Nel 2015 i casi sono aumentati del 35%, e le vittime hanno pagato più di 24 milioni di euro in riscatti. Le ultime stime parlano di più di 4 mila attacchi di questo tipo al giorno nel 2016, contro le 1000 quotidiane registrate nel 2015.
Non c’è un target specifico di soggetti più esposti al rischio ransomware. Finora sono state colpite organizzazioni appartenenti a settori molto differenti, dagli ospedali alle squadre della National Association for Stock Car Auto Racing (NASCAR), solo per fare alcuni esempi a livello internazionale. E pagare il riscatto a volte non è un’opzione: per gli ospedali riavere la disponibilità dei dati criptati dai criminali può significare infatti salvare o meno la vita di un paziente.
I motivi che rendono in questo momento i ransomware così popolari tra i criminali informatici sono molti, ma due sono quelli più importanti.
Il primo motivo ha a che fare con i privilegi. La maggior parte dei malware ha bisogno di diritti di amministratore locale per agire e i ransomware si mettono alla ricerca proprio dei privilegi di amministratore quando entrano in azione. Quindi, se un utente su un dispositivo colpito dispone delle autorizzazioni necessarie per aprire Microsoft Word per redigere e modificare un documento – permessi standard nella maggior parte delle organizzazioni – anche il ransomware avrà le autorizzazioni necessarie per cifrare i documenti. Pur seguendo le cosiddette “Dieci immutabili leggi della sicurezza” di Microsoft e rimuovendo agli utenti standard i diritti di amministratore locale, la maggior parte dei ransomware può ancora svolgere il suo lavoro e crittografare i file.
Il secondo motivo di diffusione del ransomware è il modo in cui è stato progettato. In genere, quando il malware viene scoperto per la prima volta da un programma antivirus, quest’ ultimo individua l’impronta digitale del file, cioè ne calcola l’hash, in modo che la volta successiva che lo scopre riesce a bloccarlo. Ma il ransomware è un esempio di minaccia polimorfica, nel senso che può cambiare piccoli attributi rimanendo ancora efficace. Ciò significa che trasformandosi in una versione 2.0, diventa sconosciuto per l’antivirus che non riesce più ad individuarlo.
Ci sono tuttavia modi per mitigare i rischi derivanti dai ransomware. Mantenere i backup aggiornati quanto più frequentemente possibile permette di ripristinare i file in versioni recenti. Ma questo può rivelarsi un metodo scomodo e che richiede molto tempo, e quindi non può essere una soluzione praticabile da tutti. Un’altra strada da percorrere parallelamente, in particolare questo vale per le imprese, è quella di utilizzare sempre software antivirus, anche se a causa della natura di malware polimorfico del ransomware, l’efficacia non è elevata.
Per mitigare più efficacemente i rischi degli attacchi di ransomware a livello di server, CyberArk – azienda leader nella gestione degli account privilegiati – consiglia di utilizzare applicazioni di whitelisting, dal momento che i server sono in genere statici e non eseguono molte applicazioni. La natura dinamica degli endpoint, tuttavia, rende difficile l’attuazione di un efficace whitelisting. Sugli endpoint è più efficace ed efficiente l’utilizzo di strumenti di controllo delle applicazioni quali il greylisting, che supporta ambienti applicativi dinamici, evitando alle applicazioni sconosciute di ottenere i privilegi necessari per crittografare i file.
Quello che è stato imparato dallo studio del ransomware e dei suoi comportamenti è che deve aver letto, scritto e modificato privilegi su file per riuscire a crittografarli. Strumenti che possono limitare i privilegi da applicazioni sconosciute, compresi i ceppi di malware polimorfico non ancora noti per la loro pericolosità, possono prevenire la crittografia dei file, salvando così i dati ed evitando ripercussioni sul business.