LOGIN
I ransomware sono virus informatici che una volta infettato un dispositivo ne prendono il controllo, crittografano i dati e chiedono un riscatto per ripristinare il normale funzionamento. Questo significa che i malcapitati utenti potranno accedere ai propri dati solo pagando quanto richiesto dagli hacker, solitamente in criptovalute come i Bitcoin.
A partire dall’inizio della pandemia da Covid-19, gli attacchi ransomware sono aumentati del 600%, veicolati dagli attacchi di phishing che attraverso link e allegati infetti attaccano i dispositivi. Con il passaggio al cloud computing e alle piattaforme di servizi cloud di Microsoft, Google e Amazon, gli hacker ora puntano a crittografare i dati nei cloud storage. I ransomware si sono così evoluti negli attacchi RansomCloud: come funzionano, quali sono i rischi e soprattutto come difendersi.
RansomCloud: le tipologie di attacchi
I RansomCloud sono attacchi di tipo ransomware in cui il cloud storage degli utenti viene crittografato dagli hacker, rendendo l’accesso ai dati impossibile. Per poter riottenere i propri dati, agli utenti non resta altro da fare che pagare un riscatto affinché i cybercriminali restituiscano il cloud storage decrittografato. Gli attacchi RamsomCloud si dividono in tre tipologie a seconda di come i cybercriminali ottengono l’accesso al cloud storage ed è importante conoscerli per sapere quali sono i rischi:
Piggy-Backing su Sync: un attacco di phishing infetta il computer della vittima in locale con un programma detto dropper che lavora in background, per poi scaricare e installare il vero e proprio malware in un secondo momento. Quando il computer è infettato, il malware avvia un popup all’utente che somiglia a una richiesta di autorizzazione da parte di un software ritenuto affidabile di accedere al cloud. Ad esempio, potrebbe essere un finto popup dell’antivirus che chiede l’autorizzazione per eseguire la scansione del cloud storage a caccia di virus. Se l’utente concede l’autorizzazione, il ransomware accede al cloud, attiva la crittografia e blocca l’accesso ai dati fino al pagamento del riscatto;
Connessione remota con credenziali rubate: in questo caso l’accesso al cloud non viene dato dall’utente tratto in inganno dal popup, ma viene eseguito dai cybercriminali che infettano il PC o lo smartphone e rubano le credenziali di accesso al cloud storage della vittima.
Ad esempio, gli hacker indirizzano l’utente verso un portale web che somiglia alla piattaforma cloud e registrano in locale i tasti premuti dalla vittima, così da rubarne password e credenziali.
Questo tipo di attacco riesce a eludere anche la sicurezza fornita dalla verifica a due fattori: le credenziali vengono inserite in contemporanea dall’utente che digita i tasti e dai cybercriminali da remoto, quindi anche il codice di autenticazione può essere sottratto. Ottenuto l’accesso al cloud, crittografano i dati e chiedono il riscatto;
Attacco al provider cloud: l’attacco più grave è quello che i cybercriminali mettono in atto contro un provider cloud. Questo perché riescono a prendere in ostaggio i dati di più utenti della piattaforma nello stesso momento, così da comprometterne il funzionamento e poter richiedere ingenti somme di riscatti. Ad esempio, nell’agosto 2019 gli hacker hanno attaccato Digital Dental Record e PerCSoft, sottraendo i dati dei loro 400 clienti: tutti studi dentistici che usavano la piattaforma DDS Safe e che si sono trovati con i dati crittografati.
RansomCloud: come difendersi
Il primo passo per difendersi dagli attacchi informatici di tipo RansomCloud, e dagli attacchi informatici in generale, è quello di eseguire periodicamente dei backup dei dati su altri dispositivi di archiviazioneo su altri cloud. In questo modo, anche se i cybercriminali dovessero chiedere un riscatto, disponendo di un backup non sarebbe necessario pagarlo per poter utilizzare i propri dati e accedervi. Per questo motivo, è importante conoscere anche quali sono le strategie di recupero dei dati da parti del proprio provider di servizi cloud, così da sapere come poterli recuperare in caso di attacchi ransomware o di altri tipi di problematiche.
Per prevenire gli attacchi informatici è poi importante adottare delle buone pratiche di sicurezza, ad esempio aggiornando costantemente i sistemi operativi, i software in uso sui dispositivi, il firmware dei dispositivi di rete.
Gli aggiornamenti che vengono rilasciati contengono infatti la correzione di bug e patch di sicurezza per eliminare le vulnerabilità che potrebbero essere sfruttate dagli hacker. Infine, dato che quasi il 70% degli attacchi ransomware e RansomCloud vengono messi a segno attraverso il phishing, è importante imparare a riconoscere quali rischi si corrono aprendo le email sospette. Quando una email richiede di accedere con urgenza a un account, di scaricare un allegato oppure di fare clic su un link, è bene sempre controllare prima di tutto se ci sono errori di ortografia nel testo della mail e qual è l’indirizzo del mittente. Nel caso in cui siano presenti errori, oppure l’indirizzo email del mittente non sia quello ufficiale del servizio che richiede l’accesso, è bene spostare l’email nella cartella spam ed evitare di aprire link e allegati.
