Negli ultimi anni, assieme alle tecnologie e ai servizi Web rivolti all’utente, si sono affinati anche gli attacchi hacker.

Sempre più precisi, sempre più subdoli. Un caso interessante, sono quelle che oggi risultano vere e proprie campagne virus-spam: minacce che nel tempo si sono evolute e, ad oggi, hanno un’alta percentuale di successo soprattutto in Italia.

Questi attacchi si servono di ransomware nascosti agli occhi dei meno esperti, che compiono la magia di infezione in meno di un click, causando il blocco del pc o dei dati.

Ma cos’è un ransomware? Il ransomware è il cugino sequestratore del malware. Se il Maliciuos Software generico si insedia nel computer della vittima tramite software infetti e sottrae dati sensibili (oltre che avere un fine di lucro nei confronti delle inserzioni pubblicitarie, per le quali viene gonfiato il numero di click inducendoli con l’inganno), il ransomware li prende in ostaggio, minacciando di rilasciarli solo tramite pagamento di un riscatto.

Non esistono però negoziatori come nei film americani: l’unica cosa che rimane da fare al povero malcapitato è denunciare. Oppure pagare, sperando che la promessa venga mantenuta. Cosa alquanto improbabile, stando ai dati. I canali preferenziali di diffusione di questa tipologia di malware sono:

• Banner di siti poco affidabili (generalmente siti per adulti), tramite drive-by download;
• In bundle ad altri software, ad esempio nel caso in cui si scarichino illegalmente crack o versioni pirata di programmi;
• RDP (Remote Desktop Protocol): attacchi che violano un server e compromettono interi network risalendo alle credenziali. Proprio come il tipo di attacco a cui rischiava di dar luogo la vulnerabilità BlueKeep;
• E-mail: l’e-mail phishing è uno dei metodi preferiti dei ransomware. Mittenti apparentemente affidabili inviano un file in allegato che qualora venga aperto provoca l’installazione del software maligno;

Anche gli hacker non rinunciano ad aggiornarsi, proponendo minacce sempre più sofisticate. Negli ultimi anni hanno spopolato, soprattutto in Italia, i ransomware, particolari malware che bloccano il pc infettato e ne prendono in ostaggio i dati. Per liberarsene? Bisogna pagare un riscatto.

Nel 2019 colpisce un nuovo ransomware: tra i target principali l’Italia

I ransomware non fanno distinzioni di modelli di pc, di dimesioni e di sistemi operativi: poco importa se la vittima dell’attacco sia di famiglia Apple o Microsoft.

Sono minacce democratiche, che sembrano però avere una predilezione per la nostra penisola. Da qualche tempo infatti vaga per la rete un ransomware rivolto proprio agli utenti italiani.

Secondo quanto riportato dal rapporto ESET, si sta consumando una vera e propria strage: le vittime ricevono una mail apparentemente proveniente dall’Agenzia delle Entrate e contenente una fattura pdf in allegato (l’oggetto dell’e-mail è “Emissione Fattura SS059656” o diciture simili).

Peccato che il mittente sia fasullo e la fattura nasconda in realtà una minaccia che prende possesso del pc, replicandosi all’interno di un intero network senza bisogno di alcun tipo di azione da parte dell’utente, e ne sequestra i dati. Per sbloccarli è necessario pagare un riscatto da €200 a €300 da pagare in criptovaluta.

Quest’ultimo attacco è lo specchio di un sistema di hackeraggio sempre meglio strutturato, che può puntare a colpire network con sistemi di sicurezza più evoluti di quelli di cui dispone il singolo utente. In questo caso specifico, è molto semplice per uno user inesperto essere tratto in inganno.

Quando si legge “Agenzia delle Entrate” come mittente il primo istinto è allarmistico e spinge ad aprire subito il messaggio per verificare se ci sia un problema (un po’ come quando in giro in macchina, perfettamente in regola con tutte le misure di sicurezza e i limiti, si incrocia la polizia municipale).

In aggiunta, l’e-mail in questione si serve di un canale considerato tra i più sicuri e affidabili: quello della PEC. Il carattere ufficiale delle comunicazioni che avvengono tramite questo mezzo, rende quasi impossibile per il destinatario dell’e-mail che proprio qui si nasconda la minaccia.

L’ultimo ransomware in circolazione è destinato proprio alle terre nostrane: colpisce l’Italia infatti l’e-mail PEC apparentemente proveniente dall’Agenzia delle Entrate, con una (falsa) fattura in PDF allegata. Aprendo il file il ransomware attacca il pc e prende in ostaggio i dati, rilasciandoli solo previo pagamento di un riscatto tra €200 e €300.

Ransomware e Italia: diamo i numeri

Nel caso di un attacco hacker, che sia dovuto o meno a ransomware, la vera perdita per le aziende si ha in termini di downtime ed eventuale perdita di dati.

Generalmente quelli proposti dai ransomware non sono riscatti troppo onerosi, perché ci si vuole assicurare di avere una sufficiente probabilità che vengano pagati.

Il periodo di “blackout” invece, quello in cui risulta impossibile utilizzare il sistema informatico, ha un impatto notevole sulle finanze aziendali.

Secondo un sondaggio di Achab, in Italia lo scorso anno il 90% degli MSP (Managed Service Provider) ha ripristinato sistemi compromessi da ransomware. Fortunatamente, è aumentata la percentuale di aziende che hanno preferito denunciare l’attacco piuttosto che pagare il riscatto che è passata dal 25% dello scorso sondaggio al 40%.

Ma diamo qualche altro numero. Se a livello mondiale si registra una diminuzione del fenomeno, in Italia i ransomware trovano terreno fertile. Il nostro Stato, al 2018, infatti risulta:

• Il primo paese colpito in Europa con all’attivo il 12,92% dei casi totali;
• Il decimo colpito a livello mondiale (considerando che la posizione deve essere rapportata al volume di attacco, maggiore in paesi come Stati Uniti e Cina);
• Il dodicesimo per numero di minacce via e-mail andate a buon fine, su un totale globale rilevato di 611.651.947;

È necessario dunque non solo potenziare il livello di sicurezza interno delle aziende, ma anche agire su un uso più consapevole del Web: molti ransomware infatti, una volta innescati, sono in grado di superare qualsiasi barriera di sicurezza.

L’Italia risulta tra i paesi più colpiti a livello mondiale da attacchi ransomware, piazzandosi al decimo posto. Tra i colleghi europei, invece, si aggiudica il primato assoluto, collezionando il 12,92% dei casi complessivi. La soluzione? Più di tutta l’IT Security esistente, un uso consapevole del Web.

Ransomware: prevenire è meglio che curare

Per quanto ci si muova tempestivamente denunciando un attacco ransomware, non è detto che i dati possano essere recuperati.

Stesso discorso se si paga il riscatto: il 9% di coloro che lo hanno fatto si è comunque ritrovato con un pugno di mosche. La cosa più saggia da fare è quindi prevenire, proteggersi e premunirsi.

Ecco alcuni utili consigli:

• Non aprire file allegati a e-mail di dubbia provenienza. Soprattutto se in formato exe, zip, js o jar, txt, xml che meglio si prestano all’installazione nel pc di software dannosi;
• Anche qualora si conoscesse il mittente, ma il testo della mail destasse sospetti, contattarlo sempre per avere conferma dell’effettivo invio del messaggio;
• Disabilitare l’esecuzione automatica di macro ed evitare l’autorun di chiavette USB per contrastare i fenomeni di Baiting;
• Servirsi di soluzioni USB (User Behaviour Analytics). I ransomware hanno comportamenti tipici: eseguono una serie di operazioni in un certo ordine. Questi strumenti analizzano ciascun pc e sono in grado di riconoscere quelli che si comportano in modo anomalo;
• Servirsi di tools che analizzano il linguaggio delle e-mail;
• Utilizzare Antimalware e Antispam sempre aggiornati e cambiare periodicamente le password;
• Eseguire periodicamente un backup delle informazioni: i ransomware sono generalmente in grado di superare qualsiasi barriera di sicurezza sfruttando le vulnerabilità del sistema. L’unico modo per proteggersi da un’eventuale perdita di dati è quello di immagazzinarli anche altrove;

Conclusioni

In Italia è allarme ransomware: da qualche mese circola sul web questo sottoinsieme dei malware che prende in ostaggio i dati dei computer e li restituisce solo in cambio di un riscatto.

Alla nostra penisola è stato riservato l’ultimo registrato: un ransomware che arriva via e-mail, in particolare via PEC con allegata una finta fattura dell’Agenzia delle Entrate in formato pdf. Una volta aperto il documento, la minaccia prende possesso del pc impedendone l’utilizzo e dichiara che restituirà i dati solo a fronte del pagamento di un riscatto compreso tra €200 e €300, in criptovaluta.

Non è la prima volta negli ultimi anni che veniamo messi sotto scacco da attacchi informatici di questo tipo: l’Italia si trova al primo posto tra gli stati europei per “infezioni” da ransomware e al decimo posto a livello mondiale. L’unico modo per arginare il fenomeno è prendere delle misure di sicurezza volte non solo al potenziamento dell’IT Security dell’azienda, ma anche a un uso più consapevole del Web e delle sue risorse.

Perché in questo caso abbiamo scalato una classifica della quale non fa piacere essere al primo posto.