio permette di nascondere meglio il malware, perché il dropper è un file piccolo, molto leggero e facilmente integrabile in documenti o file tradizionali. Una volta installato il Ransomware crittografa i dati rendendo impossibile all'utente leggerli fino a quando non viene fornita la chiave per decrittarli, ovviamente dietro al pagamento di una somma di denaro, in Bitcoin. NotPetya è anche in grado di propagarsi all'interno della rete nella quale si trova il pc infetto mettendo a rischio l'intera rete aziendale. Nel 2017 NotPetya fu responsabile dell'attacco all'azienda AP Moller-Maersk, che dichiarò di aver subito perdite tra i 200 e i 300 milioni di dollari. Tra le aziende colpite la Banca Centrale Ucraina, Rosneft, TNT Express, Mondelez e molte altre, per danni di milioni dollari.

Nello stesso periodo un altro Ransomware fa parlare di se a causa della rapida e larga diffusione. WannaCry in pochissimo tempo infetta migliaia di dispositivi in tutto il mondo, con aziende di ogni tipo: dall'industria energetica agli Istituti di Credito, dalle società di telefonia alle Università, alle aziende sanitarie. I sistemi informatici di fatto si sono scoperti impreparati ad uno scenario di quel tipo. E la cifra modesta chiesta come riscatto, 300 dollari in Bitcoin, di fatto ha reso moltissimo ai criminali informatici, considerando che si tratta di almeno 50 mila attacchi. All'origine un Ransomware che sfrutta delle vulnerabilità presenti su dispositivi non aggiornati e che entra nelle reti tramite la più classica delle email di phishing.

L'evoluzione di questi attacchi non si ferma. Nel 2019 compare Maze, il Ransomware che per primo introduce il sistema della doppia estorsione. Alla richiesta di un riscatto per ottenere di nuovo l'accesso ai dati si aggiunge la minaccia di rendere pubblici i dati riservati. In pratica non si limita a criptarli, ma li esfiltra in modo che i criminali ne entrino in possesso e siano in grado di diffonderli nel caso in cui il pagamento non venga effettuato. Non solo. Anche se la vittima fosse in gradi di ripristinare i dati, evitando così di pagare, correrebbe comunque il rischio di vedere diffusi i dati. Un garanzia in più per gli attaccanti di ottenere ciò che chiedono. Nel 2020 furono molte le vittime di Maze: da Cognizant a Canon, a Xerox.

 

Left B - Web Idea

newsletter image