Programmi malevoli che sequestrano i dati di un dispositivo chiedendo un riscatto per renderli nuovamente accessibili: ecco che cosa sono i ransomware, i virus informatici molto utilizzati dai cybercriminali per finanziare le loro attività illecite

Tra febbraio 2020 e la metà di maggio 2021, più di 600 realtà europee sono state colpite da attacchi ransomware che, oltre a creare il disagio temporaneo dovuto a un sistema informatico completamente paralizzato, sono spesso serviti come diversivo per il furto di preziosi dati. Rispetto al primo trimestre del 2020, gli attacchi di questo tipo, nel medesimo intervallo del 2021, hanno fatto segnare un aumento del 422%.

Questi numeri sono il frutto di una ricerca condotta dalla società di cybersecurity FireEye e mettono in chiara luce come i cybercriminali stiano prediligendo gli attacchi tramite ransomware. L’utilizzo di questa tipologia di virus informatico ha iniziato a prendere sempre più piede a partire da circa metà del 2019. Partita come una minaccia a largo spettro e che puntava genericamente ad aumentare la quantità delle vittime, i ransomware sono stati utilizzati sempre di più fino a diventare delle attività molto più ragionate e mirate.

Ma che cosa è un ransomware? La risposta risiede nella parola stessa che è composta dalla parola ransom – riscatto in inglese – e il suffisso -ware che lo identifica come programma malevolo. Infatti, questa tipologia di malware, è utilizzata dai cybercriminali per prendere in ostaggio uno o più dispositivi in rete criptandone i dati ed esigendo un riscatto per renderli nuovamente utilizzabili.

A 32 anni dalla scoperta del primo ransomware noto come Trojan Aids o PC Cyborg il riscatto chiesto dai cybercriminali è aumentato di pari passo con l’evolversi delle tecnologie impiegate. Se nel 1989 il Trojan Aids chiedeva 189 dollari di riscatto per sbloccare i file criptati sull’hard disk, ora le cifre sono molto più alte e i dollari hanno ceduto il passo alle criptovalute.

Spesso i gruppi di cybercriminali impiegano i loro ransomware in vaste campagne d’attacco con lo scopo di racimolare abbastanza pagamenti per finanziare la loro attività criminale.

Per consegnare un ransomware alle vittime, i cybercriminali prediligono l’utilizzo di un popolarissimo e tristemente efficace vettore d’attacco: il Phishing. Finte e-mail camuffate a tal punto da risultare autentiche inducendo l’utente a cliccare su un link in esse contenuto, sono la principale porta d’accesso ai sistemi informatici bersaglio. Basta infatti un semplice click su un link malevolo per avviare il download del ransomware che, nel giro di pochi istanti, è in grado di criptare l’intero sistema rendendo il dispositivo infettato, completamente inutilizzabile.

Siccome l’ecosistema dei cybercriminali segue le tendenze economiche globali, l’andamento economico e il livello di sviluppo percepito sono due indicatori che spiegano perché Regno Unito, Francia e Germania sono le nazioni più prese di mira in Europa. L’Italia si attesta al quarto posto di questa classifica stilata da FireEye con numeri assolutamente paragonabili a quelli della Germania e con attacchi ransomware che non colpiscono solo grandi aziende come Campari, Luxottica o Geox ma bersagliano anche piccole e medie imprese e singoli utenti.

A differenza delle grandi aziende che sempre più investono nella cybersicurezza, l’utente privato magari non investe in una protezione di alto livello e, inoltre, più facilmente cade vittima di un attacco phishing. Sebbene su un dispositivo privato non siano spesso conservati preziosi segreti industriali da trafugare, criptando foto e documenti importanti a livello sentimentale, gli utenti sono più propensi a pagare piccole somme per riavere i loro dati. Piccole somme che moltiplicate per migliaia di computer attaccati, si traducono in una lauta fonte di guadagno per i cybercriminali. Proprio per questo motivo gli esperti di cybersecurity consigliano di effettuare abitudinariamente dei backup e, soprattutto, di non pagare il riscatto chiesto dai cybercriminali.

Negli ultimi anni, però, i gruppi criminali hanno iniziato a colpire aziende sempre più grandi arrivando addirittura ad attaccare e paralizzare intere città. Questi gruppi di aggressori, però, conducono attacchi spesso senza considerare gli eventuali rischi per le comunità arrivando addirittura a colpire i sistemi di un gasdotto, paralizzando metà costa orientale degli Stati Uniti, per poi chiedere scusa dopo essersi resi conto del disagio causato.

Un altro indicatore che mostra come i cybercriminali seguano i trend globali è la recente tendenza a colpire, con questa tipologia di malware, le strutture sanitarie causando gravi danni agli ospedali e, soprattutto, ai pazienti ospitati.

“La mia preoccupazione è che i gruppi che operano attraverso attacchi ransomware continueranno a crescere fino a quando non inizieremo ad affrontare il problema a livello politico” spiega Jens Monrad, Direttore e capo del Mandiant Intelligence (Emea) di FireEye a Wired. “Rallentare queste attività criminali richiederà un livello di coinvolgimento politico che non abbiamo mai visto prima. Il cyber crime è una sfida globale e abbiamo necessità di segnalare e operare contro i Paesi che offrono protezione ai cyber criminali o che accettano, con passività, le loro azioni finché questi aggressori non colpiranno il Paese che li ospita o li protegge”, conclude Monard.