Adesso scelgono la vittima in base al suo valore potenziale e a quello dei dati che criptano

Nei primi mesi del 2016, un nuovo ransomware chiamato "Samsam" è stato osservato prendere di mira quelle imprese che utilizzano software in versioni non aggiornate. Una volta che queste aziende sono state infettate hanno ricevuto le richieste di riscatto personalizzate con richieste notevolmente diverse tra loro e molto più alte del solito. Questa tendenza al rialzo sulle richieste di riscatto, è stata peraltro già osservata da tempo (ne abbiamo già parlato in una precedente news Attacchi crypto-ransomware: crescita allarmante!). La facilità con la quale i ransomware si diffondono, la sempre maggiore disponibilità a pagare per riavere i propri dati, il successo economico di operazioni di questo tipo ottenuto in passato, spingono i criminali a richieste sempre più alte.

Preferibilmente prendono di mira dei server, anzichè singoli utenti, per potersi diffondere attraverso la rete aziendale e infettare un numero maggiore di dispositivi. Anche l'FBI è intervenuta avvertendo che "i responsabili di questi attacchi selezionano le vittime sulla base degli host infettabili". Peraltro, continua il rapporto, "alle vittime più recenti di queste varianti di ransomware, anche dopo aver pagato il riscatto, non sono state fornite le chiavi di decrittazione per tutti i file al fine di consentire ai criminali informatici di continuare ad estorcere denaro".

Per il momento la maggior parte di attacchi ransomware continuano a derivare da infezioni da malware opportunistici: il principale canale di distribuzione comune è lo spamming verso milioni di indirizzi e-mail, camuffando il ransomware come un file legittimo (es. una fattura). Tuttavia, criminali con maggiore disponibilità economica, cominciano a diffondere ransomware usando un "exploit kit";  si tratta di un prodotto separato, crimeware-as-a-service, che viene cucito all'interno di siti web compromessi o dannosi, e restano in agguato in attesa di qualche visitatore con un browser non aggiornato con le ultime patch di sicurezza sia per il browser stesso che per tutte le altre applicazioni di plugin del browser stesso (es. Adobe Flash).

Tuttavia la variazione delle richieste di riscatto sulla base di ricchezza relativa della vittima è già al lavoro da tempo e sarà sempre più diffusa. Lawrence Abrams, proprietario della tech-help sito BleepingComputer, ha detto che la sua analisi di molteplici kit ransomware e canali di controllo che sono stati compromessi da professionisti della sicurezza indicano che questi kit includono, solitamente di default suggerito, le quantità riscatto che variano, ad esempio, a seconda della posizione geografica della vittima. Un'altra variabile che influisce sulle richieste di riscatto riguarda il numero di server presenti nella rete infettata od anche la quantità di dati. 

Esistono oggi decine di ceppi ransomware diciamo "intelligenti": la maggior parte di questi sono venduti su forum underground come pacchetti crimeware, in kit che includono una funzionalità che consente di selezionare alcune opzioni che il software può scegliere per la definizione del riscatto da chiedere alla vittima.

Torniamo ancora una volta a mettere in guardia i nostri lettori. Posto che, come abbiamo detto più volte, la sicurezza al 100% non è un obiettivo plausibile in informatica, è possibile però non mettersi nelle condizioni migliori per favorire i criminali informatici.

Come ci si protegge? 

• Modificando i Comportamenti
• Assegnando Autorizzazioni e Privilegi ai singoli utenti (password!)
• Usando Antivirus e Antimalware affidabili
• Installando un Firewall
• Prevendendo Backup e piani di ripristino

​Se vuoi saperne di più scarica la nostra guida gratuita RANSOMWARE E CRYPTOVIRUS oppure contattaci compilando il form qui sotto.