5 tipi comuni di ransomware

Il ransomware è diventato una seria minaccia per aziende e individui in tutto il mondo. Il report del quarto trimestre 2024 di Coveware by Veeam mostra una media trimestrale di pagamento del riscatto di 553.959 $ (con un aumento del 16% rispetto al terzo trimestre del 2024). Il pagamento mediano nel quarto trimestre del 2024 è stato di 110.890 $. Sebbene qualsiasi forma di virus, worm o malware possa essere dannosa, il ransomware può essere particolarmente dannoso perché mira a estorcere denaro alla vittima dell'infezione sotto la minaccia di perdita o fuga di dati.

Questo articolo spiega i comuni tipi di ransomware, come funzionano e come utenti e amministratori di sistema possono ridurre il rischio di infezione.

Quali sono i cinque tipi di ransomware?

Il ransomware può essere suddiviso in cinque categorie principali in base alla minaccia che rappresenta per le sue vittime.

• Locker: questo tipo di ransomware blocca gli utenti fuori dai loro computer, chiedendo alla vittima di trasmettere un pagamento (solitamente in criptovaluta) all'aggressore per rimuovere il blocco. L'avviso può includere una minaccia di eliminazione dei dati dell'utente se non si conforma entro un determinato periodo di tempo.
• Crypto ransomware: Questa variante è simile ai locker, ma prevede un'ulteriore fase di crittografia dei file della vittima per impedirgli di ripristinare i dati presenti sul sistema fino al pagamento del riscatto. Alcune vittime potrebbero comunque non essere in grado di recuperare tutti i file crittografati, anche dopo aver pagato il riscatto.
• Scareware: lo scareware è meno dannoso di altri tipi di ransomware. Mostra un falso avviso alla vittima, dicendo loro che il loro sistema è stato infettato da un trojan o da un virus e indirizzandola all'acquisto di un prodotto per risolvere il problema.
• Doxware/Leakware: Anziché limitare l'accesso ai dati o minacciare di cancellarli, gli sviluppatori di doxware minacciano di rilasciare i documenti sensibili trovati sulle macchine infette. Doxware e scareware talvolta sono sovrapponibili: gli utenti dei siti Web di pirateria vengono presi di mira da ransomware che minaccia di avvisare le autorità che hanno scaricato file illeciti.
• Ransomware as a Service (RaaS): Gli hacker professionisti offrono i loro servizi ad aggressori inesperti. Gli hacker distribuiscono il ransomware, accettano pagamenti e gestiscono la decrittazione per i loro clienti in cambio di una percentuale del pagamento.

I computer possono essere infettati dal ransomware accidentalmente attraverso il download di software infetto da siti Web dannosi o tramite attacchi mirati. Si scherza sul fatto che il malware sia ora dotato di un "servizio clienti", in quanto gli hacker assistono le vittime nel processo di acquisto di criptovalute e nel trasferimento per pagare il riscatto.

Esempi di ceppi di ransomware

Esistono diversi ceppi di ransomware, ciascuno con un meccanismo di infezione. Alcuni dei ceppi di ransomware più noti sono:

• Akira: questo ransomware è stato individuato la prima volta a marzo 2023. Akira inizialmente aveva come obiettivo i sistemi Windows, ma nell'aprile 2023 è stata rilasciata una variante per Linux. Si ritiene che questo ransomware abbia colpito più di 250 organizzazioni, facendo guadagnare agli hacker oltre 42 milioni di dollari in riscatti.
• RansomHub: Rilasciato a febbraio 2024, RansomHub è una forma di ransomware che crittografa ed esfiltra i dati. Finora ha mietuto più di 200 vittime, tra cui organizzazioni sanitarie e governative. I metodi di esfiltrazione dei dati di RansomHub variano a seconda del gruppo che utilizza lo strumento.
• Blacksuit (Royal): Il ransomware Royal è un ceppo relativamente nuovo rilasciato nel 2023. Questo ransomware effettua l'esfiltrazione dei dati e fa trapelare pubblicamente online i dati della vittima se questa non paga il riscatto. Gli obiettivi sono solitamente grandi organizzazioni e le richieste di riscatto arrivano fino a $60 milioni.
• Cicada3301: Con molte somiglianze con il ransomware BlackCat, Cicada3301 è scritto in Rust ed è diventato uno strumento popolare tra i pentester black hat che cercano di fare soldi come affiliati di ransomware. Questo ransomware prende di mira principalmente le piccole e medie imprese e può infettare una varietà di sistemi operativi e architetture moderni popolari.
• Fog: Osservato per la prima volta sul campo nel maggio 2024, Fog è un ransomware che prendeva inizialmente di mira organizzazioni educative con sede negli Stati Uniti. Funziona rapidamente, essendo in grado di passare dall'intrusione iniziale all'esfiltrazione e crittografia dei dati in sole due ore. Il ransomware utilizza un'applicazione desktop remoto legittima per le sue comunicazioni di comando e controllo, rendendo difficile individuare attività dannose nelle prime fasi dell'infezione.
• Qilin: Questo operatore di Ransomware as a Service è apparso sulla scena nel 2022 ed è diventato famoso nel 2024 dopo la pubblicazione dei dati trapelati ottenuti dalla Synnovis, un fornitore del servizio sanitario nazionale del Regno Unito. Qilin paga agli affiliati l'80% di tutti i riscatti che guadagnano e ha infettato numerose grandi organizzazioni negli Stati Uniti e in Europa.

FAQ sul ransomware

Le risposte alle seguenti domande frequenti possono fornire maggiori informazioni sugli attacchi ransomware.

Qual è il tipo più comune di attacco ransomware?

Il crypto ransomware è il tipo più comune di attacco ransomware. Questo tipo di ransomware crittografa i file della vittima, impedendole di accedervi fino al pagamento del riscatto. In molti casi, anche dopo il pagamento del riscatto, i dati sono ancora irrecuperabili.

Quali sono i quattro vettori più utilizzati per il ransomware?

I quattro vettori di attacco più comuni per il ransomware sono gli allegati e-mail, i popup del browser, i messaggi istantanei e i messaggi di testo. La maggior parte degli attacchi induce l'utente a scegliere di eseguire un file eseguibile dannoso.

Quali sono le tre principali cause di attacchi ransomware riusciti?

Le cause più comuni degli attacchi ransomware riusciti sono gli errori degli utenti, come cadere vittima di attacchi di phishing o cattive pratiche di sicurezza informatica. Ad esempio, installare di software da una fonte sconosciuta, fare clic su un link dannoso o collegare dispositivi USB sconosciuti a un computer potrebbe consentire il verificarsi di un'infezione da ransomware.

Proteggiti dal ransomware con Veeam

Le organizzazioni possono adottare diverse misure per proteggersi dal ransomware.

L'utilizzo di software antivirus e strumenti di blocco degli annunci può ridurre la probabilità di un'infezione. Un'altra importante precauzione di sicurezza è l'esecuzione regolare degli aggiornamenti della sicurezza.

Tuttavia, le soluzioni tecniche possono arrivare solo fino a un certo punto. È importante fornire formazione sulla sicurezza informatica ai dipendenti in modo che abbiano meno probabilità di cadere in attacchi di phishing o tentativi di ingegneria sociale.

Anche con queste precauzioni, c'è comunque il rischio di cadere vittima di un nuovo attacco. È qui che la protezione contro il ransomware di Veeam può salvare la situazione. I ransomware moderni sono così sofisticati che alcune varianti possono disabilitare il ripristino del sistema di Windows e raggiungere i backup delle unità di rete, impedendo così di ripristinare i dati. Consigliamo alle organizzazioni di seguire la regola 3-2-1-1-0 per garantire la massima protezione dei dati. Anche se i backup della tua rete sono in qualche modo interessati dal ransomware, puoi comunque disporre di un backup off-site e offline a cui ricorrere in caso di emergenza.

Se desideri saperne di più su come Veeam Backup & Replication può aiutarti a proteggere i dati dal ransomware, contattaci oggi stesso per parlare con un venditore o prenotare una dimostrazione.