Come Ransomware prende il controllo dei dati sul tuo PC Windows
Il ransomware è un tipo di malware che nega accesso ai dati agli utenti di computer infetti. Gli aggressori si spostano quindi per richiedere un riscatto dalle loro vittime. Promette di ripristinare accesso ai dati una volta che il pagamento è completo sono anche la norma. In molti casi accesso non viene mai fornito, quindi gli utenti non dovrebbero assumere queste promesse al valore nominale.
Agli utenti vengono fornite istruzioni per pagare la tariffa richiesta in modo che possano ricevere una chiave di decrittazione. Il costo può variare da centinaia a migliaia di dollari, pagabili ai criminali informatici sotto forma di criptovaluta. La valuta più utilizzata è Bitcoin.
Sommario
Come funziona Ransomware?
Ci sono vari vettori di infezione che il ransomware può assumere quando trova accesso a un computer. Il metodo di infezione più comunemente visto include lo spam di phishing. Questi sono più spesso allegati alle e-mail che fingono di essere un file attendibile. Una volta che i file sono stati scaricati e quindi aperti, possono avere libero dominio sul computer di una vittima. In alcuni casi hanno anche strumenti di social engineering incorporati nel ransomware, che ingannano gli utenti nel dargli accesso amministrativo. In altri casi, i tipi più aggressivi di ransomware tendono a sfruttare le falle nella sicurezza. Quelli permettono loro di infettare i computer senza bisogno di ingegneria sociale.
Esistono varie azioni che il malware può eseguire una volta che rileva un computer vittimizzato. Una delle tattiche più comunemente viste oggi è la crittografia dei file di un utente. La cosa da ricordare è che questi file sono impossibili da decifrare senza la chiave di decrittazione corretta nota agli aggressori. Il ransomware presenta all utente con un messaggio, una richiesta di riscatto che avverte che i loro file sono inaccessibili. La nota afferma che possono essere sottoposti a decrittazione solo se la vittima paga con pagamenti di criptovaluta irrintracciabili.
In alcuni casi, autore dell attentato potrebbe addirittura pretendere di rappresentare le forze dell ordine. Arrestare il computer a causa di software piratato, pornografia infantile e pretendere il riscatto è una multa sono tutte tattiche valide.
Ci sono varianti di ransomware che minacciano di pubblicare dati personali sensibili che gli utenti potrebbero avere. Questa è una mossa conosciuta come doxing.
Chi diventa obiettivo più comune di Ransomware
Esistono diversi metodi utilizzati dagli aggressori per le loro campagne di ransomware. A volte gli attacchi mirano a obiettivi di opportunità con una sicurezza informatica più debole. Università o piccole aziende fanno spesso parte di queste campagne.
In altri casi, le organizzazioni più grandi con una sicurezza migliore potrebbero essere un obiettivo più allettante. Avrebbero la possibilità di pagare il riscatto più velocemente, il che li rende la scelta preferita. Anche le strutture mediche sono prese di mira dal ransomware, dato che i loro dati possono essere venduti sul web oscuro. In molte situazioni, le organizzazioni con dati sensibili potrebbero essere disposti a pagare, piuttosto che rischiare di perdere i loro dati finendo allo scoperto.
Alcuni ransomware possono diffondersi senza un target specifico e completamente automaticamente su Internet.
In che modo Ransomware infetta un sistema?
Infezioni e-mail
Per i criminali informatici, la posta elettronica è un vettore di attacco aperto. Le e-mail inviate sotto forma di messaggi apparentemente legittimi consentono agli autori di ransomware di ingannare gli utenti. Aprire allegati infetti o fare clic su un link che porta a siti Web infetti - entrambi portano allo stesso risultato.
Questo approccio è noto come phishing, che attira gli utenti a prendere esca per infettare il loro sistema. Sebbene le e-mail di spam possano essere chiaramente evidenti, il phishing di solito assume un approccio più furtivo, soprattutto con obiettivi specifici in mente. Oggi molte delle e-mail di phishing sono più sofisticate del previsto.
Il phishing tende ad avere una natura più mirata, quindi gli aggressori si prendono il loro tempo per cercare le vittime prescelte. Il dominio pubblico contiene informazioni sufficienti nella maggior parte dei casi per aiutare con ingegneria sociale. Una e-mail di un amico o di un socio in affari spesso causa meno sospetti di quella che proviene da uno sconosciuto. Si parla di spear phishing, quando gli attaccanti scelgono una persona o un gruppo specifico. Gli allegati infetti possono essere dissimulati come qualsiasi cosa, da contratti, moduli normativi, fatture e altro, più ordinario, meglio è.
Siti Web compromessi
La differenza più significativa tra esempio precedente risiede nei kit di exploit. Questi sono usati per compromettere i siti web senza allegati e-mail coinvolti. Una visita al sito compromesso e ai cybercriminali può infettare senza bisogno di clic. I kit di exploit consentono agli aggressori di caricare codice dannoso direttamente su qualsiasi pagina Web vulnerabile. Tale codice è appositamente creato per sfruttare le vulnerabilità del software o dei browser che i visitatori potrebbero utilizzare.
Se nel sistema è presente una vulnerabilità, il kit di exploit può scaricare e installare automaticamente Windows Ransomware. Sfortunatamente, evitare di visitare siti web con una reputazione discutibile potrebbe non risolvere il problema. A volte anche le visite a siti tradizionali e legittimi possono costituire un rischio quando la loro sicurezza è compromessa, come nel caso degli attacchi del kit di exploit Angler del 2016, utilizzati per diffondere malware in una campagna del 2016.