#1 Leader globale nella resilienza dei dati
#1 Leader globale nella resilienza dei dati
Prenota l'incontro
Linee guida di Veeam per i clienti interessati dall'aggiornamento dei contenuti di CrowdStrike
Per saperne di più

Che cos'è il ransomware CryptoLocker?

Il ransomware è un'industria da miliardi di dollari. L'informatica moderna ha una storia tumultuosa, segnata da innumerevoli virus e malware. Negli ultimi anni, i malintenzionati hanno iniziato a concentrarsi sulla promessa di profitti sotto forma di riscatto. Crittografando i dati e impedendo alle vittime di accedervi, questi attori traggono profitto da coloro che non possono permettersi di perdere dati critici.

Le organizzazioni senza protezione dal ransomware sono le più vulnerabili a questa industria criminale in crescita. Secondo il Report sulle tendenze nella protezione dei dati 2023 di Veeam, l'85% delle organizzazioni di tutto il mondo ha subito almeno un attacco ransomware. Ancora peggio, più della metà di queste aziende ha pagato il riscatto per riottenere l'accesso ai dati, una scelta che una replica di backup sicura avrebbe potuto rendere superflua.

Molte organizzazioni semplicemente non sono preparate per la crescente minaccia del ransomware. Sebbene esista da più di 30 anni, fino a circa un decennio fa non era l'industria del crimine informatico redditizia che è oggi. Uno dei più importanti è il virus CryptoLocker .

Spiegazione del ransomware di CryptoLocker

La comparsa di CryptoLocker nel 2013 ha segnato l'inizio della piaga del ransomware. Una volta infettato da CryptoLocker, il ransomware crittografa i file di una vittima e quindi richiede il pagamento per la chiave di decrittazione, spesso pari a centinaia o addirittura migliaia di dollari.

CryptoLocker è diventato famoso praticamente da un giorno all'altro, in parte a causa del suo potente algoritmo di crittografia che ha reso quasi impossibile il ripristino dei dati senza la chiave di decrittazione originale. Inoltre, gli aggressori dietro il ransomware avrebbero minacciato di eliminare i dati della vittima se il riscatto non fosse stato pagato entro un determinato periodo di tempo. A causa della sua aggressività e del suo costoso impatto, CryptoLocker rimane un allarme CISA. Sebbene i sistemi moderni non siano vulnerabili al vecchio ransomware CryptoLocker, questo ha aperto la strada all'approccio basato su strumenti e strategie che molti criminali informatici utilizzano oggi.

Come funziona?

Nella maggior parte dei casi, CryptoLocker viene consegnato attraverso e-mail di phishing che tentano di ingannare le vittime per far scaricare ed eseguire loro il ransomware. Quando è apparso per la prima volta, gli aggressori di CryptoLocker hanno utilizzato e-mail progettate per assomigliare a avvisi di tracciamento di UPS e FedEx. Una volta che una vittima scaricava ed eseguiva il ransomware, iniziava a crittografare i file sul sistema infetto.

CryptoLocker tenta anche di diffondersi ad altri computer propagandosi attraverso i file system. Sui sistemi vulnerabili, può diffondersi a unità USB esterne, chiavette USB e storage di rete, comprese le unità mappate e le piattaforme di cloud storage.

Il ransomware ha preso di mira in modo specifico i sistemi Microsoft Windows, molti dei quali sono ancora vulnerabili, tra cui:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8

Una volta che CryptoLocker inizia a infettare uno di questi sistemi e a propagarsi, blocca i file utilizzando la crittografia a chiave pubblica RSA. Questo approccio utilizza due serie di cifrari per criptare e decriptare i dati, il che è molto più sicuro di un metodo a chiave singola per la condivisione e la trasmissione dei dati. All'epoca, la crittografia asimmetrica era meno comune per l'uso legittimo, per non parlare del ransomware.

CryptoLocker
Quando le vittime scoprono un file crittografato, CryptoLocker richiede il pagamento dei codici necessari per decifrare i dati. Il malware afferma inoltre che se il riscatto non viene pagato entro tre giorni, i dati della vittima verranno cancellati senza alcuna possibilità di ripristino. Tra l'altro, molte vittime di CryptoLocker hanno pagato il riscatto e non hanno mai ricevuto le chiavi necessarie per sbloccare i propri dati. Per questo motivo, le autorità e gli esperti di sicurezza informatica affermano che non bisogna pagare le richieste di ransomware.

Cronologia

Quando è emerso nel settembre 2013, CryptoLocker ha causato danni significativi, con un impatto su sistemi e dati in tutto il mondo. Con un'efficacia senza precedenti ed elevate richieste di denaro, CryptoLocker è diventato immediatamente famigerato. I malintenzionati dietro questa nuova minaccia fanno parte della banda GameOver ZeuS di criminali informatici, nota per l'utilizzo del trojan ZeuS per rubare le credenziali bancarie.

All'epoca, CryptoLocker divenne una delle forme di ransomware più efficaci e nefaste, emblematica in questo caso di studio sulla storia del ransomware. Il metodo ha attirato l'attenzione delle autorità per la sua capacità di criptare i dati della vittima utilizzando metodi di crittografia forti, all'epoca sconosciuti per i ransomware. Le estorsioni sono state inoltre molto più elevate rispetto alle richieste di ransomware convenzionali, pari a centinaia o addirittura migliaia di dollari. A peggiorare le cose, parte della strategia di CryptoLocker era minacciare la cancellazione dei file se il riscatto non fosse stato pagato.

Nel giro di pochi mesi, CryptoLocker ha causato gravi disagi ad aziende ed enti governativi, molti dei quali sono stati costretti a pagare riscatti per riottenere l'accesso ai dati. È stato solo nel giugno 2014 che un'operazione multinazionale guidata dagli Stati Uniti ha rovesciato la botnet GameOver ZeuS. Conosciuta come Operazione Tovar, la repressione internazionale è avvenuta contemporaneamente in diversi paesi.

CryptoLocker potrebbe essere stato l'incidente che ha messo il ransomware sotto i riflettori, attirando di fatto l'attenzione dei criminali informatici di tutto il mondo.

CryptoLocker è ancora una minaccia?

Sebbene l'Operazione Tovar abbia neutralizzato gli aggressori responsabili del ransomware CryptoLocker originale e ridotto significativamente il numero di attacchi, negli anni successivi sono emerse nuove varianti. Gli individui e le organizzazioni che non dispongono di misure adeguate per mitigare o compensare gli attacchi ransomware sono ancora vulnerabili.

Al giorno d'oggi, i discendenti di CryptoLocker sono più dirompenti e dannosi. Molti si affidano a nuovi metodi di distribuzione e tecniche di crittografia, rendendo sempre più difficile rilevare e prevenire gli attacchi che li utilizzano. In molti casi, gli aggressori dietro questi attacchi richiedono pagamenti di riscatti molto più elevati accompagnati da minacce più intense. Locky, WannaCry e Petya sono alcune delle varianti più recenti.

È anche comune che questi attacchi richiedano il pagamento in Bitcoin e altre criptovalute, un'altra mossa pionieristica di CryptoLocker. L'ascesa delle criptovalute ha reso più facile richiedere e ricevere pagamenti di riscatti in modo anonimo, il che aumenta l'attrattiva degli attacchi ransomware per i criminali informatici.

Come mitigare CryptoLocker

Il ransomware rappresenta una minaccia significativa per qualsiasi sistema che accede a dati critici o li archivia. Senza backup sicuri, i dati sono continuamente a rischio poiché il ransomware è spesso difficile da individuare fino a quando non è troppo tardi. Lo stesso vale per CryptoLocker, che è difficile da rilevare per la maggior parte degli strumenti finché non ha già crittografato i dati.

Le organizzazioni possono mitigare la minaccia di CryptoLocker assicurandosi che tutti i sistemi utilizzino i sistemi operativi più recenti, anche se questo non necessariamente proteggerà dalle varianti più recenti di CryptoLocker. Le aziende hanno bisogno di un approccio multiforme che includa strategie che comprendano la sicurezza della rete, la gestione degli account e il monitoraggio continuo. E soprattutto, hanno bisogno di una strategia di backup affidabile e sicura in caso di infezione.

Rilevamento

Il primo passo per mitigare CryptoLocker è rilevare qualsiasi segno di un attacco il prima possibile. Alcuni modi in cui le persone monitorano i segnali di minacce ransomware come CryptoLocker comprendono:

  • Monitoraggio ravvicinato del traffico di rete alla ricerca di trasferimenti sospetti
  • Controllare regolarmente i log di sistema per verificare la presenza di processi o attività insoliti
  • Utilizzo di software di sicurezza per rilevare e bloccare i processi correlati al ransomware

Nel frattempo, la maggior parte degli aggressori tenta di infettare le vittime con ransomware tramite e-mail di phishing, quindi un'e-mail strana o sospetta con un allegato potrebbe indicare un attacco. Per questo motivo, la vigilanza nella gestione della posta elettronica è la difesa più affidabile dal ransomware.

Prevenzione

Il primo passo, forse il più importante, per mitigare CryptoLocker è assicurarsi che i sistemi siano sempre aggiornati con le patch, le correzioni e gli aggiornamenti più recenti, compresi il sistema operativo, le applicazioni e il software di sicurezza. Le organizzazioni dovrebbero concentrarsi su misure preventive come:

  • Implementare forti controlli di accesso e autorizzazioni per gli utenti per limitare l'impatto delle vulnerabilità
  • Utilizzo di policy e-mail robuste e sistemi di sicurezza per bloccare le e-mail dannose e filtrare gli allegati sospetti
  • Formare i dipendenti a riconoscere ed evitare i comuni attacchi di phishing

Infine, il modo più efficace per proteggersi dalla perdita di dati causata da ransomware è l'implementazione di una solida strategia di backup. Anche i sistemi e le reti più sicuri vengono compromessi dagli attacchi ransomware. In questo senso, l'unica vera prevenzione è evitare la possibilità di perdita di dati.

Rimozione

Se si verifica un attacco CryptoLocker, è importante prevenire la diffusione del ransomware disconnettendo completamente il sistema infetto da qualsiasi rete e dispositivo di storage condiviso. La rapida rimozione del malware è fondamentale per prevenire qualsiasi ulteriore crittografia.

I passaggi per rimuovere CryptoLocker includono:

  • Isolare i sistemi infetti per impedire la diffusione del malware, inclusi tutti i sistemi che potrebbero essere stati colpiti
  • Rimuovere in modo sicuro il malware dal sistema con strumenti di sicurezza affidabili
  • Eseguire scansioni approfondite dei sistemi all'interno della sfera di impatto
  • Ripristina i file interessati da un backup sicuro
  • Segnala l'incidente all'Internet Crime Complaint Center, o IC3, una divisione dell'FBI

La cattura di CryptoLocker nelle prime fasi del processo di crittografia può ridurre i danni ai dati che provoca e la rimozione del malware stesso è relativamente semplice. Tuttavia, vale la pena notare che tutti i file crittografati prima del rilevamento non sono recuperabili.

Ripristino

Decrittografare e ripristinare i file infetti da CryptoLocker o da altri tipi di ransomware è estremamente difficile. Le vittime non hanno accesso alla chiave necessaria per accedere ai dati crittografati. Poiché questo tipo di malware utilizza chiavi di crittografia forti, la violazione del codice è quasi impossibile. In alcuni casi, è possibile utilizzare strumenti sviluppati da società di sicurezza informatica per decrittografare i file. Questi strumenti sfruttano le vulnerabilità dell'algoritmo di crittografia e forniscono chiavi di decrittografia che le vittime possono utilizzare per decrittografare i dati.

L'unico metodo affidabile per ripristinare completamente da un attacco ransomware, indipendentemente dalla variante utilizzata, è un backup sicuro. Stabilendo una routine di backup sicura, se si verifica il peggio, il ripristino è completo e rapido.

Come può aiutare Veeam

Fin dal primo giorno, la soluzione più efficace per difendersi dal ransomware è una strategia di backup dei dati. Gli strumenti di backup e ripristino sicuri di Veeam sono progettati pensando a questo, aiutando aziende e privati a proteggere dati preziosi e critici dalle minacce ransomware di qualsiasi tipo.

L'utilizzo delle soluzioni potenti e sicure di Veeam garantisce che i dati siano sempre al sicuro, indipendentemente dall'efficacia degli attacchi che emergono dal mondo nascosto del crimine informatico. Le soluzioni Veeam offrono una protezione completa, fornendo solidi strumenti di backup e crittografia su più piattaforme, compresi gli ambienti on-premise, ibridi e cloud, garantendo sicurezza e disponibilità dei dati, indipendentemente da dove vengono archiviati.

Contenuti correlati

Report sulle tendenze nel ransomware
Report sulle tendenze nel ransomware
Motivi del successo degli attacchi ransomware
Consigli sulla gestione, i test e il ripristino di backup e repliche