I più importanti attacchi ransomware degli ultimi anni

I più importanti attacchi ransomware degli ultimi anni

11 Novembre 2021| News

Gli attacchi ransomware rappresentano un grande business per i Cyber criminali. Si stima che entro la fine del 2021 verrà presa di mira un'azienda ogni 12 secondi, per un danno di circa 20 miliardi di dollari.

Queste minacce non riguardano più solo le imprese, ma anche i governi e le amministrazioni locali.

Nonostante molte aziende e organizzazioni scelgano di pagare il riscatto per riavere indietro i propri dati, la raccomandazione data dalle autorità è quella di non scendere a compromessi, perché non vi è alcuna certezza che l'accesso ai sistemi venga ripristinato.

Vediamo ora alcuni fra i più importanti attacchi ransomware avvenuti negli ultimi anni.

Reveton: inizio 2012

Reveton è stato uno dei più importanti worm ransomware. Iniziato nei primi mesi del 2012, il suo funzionamento si basava sul trojan Citadel. Il suo payload mostrava un avviso che sembrava provenire dalla polizia federale e avvisava gli utenti che il computer era stato utilizzato per attività illegali (come download di software pedopornografici…) e che era necessario pagare una multa per sbloccare il sistema operativo.

Per rendere ancor più realistica la situazione, la schermata del pc mostrava anche l'indirizzo IP di riferimento e alcuni finti filmati provenienti dalla webcam del computer.

Nel 2012 furono scoperte minacce in numerose zone europee. Nel Regno Unito, ad esempio, il logo della Metropolitan Police Service accusava l'utente di aver scaricato illegalmente file musicali.

In America, invece, furono scoperte varianti che richiedevano il pagamento di una multa di 200 dollari da fare all'FBI, utilizzando una MoneyPak Card.

CryptoLocker: settembre 2013

Il warm ransomware noto come CryptoLocker apparve in rete nel settembre 2013. Il suo funzionamento generava una coppia di chiavi RSA a 2048 bit, le caricava su un server e criptava i dati contenuti al suo interno mediante estensioni presenti in una particolare whitelist.

Il virus minacciava di cancellare tutti i dati se, entro tre giorni dall'infezione, non fosse avvenuto un pagamento mediante Bitcoin o voucher.

Si trattava di un malware molto difficile da sradicare, a causa della dimensione delle chiavi. Cryptolocker fu isolato ufficialmente dal dipartimento di Giustizia statunitense a giugno 2014. Nel registro degli indagati venne iscritto un noto hacker russo, Evgeniy Bogachev.

Secondo quanto riportato dalle cronache del tempo, sembra che il malware abbia estorto all'incirca 3 milioni di dollari.

WannaCry: maggio 2017

Noto anche come WanaCrypt0r 2.0, il ransomware WannaCry, esploso a maggio del 2017, causò problemi su larga scala, infettando pc con Microsoft Windows. Per riavere indietro i file, il riscatto era di alcune centinaia di dollari.

Questo malware fu protagonista di infezioni nei sistemi di alcune fra le più importanti organizzazioni al mondo: Portugal Telecom, Telefonica, FedEx, Renault, il Ministero degli interni Russo, l'Università degli Studi di Milano Bicocca.

Oltre 230.000 computer colpiti in circa 150 paesi lo hanno reso uno dei più grandi attacchi ransomware della storia.

Come si è diffuso il ransomware WannaCry

Secondo i dati raccolti, WannaCry sfruttò una vulnerabilità di SMB mediante un exploit chiamato EternalBlu, sviluppato dalla National Security Agency Statunitense con l'obiettivo di attaccare sistemi informatici basati sul sistema operativo Microsoft Windows.

Una volta rubato l'exploit da un gruppo di cyber criminali noto come The Shadow Brokers, il malware venne diffuso in rete attraverso finte email e, dopo esser stato installato sui pc, infettò altri sistemi presenti in rete.

WannaCry criptava i file bloccandone l'accesso e impedendo il riavvio del sistema. Per poter ottenere lo sblocco dei file, ogni utente fu costretto a pagare dai 300 ai 600 dollari in bitcoin. La vulnerabilità EternalBlu venne poi corretta da Microsoft con una patch chiamata "Security Update for Microsoft Windows SMB Server".

NotPetya/ExPetr: 2017-2018

Noto per esser stato forse l'attacco più costoso della storia, il ransomware encryptor noto come NotPetya o ExPetr aveva come principio base quello di sfruttare gli exploit Eternal Blue (proprio come WannaCry) per muoversi nel web, cifrando qualsiasi dato trovasse.

Il numero di dispositivi infettati fu minore rispetto ad altri malware, "l'epidemia da NotPetya" colpì prevalentemente le aziende, riuscendo a prendere il controllo del server di aggiornamento di MeDoc e diffondendosi rapidamente in rete.

Secondo le stime, si calcola che l'attacco di NotPeya abbia provocato danni per circa 10 miliardi di dollari.

Il funzionamento del malware NotPetya

Il malware si diffuse mediante l'invio di e-mail di phishing, con all'interno un file archivio in formato .zip o un link a un cloud storage, per la variante nota come Petya-Mischa.

All'interno del file o del cloud, si trovava un file di esecuzione malevolo, presentato sotto forma di documento .pdf, con estensione .exe, accompagnato da un'immagine in .jpeg.

Una volta aperto il file di esecuzione, avveniva l'infezione.

Ma perchè aspettare di essere colpiti, quando è possibile scegliere i migliori software di sicurezza ICT?

Per saperne di più, iscriviti al nostro evento in programma il 18 Novembre a Milano e il 23 Novembre a Roma, qui tutti i dettagli