I ransomware sono virus informatici che una volta infettato un dispositivo ne prendono il controllo, crittografano i dati e chiedono un riscatto per ripristinare il normale funzionamento. Questo significa che i malcapitati utenti potranno accedere ai propri dati solo pagando quanto richiesto dagli hacker, solitamente in criptovalute come i Bitcoin.
A partire dall’inizio della pandemia da Covid-19, gli attacchi ransomware sono aumentati del 600%, veicolati dagli attacchi di phishing che attraverso link e allegati infetti attaccano i dispositivi. Con il passaggio al cloud computing e alle piattaforme di servizi cloud di Microsoft, Google e Amazon, gli hacker ora puntano a crittografare i dati nei cloud storage. I ransomware si sono così evoluti negli attacchi RansomCloud: come funzionano, quali sono i rischi e soprattutto come difendersi.
Piggy-Backing su Sync: un attacco di phishing infetta il computer della vittima in locale con un programma detto dropper che lavora in background, per poi scaricare e installare il vero e proprio malware in un secondo momento. Quando il computer è infettato, il malware avvia un popup all’utente che somiglia a una richiesta di autorizzazione da parte di un software ritenuto affidabile di accedere al cloud. Ad esempio, potrebbe essere un finto popup dell’antivirus che chiede l’autorizzazione per eseguire la scansione del cloud storage a caccia di virus. Se l’utente concede l’autorizzazione, il ransomware accede al cloud, attiva la crittografia e blocca l’accesso ai dati fino al pagamento del riscatto;
Connessione remota con credenziali rubate: in questo caso l’accesso al cloud non viene dato dall’utente tratto in inganno dal popup, ma viene eseguito dai cybercriminali che infettano il PC o lo smartphone e rubano le credenziali di accesso al cloud storage della vittima.
Ad esempio, gli hacker indirizzano l’utente verso un portale web che somiglia alla piattaforma cloud e registrano in locale i tasti premuti dalla vittima, così da rubarne password e credenziali.
Questo tipo di attacco riesce a eludere anche la sicurezza fornita dalla verifica a due fattori: le credenziali vengono inserite in contemporanea dall’utente che digita i tasti e dai cybercriminali da remoto, quindi anche il codice di autenticazione può essere sottratto. Ottenuto l’accesso al cloud, crittografano i dati e chiedono il riscatto;
Attacco al provider cloud: l’attacco più grave è quello che i cybercriminali mettono in atto contro un provider cloud. Questo perché riescono a prendere in ostaggio i dati di più utenti della piattaforma nello stesso momento, così da comprometterne il funzionamento e poter richiedere ingenti somme di riscatti. Ad esempio, nell’agosto 2019 gli hacker hanno attaccato Digital Dental Record e PerCSoft, sottraendo i dati dei loro 400 clienti: tutti studi dentistici che usavano la piattaforma DDS Safe e che si sono trovati con i dati crittografati.
Per prevenire gli attacchi informatici è poi importante adottare delle buone pratiche di sicurezza, ad esempio aggiornando costantemente i sistemi operativi, i software in uso sui dispositivi, il firmware dei dispositivi di rete.
Gli aggiornamenti che vengono rilasciati contengono infatti la correzione di bug e patch di sicurezza per eliminare le vulnerabilità che potrebbero essere sfruttate dagli hacker. Infine, dato che quasi il 70% degli attacchi ransomware e RansomCloud vengono messi a segno attraverso il phishing, è importante imparare a riconoscere quali rischi si corrono aprendo le email sospette. Quando una email richiede di accedere con urgenza a un account, di scaricare un allegato oppure di fare clic su un link, è bene sempre controllare prima di tutto se ci sono errori di ortografia nel testo della mail e qual è l’indirizzo del mittente. Nel caso in cui siano presenti errori, oppure l’indirizzo email del mittente non sia quello ufficiale del servizio che richiede l’accesso, è bene spostare l’email nella cartella spam ed evitare di aprire link e allegati.