Tipi ed esempi di Ransomware

Cos’è il ransomware?
Il ransomware è un tipo di software che blocca l’accesso a uno o più file finché la vittima non paga un riscatto. La maggior parte degli attacchi rende i dati inaccessibili tramite la crittografia, ma alcuni programmi impediscono anche agli utenti di avviare i propri dispositivi.

Il ransomware in genere infetta un sistema in uno dei seguenti modi:

  • Un allegato o un collegamento dannoso in un’e-mail di phishing.
  • Un download drive-by da un sito Web infetto.
  • Un componente hardware infetto.
  • Un worm che sfrutta una vulnerabilità del sistema.

Ecco come funziona un attacco ransomware medio:

  • Un utente riceve un’e-mail di phishing e commette l’errore di fare clic su un collegamento dannoso.
  • Il ransomware si installa silenziosamente sul sistema e individua i dati di destinazione.
  • Il programma crittografa i dati in background.
  • Una volta completata la crittografia, la vittima riceve un messaggio dagli aggressori che richiedono un riscatto in cambio della chiave di decrittazione.
  • Gli hacker in genere richiedono pagamenti in Bitcoin o criptovalute simili. Il riscatto ha sempre una scadenza. Se la vittima decide di non rispettare la scadenza, gli aggressori aumentano il prezzo o eliminano la chiave di decrittazione.

Dare denaro agli aggressori non è sempre la fine di un attacco ransomware. Alcuni programmi infettano anche altri dispositivi sulla rete, consentendo ulteriori attacchi. Altri esempi di ransomware infettano anche le vittime con malware, come i trojan che rubano le credenziali di accesso.

Tipi di ransomware

Crypto Ransomware
Gli attacchi ransomware Crypto (o data locker) crittografano i file su un computer per impedire alla vittima di accedere ai dati. Il modo più semplice per ripristinare i dati è utilizzare una chiave di decrittazione, che è ciò che gli aggressori offrono in cambio di un riscatto.

Il ransomware Crypto in genere non crittografa tutti i dati su un dispositivo. Invece, il programma esegue la scansione silenziosa del computer alla ricerca di dati preziosi e crittografa solo quei file. Gli obiettivi tipici di un attacco crittografico sono informazioni finanziarie, progetti di lavoro e file aziendali sensibili.

Questo tipo di ransomware non blocca il computer. Le vittime possono continuare a utilizzare i loro dispositivi anche se si rifiutano di pagare il riscatto.

Locker Ransomware
Gli attacchi ransomware Locker bloccano l’intero computer invece di crittografare file specifici. Gli aggressori promettono quindi di sbloccare il dispositivo se la vittima paga il riscatto.

Un attacco all’armadietto in genere consente all’utente di avviare il dispositivo. Tuttavia, il dispositivo ha un accesso limitato e consente alla vittima di interagire solo con l’aggressore.

  1. Reveton (o Trojan della polizia)
    Il ransomware Reveton ha iniziato ad apparire alla fine del 2012. Gli hacker hanno diffuso Reveton attraverso tre tattiche:
  • Pacchetti malware (come BlackHole o Cool Exploit Kit) su siti Web non sicuri.
  • Campagne di posta elettronica di spam.
  • E-mail di phishing.


Una volta all’interno del computer, Reveton esegue la scansione del dispositivo per plug-in obsoleti o sfruttabili. Se il sistema ha un punto debole, il programma blocca il dispositivo e impedisce all’utente di accedere al computer.

Reveton fa affidamento sull’ingegneria sociale per spingere le vittime a pagare il riscatto poiché gli aggressori spesso si atteggiano all’FBI o alle forze di polizia locali. Il messaggio di riscatto in genere dice che l’utente è stato coinvolto in attività illegali e ordina alla vittima di pagare una multa.

I funzionari hanno arrestato il creatore originale di Reveton nel 2013, ma sono ancora attive diverse varianti del programma. Le ultime versioni del ransomware installano malware che rubano la password che rimane nel sistema dopo che la vittima ha pagato il riscatto.

  1. CryptoLocker
    La prima segnalazione di CryptoLocker è avvenuta nel settembre 2013. Questo Trojan ha preso di mira i dispositivi che eseguono Microsoft Windows e si è diffuso tramite allegati di posta elettronica infetti e una botnet Gameover ZeuS.

Una volta attivato, CryptoLocker ha crittografato i file su unità locali e montate con crittografia a chiave pubblica RSA. CryptoLocker è stato il primo ransomware a crittografare i dati con una chiave simmetrica diversa per ogni file. Il programma è stato in grado di crittografare 70 formati di file.

Gli autori di CryptoLocker hanno estorto con successo circa $ 3 milioni in nove mesi. Nel maggio 2014, gli Stati Uniti Il Dipartimento di Giustizia ha disabilitato la botnet Gameover ZeuS. Gli operatori hanno anche scoperto il database delle chiavi private di CryptoLocker, che ha consentito alle vittime di recuperare i dati persi con un semplice strumento online.

3. CryptoWall
CryptoWall è apparso per la prima volta all’inizio del 2014. Questo ransomware si diffonde tramite e-mail di phishing, kit di exploit e annunci dannosi. Al momento dell’installazione, il programma:

Crittografa i dati.
Scramble i nomi dei file per confondere la vittima.
Elimina i punti di ripristino del sistema.
Il server di comando e controllo memorizza le chiavi di decrittografia, quindi la decrittografia locale è impossibile. Una caratteristica notevole di CryptoWall è che gli aggressori si offrono sempre di decrittografare un file gratuitamente.

Il riscatto tipico è di $ 700 in Bitcoin, una commissione che raddoppia dopo una settimana se la vittima non ottempera alla richiesta.

4. TorrentLocker
TorrentLocker è un ransomware Trojan che ha iniziato a comparire nel 2014. TorrentLocker si è diffuso principalmente attraverso campagne e-mail di spam. Fare clic sull’allegato in un’e-mail danneggiata ha due conseguenze:

Il file installa TorrentLocker sul dispositivo.
Il ransomware raccoglie i contatti e-mail locali e invia ulteriori e-mail di spam.
Una volta avviata l’infezione, TorrentLocker esegue la scansione del sistema per programmi e file prima di nascondere il contenuto tramite crittografia AES. Il programma elimina anche le copie shadow del volume di Windows per impedire il ripristino del sistema. Il riscatto è in genere di circa $ 500 in Bitcoin e la vittima ha tre giorni per pagare.

  1. TeslaCrypt
    TeslaCrypt era un Trojan ransomware rilasciato nel febbraio 2015 che prendeva di mira i giocatori che utilizzavano computer Windows. Questo programma si è diffuso attraverso un exploit Adobe Flash di Angler.

Una volta all’interno del sistema, TeslaCrypt ha cercato i file di dati e li ha crittografati con la crittografia AES. TeslaCrypt ha mirato a 185 tipi di dati in 40 diversi videogiochi, in particolare World of Warcraft e Minecraft. Dati di salvataggio crittografati da ransomware, profili dei giocatori, mappe personalizzate e mod di gioco.

Per decrittografare i file, la vittima ha dovuto pagare un riscatto di $ 500 in Bitcoin. Le versioni successive di TeslaCrypt hanno anche crittografato Word, PDF, JPEG e altre estensioni di file.

Nel maggio 2016, gli autori di TeslaCrypt hanno chiuso il ransomware rilasciando la chiave di decrittazione principale. Successivamente, ESET ha sviluppato uno strumento di decrittazione gratuito con il quale le vittime potevano recuperare i dati crittografati.

  1. SamSam (alias Samas o SamsamCrypt)
    SamSam ha iniziato ad apparire alla fine del 2015. Questo ransomware non si basa su alcuna forma di ingegneria sociale. Invece, SamSam si diffonde sfruttando le vulnerabilità del sistema nei server host JBoss.

Una volta all’interno del sistema, gli aggressori ottengono i diritti di amministratore ed eseguono un file eseguibile che crittografa i dati. La vittima non ha bisogno di aprire un allegato o un’applicazione infetta.

Nel tempo, SamSam si è evoluto e ha iniziato a sfruttare le vulnerabilità in:

  • Protocolli desktop remoto (RDP).
  • Server web basati su Java.
  • Server FTP (File Transfer Protocol).


SamSam ha estorto oltre 6 milioni di dollari e ha causato più di 30 milioni di dollari di danni. Le vittime importanti di questo ransomware includono:

  • La città di Farmington nel New Mexico.
  • Contea di Davidson nella Carolina del Nord.
  • Il Dipartimento dei trasporti del Colorado.
  • L’infrastruttura di Atlanta.


Gli ultimi rapporti pubblici di SamSam risalgono alla metà alla fine del 2018. Tuttavia, non si sono verificati arresti, né vi è mai stato un annuncio ufficiale sulla cancellazione del programma.

  1. Locky
    I primi attacchi Locky sono avvenuti nel febbraio 2016 quando gli hacker hanno inviato circa mezzo milione di e-mail corrotte a indirizzi casuali.

Locky si diffonde tramite e-mail di phishing con allegati dannosi. Una strategia tipica consiste nell’inviare fatture false con un documento Microsoft Word infetto contenente macro dannose.

Se la vittima abilita le macro di Office all’interno del documento danneggiato, un file binario scarica un Trojan che crittografa tutti i file con una particolare estensione. Locky genera chiavi di decrittazione sul lato server, rendendo impossibile la decrittografia manuale.

Locky può crittografare oltre 160 tipi di file. L’obiettivo del programma è scegliere come target i tipi di file comuni nei team di sviluppo, ingegneria e QA. Dopo la crittografia, la vittima deve scaricare Tor e visitare un sito Web Dark Web per ulteriori informazioni. Un tipico riscatto varia tra 0,5 e 1 Bitcoin.

Una versione successiva di Locky ha iniziato a utilizzare un allegato JavaScript che viene eseguito automaticamente se l’utente apre il file

  1. Cerber
    Cerber è emerso nel febbraio 2016 ed era un programma Ransomware-as-a-Service (RaaS). Terze parti potrebbero utilizzare Cerber per attaccare gli utenti e, in cambio, pagare ai proprietari una quota di affiliazione.

Cerber ha preso di mira gli utenti di Office 365 basati su cloud con campagne di phishing. In genere, le vittime hanno ricevuto un’e-mail con un documento di Office. Se la vittima ha aperto il file, il ransomware ha crittografato silenziosamente i dati in background. La vittima ha quindi trovato una richiesta di riscatto in una cartella crittografata o come sfondo del desktop.

Ecco alcuni numeri che collocano Cerber in prospettiva:

  • Nel luglio 2016, Cerber ha infettato più di 150.000 vittime tramite 161 campagne.
  • Gli aggressori hanno rubato circa 2,3 milioni di dollari nel 2016.
  • Al suo apice all’inizio del 2017, Cerber è stata la causa del 26% di tutti gli attacchi ransomware.


Non ci sono state segnalazioni di attacchi di Cerber nel 2018. Gli aggressori sono passati a un ransomware più avanzato, come GandCrab e SamSam.

  1. Petya
    Petya è un programma lanciato per la prima volta nel marzo 2016. Invece di crittografare i file, Petya crittografa l’intero disco rigido. Petya si diffonde principalmente attraverso i reparti delle risorse umane di aziende medio-grandi. Gli aggressori in genere inviano domande di lavoro false con file PDF infetti o collegamenti Dropbox.

Un attacco inizia con un’infezione del record di avvio principale del computer (MBR). Petya sovrascrive quindi il bootloader di Windows e riavvia il sistema. All’avvio, il payload crittografa la tabella file master del file system NTFS. La vittima vede quindi una richiesta di riscatto che richiede il pagamento in Bitcoin.

Gli aggressori in genere combinano Petya con Mischa, un programma secondario che si attiva se Petya non si installa. Mischa crittografa i documenti utente e i file eseguibili.

Man mano che le aziende miglioravano nel prevenire gli attacchi Petya, il programma si è evoluto in versioni più sofisticate chiamate NotPetya e GoldenEye.

  1. KeRanger (noto anche come OSX.KeRanger.A)
    KeRanger è apparso nel marzo 2016 ed è stato il primo ransomware a infettare i dispositivi Mac con OS X. KeRanger si è diffuso attraverso il file di installazione di Transmission, un client BitTorrent open source.

Una volta che una vittima scarica il programma di installazione infetto, KeRanger si installa silenziosamente sul sistema. Dopo tre giorni, KeRanger crittografa circa 300 diversi tipi di file nelle cartelle Utenti e Volumi. Il programma quindi scarica un file di testo che chiede alla vittima di pagare un Bitcoin.

Come CryptoWall, gli aggressori KeRanger spesso offrono di decrittografare un file gratuitamente. Gli autori affermano inoltre di avere un sistema di ticketing help desk per le domande delle vittime.

11. Jigsaw
Jigsaw è apparso per la prima volta nell’aprile 2016. Questo ransomware elimina gradualmente i file ogni ora in cui la vittima si rifiuta di pagare il riscatto. Il nome iniziale di Jigsaw era BitcoinBlackmailer, ma il nome è cambiato dopo che gli aggressori hanno iniziato a utilizzare le immagini della serie di film Saw.

Jigsaw si diffonde attraverso un allegato dannoso nelle e-mail di spam. Una volta attivato, il programma crittografa tutti i file utente e l’MBR (record di avvio principale). Una schermata popup chiede quindi un riscatto e informa che la vittima ha un’ora per pagare o che il programma elimina un file casuale. Jigsaw continua a eliminare i dati per un massimo di 72 ore, dopodiché il programma elimina definitivamente tutti i file crittografati.

Jigsaw informa la vittima che qualsiasi tentativo di riavviare il computer o terminare il processo elimina istantaneamente 1.000 file casuali. Tuttavia, Jigsaw può essere decodificato per rimuovere la crittografia a causa dell’utilizzo del programma .NET Framework.

Le ultime versioni di Jigsaw minacciano anche di esporre informazioni di identificazione personale (PII), esercitando ulteriori pressioni sulla vittima affinché paghi il riscatto.

  1. Dharma (noto anche come CrySIS)
    Il ransomware Dharma è apparso per la prima volta nel 2016 ma è diventato un argomento caldo a metà del 2019. Dharma prende di mira solo i sistemi Windows. Questo ransomware ha tre metodi di distribuzione:

E-mail di spam: le vittime ricevono un’e-mail contenente un allegato infetto con doppia estensione di file. Questi allegati vengono visualizzati come non eseguibili nelle impostazioni predefinite di Windows.
File di installazione danneggiati: il programma Dharma si pone come file di installazione per software legittimo.
Vulnerabilità RDP: gli aggressori prendono di mira una debolezza nel protocollo Desktop remoto. Il processo richiede la forza bruta dell’RDP di Windows della vittima.
Una volta all’interno del sistema, Dharma crittografa tutti i tipi di file. Il programma elimina anche tutti i punti di ripristino di Windows.

  1. ZCryptor
    ZCryptor è un worm ransomware del 2016 che crittografa i file e si diffonde automaticamente ad altri dispositivi nella rete.

ZCryptor infetta la vittima iniziale imitando un file di installazione di un normale programma o un file di Microsoft Office. Una volta all’interno della rete, il worm infetta le unità flash esterne e per distribuirsi ad altri computer nella rete.

Una volta che l’attacco si è diffuso a un numero sufficiente di dispositivi, ZCryptor crittografa i file e chiede un riscatto. Il riscatto iniziale parte da 1.2 Bitcoin ma cresce fino a 5 Bitcoin se la vittima non paga dopo quattro giorni.

ZCryptor può crittografare 80 diversi formati di file. I dati crittografati hanno un’estensione .zcrypt.

  1. WannaCry
    Il primo attacco WannaCry si è verificato nel maggio 2017. Entro la fine dell’anno, WannaCry si è diffuso in 150 paesi e ha infettato circa 300.000 computer.

Questo worm ransomware prende di mira i computer con versioni obsolete di Microsoft Windows, sfruttando la vulnerabilità EternalBlue nel protocollo SMB. Una volta all’interno del sistema, WannaCry ha bloccato gli utenti e ha richiesto un pagamento. I riscatti andavano da $ 300 a $ 600 in Bitcoin.

Altri nomi per WannaCry sono WannaCrypt, WCry, Wana Decrypt0r 2.0, WannaCrypt0r 2.0 e Wanna Decryptor.

Gli esperti di sicurezza hanno trovato rapidamente un dominio kill switch che ha interrotto WannaCry. WannaCry è stato ancora un successo criminale, causando perdite per oltre 4 miliardi di dollari in tutto il mondo.

  1. Bad Rabbit
    Bad Rabbit ha iniziato a diffondersi tramite attacchi drive-by nel 2017. Questi attacchi si verificano quando gli hacker sfruttano un sito Web insicuro per impostare una trappola ransomware. Quando un utente scarica un file normale, il sito Web invia anche il ransomware e infetta il dispositivo.

Bad Rabbit condivide molte somiglianze con WannaCry e Petya. Il programma crittografa le tabelle dei file della vittima e richiede un pagamento Bitcoin per fornire una chiave di decrittazione.

Bad Rabbit installato tramite un falso aggiornamento di Adobe Flash. Sebbene l’aggiornamento fasullo abbia consentito a Bad Rabbit di diffondersi rapidamente, questa tattica ha consentito agli esperti di sicurezza di sviluppare un semplice metodo di prevenzione nell’ottobre 2017. Sebbene di breve durata, Bad Rabbit è riuscito a infettare diversi obiettivi di alto livello, come Interfax e il Ministero delle infrastrutture ucraino .

  1. GandCrab
    Il primo attacco GandCrab è avvenuto nel gennaio 2018. Questo ransomware ha preso di mira gli utenti di siti web con contenuti per adulti. GandCrab ha violato la webcam della vittima e ha minacciato di rilasciare filmati imbarazzanti a meno che il bersaglio non pagasse un riscatto.

GandCrab prende di mira solo i sistemi Microsoft Windows. Tutti i pagamenti erano sotto forma di una criptovaluta chiamata Dash e i riscatti erano compresi tra $ 600 e $ 600.000.

GandCrab è stata una delle minacce ransomware più attive nel 2018. I fornitori di servizi di sicurezza e la polizia hanno lavorato insieme per sviluppare uno strumento di decrittazione per salvare i dati della vittima. Di conseguenza, il team dietro GandCrab ha annunciato di aver deciso di ritirare il ransomware.

  1. Ryuk
    Il ransomware Ryuk ha iniziato a diffondersi nell’agosto 2018. Un tipico attacco crittografa i file e le unità di rete prima di disabilitare l’opzione Ripristino configurazione di sistema di Windows.

Il team che sta dietro a Ryuk è WIZARD SPIDER, un gruppo noto per aver preso di mira le grandi imprese e chiedendo alti riscatti. Questo team con sede in Russia ha rubato circa 3,7 milioni di dollari da 52 transazioni grazie a Ryuk.

Un’infezione da Ryuk inizia con un’e-mail di spear phishing e una funzione di download basata su dati geografici. Una volta che Ryuk entra nella rete, un file di riscatto RyukReadMe.txt richiede il pagamento in Bitcoin. La richiesta di riscatto dipende dalle dimensioni dell’obiettivo.

  1. Phobos
    Phobos è apparso per la prima volta all’inizio del 2019. Questo ransomware condivide molte somiglianze con Dharma, quindi i due programmi hanno probabilmente lo stesso autore.

Phobos si affida a deboli connessioni RDP (Remote Desktop) per infiltrarsi in una rete. L’hacking dei server RDP è un processo economico, che consente agli aggressori dietro Phobos di addebitare costi inferiori rispetto ad altri ransomware mirati alle aziende. La richiesta media di riscatto da un attacco Phobos è di $ 18.755.

  1. Netwalker
    Il gruppo cybercrimine Circus Spider ha creato Netwalker nel 2019 Ciò che distingue Netwalker è che gli aggressori trapelano sempre un campione dei dati rubati prima di contattare la vittima. Se l’azienda decide di ignorare la richiesta di riscatto, il resto dei dati va al Dark Web.

Nel marzo 2020, Circus Spider ha iniziato a offrire Netwalker su base RaaS. Il passaggio a RaaS ha consentito agli aggressori di prendere di mira più organizzazioni e aumentare le dimensioni dei loro riscatti.

  1. Sodinoki
    Sodinoki è apparso per la prima volta nell’aprile 2019. Sodinoki (noto anche come Sodin e REvil) si rivolge principalmente ad aziende americane ed europee.

Questo ransomware ottiene l’accesso tramite attacchi di forza bruta, exploit del server o e-mail di phishing. Dopo aver aggirato il software antivirus, Sodinokibi scarica un file JavaScript .zip e crittografa i dati mentre si muove attraverso la rete.

Gli aggressori dietro Sodinokibi hanno esercitato pressioni sulle vittime raddoppiando il riscatto ogni pochi giorni. Questo ransomware viene reinstallato anche se il file .zip originale rimane nel sistema.

  1. Maze
    Il primo attacco noto di Maze ransomware è stato nel maggio 2019. Il piano di infezione iniziale si basava su e-mail di spam e kit di exploit, ma ora gli aggressori utilizzano varie tattiche e tecniche. Gli hacker spesso assumono un attore per analizzare le entrate e i punti deboli della vittima.

Una volta che Maze viola la rete, il programma si sposta lateralmente attraverso il sistema e distribuisce la crittografia dei file su tutte le unità. Maze crittografa i dati utilizzando gli algoritmi ChaCha20 e RSA.

Prima della crittografia, Maze esfiltra i dati. Se la vittima decide di ignorare la richiesta di riscatto, gli hacker minacciano di vendere o rilasciare i dati e causare un problema GDPR.

Nel novembre 2020, il team di Maze ha annunciato che il ransomware non è più attivo. La notizia è apparsa sul sito web di Maze sul Dark Web.

  1. Serpente
    Snake, noto anche come Ekans, è apparso per la prima volta nel gennaio 2020. A differenza di altri ransomware destinati alle aziende, Snake si diffonde attraverso i sistemi di controllo industriale (ICS).

Gli hacker dietro Snake utilizzano un’istanza RDP esposta con password deboli per accedere e infettare un ambiente ICS. Una volta che il programma è all’interno del sistema, Snake crittografa i dati tramite un mix di crittografia simmetrica e asimmetrica.

Snake non attacca i file oi programmi del sistema operativo. I computer infetti continuano ad avviarsi, ma Snake impedisce l’accesso ai dati di destinazione.

  1. WastedLocker
    WastedLocker ha iniziato a colpire le aziende nel maggio 2020. Famosi per le elevate richieste di riscatto, gli hacker dietro WasteLocker chiedono milioni di dollari per vittima.

WasteLocker è un esempio di ransomware mirato. Ogni attacco ha un piano personalizzato per violare un’azienda specifica. I messaggi di riscatto si riferiscono sempre alla vittima per nome e tutti i file crittografati hanno l’estensione .garminwasted.

WasteLocker crittografa i dati con una combinazione di algoritmi AES e RSA. Ciò che distingue questo ransomware è che una singola chiave RSA pubblica crittografa i file. La maggior parte degli altri programmi genera una chiave RSA pubblica univoca per ciascuna infezione.


Le aziende non devono ignorare il pericolo del ransomware. Il numero sempre crescente di attacchi garantisce che la maggior parte delle aziende affronterà questa minaccia prima o poi.

.

Autore

Classe Novanta3, Fondatore di TrgtKLS. Appassionato in Sec IT & Tech. Expert per l'amministrazione web server e supporto in Back-&, ottimizzazione e manutenzione di esso. • Metà Free e Metà Freelancer • mail@trgtkls.org

Articoli correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

close