Il ransomware è un tipo di malware che crittografa i dati degli utenti e blocca l’accesso ai sistemi informatici rendendoli inaccessibili.
Oltre alla crittografia dei dati impiega tattiche di ingegneria sociale per indurre i bersagli a compiere azioni che facilitano l’infezione del sistema e l’esecuzione del malware.
La vittima viene ricattata con la richiesta di un pagamento per ottenere la chiave di decrittazione e ripristinare l’accesso ai propri dati.
Gli attacchi possono colpire sia utenti singoli che organizzazioni causando interruzioni e compromissioni ingenti.
Le origini del ransomware
La storia è lunga e complessa, caratterizzata da una continua evoluzione e da un intreccio di fattori tecnologici, sociali ed economici.
È composta di storie individuali e collettive: si parla di vittime che hanno perso dati preziosi e subito gravi danni finanziari, ma anche di aziende e organizzazioni che hanno resistito alle richieste di riscatto e hanno combattuto per ripristinare i propri sistemi.
Ci sono storie di ricercatori e hacker etici che lavorano instancabilmente per sviluppare soluzioni e contrastare la minaccia.
Tutto inizia negli anni ottanta; sebbene negli ultimi cinque anni i ransomware abbiano dominato le cronache, l’idea di prendere in ostaggio i dati degli utenti non è nuova.
Già alla fine degli anni ’80 i criminali informatici utilizzavano la crittografia per estorcere denaro alle vittime.
Uno dei primi attacchi documentati risale al 1989, con il trojan AIDS (noto anche come PC Cyborg Virus), diffuso tramite floppy disk.
Questo virus rudimentale impiegava la crittografia simmetrica per bloccare i file delle vittime, chiedendo un riscatto di 189 dollari da inviare per posta a Panama per il ripristino dell’accesso. Negli anni ’90 il ransomware è rimasto quiescente, ma con l’avvento di Internet e la diffusione dell’e-mail, la sua diffusione è cresciuta esponenzialmente.
L’ascesa come minaccia globale
L’inizio del nuovo millennio ha visto un’esplosione di attacchi ransomware, alimentata da diversi fattori:
• Aumento della connettività.
• Sviluppo di tecnologie di crittografia.
• Anonimato online.
Agli inizi degli anni 2000 l’evoluzione è stata significativa e ha favorito il passaggio da attacchi semplici a metodi più complessi che sfruttavano algoritmi crittografici avanzati.
Il 2010 ha segnato l’ascesa delle criptovalute che hanno avuto un impatto importante nel consolidamento di questa minaccia.
È iniziata la diffusione del locker ransomware e di algoritmi di crittografia ancora più potenti che sfruttavano le criptovalute come metodo di pagamento anonimo e difficilmente tracciabile.
Gli attacchi hanno colpito sia singoli individui che grandi aziende senza risparmiare enti governativi e infrastrutture critiche.
Alcuni incidenti sono rimasti nascosti, nel tentativo da parte delle vittime di minimizzare i danni e l’impatto reputazionale, altri hanno ottenuto risonanza globale, trasformando il panorama della cybersicurezza.
Alcuni attacchi ransomware famosi
CryptoLocker – 2013
L’attacco ransomware CryptoLocker ha segnato un punto di svolta nella storia di questa minaccia informatica, inaugurando l’era moderna del ransomware.
Tra il 2013 e il 2014 questo malware ha causato danni ingenti, estorcendo alle vittime la cifra sbalorditiva di 3 milioni di dollari.
A differenza dei primi ransomware, CryptoLocker utilizzava una crittografia robusta, rendendo quasi impossibile la decrittazione dei file senza la chiave di decodifica fornita dagli hacker.
L’utilizzo del Bitcoin per il pagamento del riscatto ha permesso agli hacker di mantenere l’anonimato e di incassare i pagamenti in modo rapido e sicuro.
WannaCry – 2017
Nel maggio del 2017 il mondo è stato scosso da un attacco,senza precedenti: WannaCry. Un worm informatico, basato sul ransomware EternalBlue, che ha sfruttato una falla nella sicurezza dei sistemi Microsoft Windows per diffondersi rapidamente e infettare centinaia di migliaia di computer in tutto il mondo.
Uno degli attacchi ransomware più costosi e famosi della storia: WannaCry, è costato circa 4 miliardi di dollari.
REvil – 2019
Nel 2019, il gruppo di hacker russi REvil (abbreviazione di Ransomware Evil ) ha lanciato una serie di attacchi ransomware di alto profilo che hanno colpito alcune delle più grandi aziende del mondo.
Questi attacchi hanno causato danni ingenti alle vittime e hanno portato REvil alla ribalta come uno dei gruppi di cybercriminali più temuti al mondo.
Ransomware al Gasdotto Coloniale – 2021
7 maggio 2021: il gruppo di hacker DarkSide ha lanciato un attacco ransomware contro Colonial Pipeline, la società che gestisce il più grande gasdotto degli Stati Uniti orientali.
È stato un evento di portata globale che ha messo in luce la vulnerabilità delle infrastrutture critiche agli attacchi informatici.
Questo attacco ha avuto un impatto significativo sulla costa orientale degli Stati Uniti, causando interruzioni della distribuzione di carburante, aumenti di prezzo e una risposta da parte del governo degli Stati Uniti.
British Library – 2023
Nell’ottobre del 2023, la British Library è stata vittima di un attacco che ha causato la paralisi del suo catalogo online e l’inaccessibilità di una vasta collezione di risorse digitali. Questo evento ha avuto un impatto significativo sulla comunità accademica e sui ricercatori di tutto il mondo. Gli hacker responsabili dell’attacco appartenevano al gruppo Rhysida, noto per aver colpito l’ospedale londinese King Edward VII.
Il panorama delle minacce ransomware nel 2024
Il ransomware resta una delle forme di cybercrimine più redditizie e una minaccia critica per organizzazioni di ogni dimensione.
Report come “Ransomware: The True Cost to Business 2024” di Cybereason evidenziano l’importanza cruciale di piani di sicurezza solidi e di un team informatico competente nella lotta contro il ransomware.
Cosa dimostrano questi studi?
- Il 56% delle aziende non ha scoperto la violazione in corso fino a lasso di tempo compreso tra i 3 ei 12 mesi dopo l’intrusione.
- L’84% ha pagato il riscatto e il 78% di questa percentuale ha subito una nuova violazione.
- Il 46% delle aziende valuta le proprie perdite tra 1 e 10 milioni di dollari, un 16% stima perdite aziendali totali superiori a 10 milioni di dollari.
- L’87% delle organizzazioni ha aumentato l’investimento, ma solo il 41% delle imprese che hanno effettuato un upgrade in termini di sicurezza IT ritiene di avere le persone e i piani giusti per gestire il prossimo attacco.
La lotta contro i ransomware: rafforzare la segnalazione e la resilienza
Negli Stati Uniti e in altri paesi, questa minaccia è diventata una priorità per le autorità e le aziende.
Leggi come il Cyber Incident Reporting for Critical Infrastructure Act del 2022 negli Stati Uniti e la legge francese del 2023 che associa a una tempestiva segnalazione degli incidenti di sicurezza informatica una copertura assicurativa, dimostrano l’impegno a rafforzare la segnalazione e la resilienza contro questi attacchi. Secondo il BSI (Germania), nel suo ultimo rapporto sulla sicurezza IT del 2023, il ransomware rappresenta la più grande minaccia alla sicurezza informatica per il paese. L’analisi evidenzia un cambiamento di tattica da parte dei criminali informatici, che passano da attacchi generici ad azioni mirate contro aziende più piccole e amministrazioni locali.
In Italia il Programma Nazionale per la Cybersicurezza 2023-2027 definisce una strategia nazionale per aumentare la resilienza del Paese, con un’attenzione particolare alla protezione delle infrastrutture critiche.
Conclusione
Un modo efficace per proteggersi da questo tipo di attacchi è disporre di un piano di difesa informatica migliore con un approccio proattivo completo. Ciò deve includere la formazione dei dipendenti, il monitoraggio degli eventi di rete e la risposta agli attacchi non appena si presentano.
Questa storia sottolinea la necessità di rafforzare le difese informatiche aziendali, investendo in piani di sicurezza strategici e in un team di esperti IT.
