Axitea » Approfondimenti » Tipi di ransomware: il wikizionario aggiornato

Interessato alle soluzioni di sicurezza di Axitea?

Autore

Redazione Axitea

Il Ransomware non è un malware di recente creazione: sono ormai tantissime le aziende e le persone rimaste vittima di questo software malevolo che impedisce l’accesso ai file del computer o di una rete fino al pagamento di un riscatto. Ogni azienda, indipendentemente dalle dimensioni, deve pensare alla prevenzione da attacchi ransomware.

Purtroppo, con la stessa velocità con cui si muove il web, altrettanto rapidamente si muovono gli hacker: quali sono i ransomware più diffusi? E quelli di ultima generazione? Scopriamolo insieme in questo post.

Ransomware: a cosa è dovuta la sua popolarità?

I numeri parlano chiaro: il 67% dei casi di perdita dei dati è stata denunciata da aziende con 11-100 dipendenti, cioè le Piccole e Medie Imprese. E l’Italia è attualmente il primo Paese dell’Unione Europea per attacchi hacker subiti.

Perché il ransomware piace così tanto agli hacker? Per una serie di motivi: è relativamente semplice diffondere il malware e infettare un gran numero di pc, i tempo di esecuzione sono brevi, il profitto è immediato (“paga entro 72 ore”) e difficilmente rintracciabile (tramite bitcoin).

Traditional Ransomware, i più diffusi

Sono malware veicolati attraverso allegati di posta malevoli, contenuti in messaggi che ormai sempre più spesso sono anche ben concepiti e indirizzati. Una volta infettato il sistema, cifrano i file locali che riescono a trovare e i file contenuti in cartelle di rete condivise. Per poter riavere accesso ai file, la vittima dovrà pagare un riscatto.

I più diffusi attualmente sono Locky, Cerber, ZCrypt, Sage, CryLocker, Teslacrypt e le numerose varianti di CryptoLocker. L’evoluzione di questa tipologia di ransomware consente di inserire tali file malevoli in chiavette USB o in post sui social network.

Backup Ransomware

E’ una versione evoluta dei traditional ransomware perché non si limitano a cifrare file locali o condivisi in rete ma ricercano e bloccano anche eventuali file di backup.

DDoS Ransomware

Differentemente dai traditional e dai backup ransomware, i DDoS hanno l’obiettivo di colpire i file di sistema e non i documenti personali di una o più vittime.

Un perfetto esempio è il ransomware Petya, che blocca completamente un computer o un server.

Antivirus Ransomware

Questo malware è utilizzatissimo nei siti di streaming. Se compare un pop-up che avverte di avere rilevato un malware molto pericoloso sul computer, dovete diffidarne: è un falso allarme e basa la sua efficacia sullo stato di preoccupazione che genera un messaggio di questo tipo, oltre a un layout del tutto simile a quello dei principali antivirus. In realtà, anziché un antivirus è un ransomware che, come negli altri casi, cifra i file locali, promettendo di liberarli solo dopo il pagamento del riscatto.

Cloud Storage Ransomware

Il veicolo attraverso cui si diffonde sono i server di condivisione file in cloud. Questo malware infetta tutti i file che la vittima ha salvato in cloud: qualunque altra persona che accederà ai file condivisi si ritroverà a sua volta infettata.

Uno dei più noti Cloud Storage Ransomware? Virlock, che finge di essere la Polizia Postale e chiede ai malcapitati di pagare una multa per presunte attività illecite o irregolari riconducibili alle vittime stesse.

Highly Personalized Ransomware

La caratteristica principale è l’elevata personalizzazione, perché studia il comportamento attaccando specifiche organizzazioni o individui: Ransoc, colleziona dati personali e monitora le attività da Facebook, LinkedIn e Skype alla ricerca di attività illecite o irregolari (download di mp3, streaming) a fronte delle quali chiede il pagamento di una multa. Cosa accade in caso di mancato pagamento? Il materiale sarà reso pubblico per danneggiarci il più possibile, con tanto di calcolo di stime e pene previste.

Ransomware spread through web servers

Alcuni siti web hanno delle vulnerabilità di sicurezza, sfruttate dagli hacker per diffondere un ransomware: basta visitare le pagine del sito infetto per diventare vittime di questo ransomware. Samsam è un perfetto esempio: ha infettato un gran numero di vittime connesse a scuole, agenzie governative, strutture sanitarie, compagnie aeree.

Windows Interface Ransomware

Questo ransomware “clona” l’interfaccia di Windows: uno dei più famosi si chiama VindowsLocker. Dopo che il ransomware viene iniettato nel computer, la vittima riceve un invito a riattivare il sistema a causa di problemi di privacy. Scatta il blocco e la riattivazione può essere fatta componendo un numero di telefono gratuito oppure compilando una form con i dati della propria carta di credito.

Windows Script Files Ransomware

Si diffonde attraverso file di scripting tipici di windows (.wsf), utilizzati spesso dagli hacker perché di difficile rilevamento da parte dei sistemi di protezione. L’anno scorso sono state bloccate più di un milione di e-mail contenenti file .wsf infettati dal ransomware Locky. Questo ransomware si è evoluto camuffandosi sotto altre forme, ad esempio all’interno di file .zip.

MAC Ransomware

Anche il mondo Apple colpito dai ransomware? Ebbene sì! Anche se in forma minore, i dispositivi Mac sono colpiti dai malware: KeRanger è stato trovato in numerosi file scambiati via torrent.

Mobile Android Ransomware

Mondo smartphone su Android: esistono svariati ransomware (Android Defender, Simplocker, Adult Player, Lockerpin, Lockdroid, Jiust, Xbot) progettati appositamente per colpire efficacemente utenti Android. L’obiettivo è sempre lo stesso: chiedere il riscatto per poter riavere i propri file o per poter accedere nuovamente al proprio dispositivo.

Cosa proteggersi dal ransomware? Cultura e Sicurezza Informatica Gestita

Per diminuire il rischio di infezione dei propri pc è necessario conoscere il funzionamento di un ransomware, in modo da assumere un comportamento che diminuisca il rischio di esserne colpiti.

Il trend – soprattutto per le aziende – è la Sicurezza Informatica Gestita, grazie alla quale ogni apparato o dispositivo è controllato e monitorato dal Security Operation Center di Sicurezza Informatica, attivo 24 ore su 24, 365 giorni l’anno: vengono immediatamente rilevati e bloccati i malware e ransomware di ultima generazione, spam e minacce web che antivirus e firewall non riescono a individuare.

Ico-pos-Rilevazione intrusione

Interessato alle soluzioni di sicurezza di Axitea?

Scroll to Top
Torna su