Il ransomware ora punta ai backup personali

I backup personali e i NAS domestici sono ora nel mirino dei criminali informatici. Analizziamo esattamente il modo in cui gli hacker effettuano il criptaggio dei dati e come fermarli.

Perché il ransomware è ora alla ricerca dei tuoi dati e come proteggere l'archivio di casa

Quando si tratta di backup, la maggior parte delle persone si dice “Ci penso domani”. Ma anche se sei uno dei responsabili che esegue regolarmente il backup dei propri documenti, archivi foto e dell’intero sistema operativo, sei comunque a rischio. Perché? Perché il ransomware ha imparato a prendere di mira in modo specifico i backup degli utenti quotidiani.

Perché gli utenti privati sono nel mirino

In un passato non troppo lontano, il ransomware era principalmente un grosso problema aziendale. Gli autori degli attacchi si sono concentrati sui server aziendali e sui backup aziendali, poiché il congelamento del processo di produzione di una grande azienda o il furto di tutte le informazioni e dei database dei clienti in genere significavano ingenti guadagni. Abbiamo visto molti di questi casi negli ultimi anni. Tuttavia, questo tipo di mercato è diventato altrettanto allettante per i criminali informatici, ed ecco perché.

Per i principianti, gli attacchi sono automatizzati. Il ransomware moderno non ha bisogno di un essere umano che lo gestisca manualmente. Questi programmi esaminano Internet alla ricerca di dispositivi vulnerabili e, dopo averne trovato uno, criptano tutto indiscriminatamente senza che l’hacker venga coinvolto. Ciò significa che un singolo utente malintenzionato può colpire senza sforzo migliaia di dispositivi domestici.

In secondo luogo, a causa di questa vasta portata, le richieste di riscatto sono diventate più “abbordabili”. Agli utenti abituali non vengono richiesti milioni, ma “solo” qualche centinaio o migliaia di dollari. Molte persone sono disposte a pagare tale importo senza coinvolgere la polizia, soprattutto quando sono in gioco archivi di famiglia, foto, cartelle cliniche, documenti bancari e altri file personali e non esistono altre copie. E quando si moltiplicano quei piccoli guadagni per le migliaia di vittime, gli hacker se ne vanno con somme molto ordinate.

E infine, i dispositivi domestici di solito sono un facile bersaglio. Sebbene le reti aziendali siano protette molto bene, un router domestico medio molto probabilmente funziona con le impostazioni predefinite con “admin” come password. Molte persone lasciano il proprio NAS (Network Attached Storage) completamente aperto a Internet senza protezione. È un bersaglio facile.

In che modo vengono attaccati i backup personali

Un’unità NAS domestica, spesso chiamata personal cloud, è essenzialmente un mini-computer che esegue un sistema operativo specializzato basato su Linux o FreeBSD. Ospita uno o più dischi rigidi di grande capacità, spesso combinati in un array. L’archivio si connette a un router domestico, rendendo i file accessibili da qualsiasi dispositivo nella rete domestica o anche in remoto tramite Internet, se è stato configurato in questo modo. Molte persone acquistano un NAS appositamente per centralizzare i backup della famiglia e semplificare l’accesso per i membri della famiglia, pensando che sia il rifugio sicuro per eccellenza per i propri archivi digitali.

L’ironia è che proprio questi hub di archiviazione sono diventati l’obiettivo principale delle bande di ransomware. Gli hacker possono introdursi con relativa facilità sfruttando vulnerabilità note o semplicemente forzando una password debole. Negli ultimi cinque anni, si sono verificati diversi attacchi ransomware di vasta portata contro le unità NAS domestiche prodotte da QNAP, Synology e ASUSTOR.

Il NAS di destinazione non è l’unico modo con cui gli hacker possono accedere ai file. Il secondo metodo si basa sulle tecniche di social engineering: fondamentalmente indurre le vittime a lanciare esse stesse malware. Prendiamo ad esempio l’enorme clamore dell’IA del 2025. I truffatori creerebbero siti Web dannosi che distribuiscono programmi di installazione falsi per ChatGPT, Invideo AI e altri strumenti di tendenza. Attirerebbero le persone con la promessa di abbonamenti premium gratuiti, ma in realtà gli utenti hanno finito per scaricare ed eseguire ransomware.

Cosa cerca il ransomware una volta che è all’interno

Una volta che il malware si è infiltrato nel sistema, inizia a monitorare l’ambiente e neutralizzare tutto ciò che potrebbe aiutare a recuperare i dati senza pagare.

  • Cancella le copie shadow di Windows. Il servizio Volume Shadow Copy Service è una funzionalità integrata di Windows per il ripristino rapido dei file. L’eliminazione di questi dati rende impossibile il semplice rollback a una versione precedente di un file.
  • Esegue la scansione delle unità collegate. Se si lascia un disco rigido esterno collegato permanentemente al computer, il ransomware lo individuerà e lo cripterà come qualsiasi altro file.
  • Cerca le cartelle di rete. Se il cloud domestico è mappato come unità di rete, il malware seguirà tale percorso per attaccare anche quello.
  • Controlla i client di sincronizzazione cloud. Servizi come Dropbox, Google Drive o iCloud per Windows mantengono tutte le cartelle di sincronizzazione locali nel computer. Il ransomware cripta i file in queste cartelle e il servizio cloud carica “in modo utile” le versioni criptate nel cloud.

La regola d’oro dei backup

La classica regola del 3-2-1 per i backup recita così:

  • Tre copie dei dati: l’originale più due backup
  • Due diversi tipi di supporto: ad esempio il computer e un’unità esterna
  • Una copia esterna: nel cloud o altrove, ad esempio a casa di un parente

Tuttavia, questa regola è anteriore all’era dei ransomware. Oggi è necessario aggiornarla con una condizione vitale: un’altra copia deve essere completamente isolata sia da Internet che dal computer al momento di un attacco.

La nuova regola è 3-2-1-1: poco, ma molto più sicuro. Seguirla è semplice: procurati un disco rigido esterno da collegare una volta alla settimana, esegui il backup dei dati, quindi scollegalo.

Cosa serve effettivamente per eseguire il backup

  • Foto e video. Foto del matrimonio, i primi passi di un bambino, archivi di famiglia: questi sono i ricordi per cui le persone pagherebbero.
  • Scansioni digitali o foto dei documenti essenziali per ogni membro della famiglia, dai passaporti alle cartelle cliniche, inclusi i vecchi archivi.
  • Dati dell’autenticazione a due fattori. Se l’app di autenticazione è disponibile solo nel telefono e l’utente lo smarrisce, è possibile perdere anche l’accesso a tutti gli account protetti. Molte app consentono di eseguire il backup dei dati di autenticazione.
  • Se utilizzi un gestore di password, assicurati che sia in corso la sincronizzazione con un cloud sicuro o che disponga di una funzione di esportazione.
  • Le app di messaggistica incentrate sulla privacy non sempre archiviano la cronologia nel cloud. Corrispondenza commerciale, accordi importanti e contatti potrebbero svanire se non viene eseguito il backup.

Cosa fare se i dati sono già criptati

Niente panico. Consulta la nostra pagina Decryptor gratuiti di ransomware. Abbiamo raccolto strumenti di decriptaggio che potrebbero aiutarti a riavere i dati senza pagare.

Ecco come proteggere i backup

  • Non lasciare l’unità di backup esterna sempre collegata. Collegala, copia i file e scollegala immediatamente.
  • Configura backup cloud automatici, ma assicurati che il provider cloud conservi una cronologia delle versioni per almeno 30 giorni. Se il tuo piano attuale non offre questa opzione, è il momento di eseguire l’upgrade o un cambio di provider.
  • Attieniti alla regola del 3-2-1-1: file originali nel computer, più un’unità esterna da collegare solo periodicamente, più spazio di archiviazione nel cloud. Sono tre copie, due tipi di supporto, una copia offline e una esterna.
  • Interrompi l’accesso a Internet all’archiviazione di rete. Se disponi di un’unità di rete domestica, assicurati che non sia accessibile da Internet senza password e che la password non sia “admin”. Disabilita le funzionalità di accesso remoto che non vengono effettivamente utilizzate e verifica che il firmware sia aggiornato.
  • Quindi, tieni tutto aggiornato. La maggior parte degli attacchi sfrutta vulnerabilità note a cui è stata applicata una patch da tempo. L’abilitazione degli aggiornamenti automatici per router, NAS e computer richiede solo pochi minuti di configurazione, ma sbatte di fatto la porta a centinaia di falle nella sicurezza note.
  • Evita le versioni “gratuite” del software a pagamento. Programmi di installazione falsi per software piratato o cheat di giochi sono alcuni dei principali canali di invio dei ransomware. A proposito, Kaspersky Premium intercetta queste minacce e le blocca prima ancora che vengano lanciate.
  • Assicurati di abilitare la funzionalità Controllo sistema nelle nostre suite di protezione Windows. Questa funzionalità registra ogni evento del sistema operativo per tenere traccia di minacce come i ransomware e bloccarle o ripristinare eventuali danni già arrecati.
  • Esegui il backup dell’app di autenticazione. La mossa più semplice consiste nella migrazione dei token di autenticazione a Kaspersky Password Manager. Li mantiene criptati in modo sicuro nel cloud insieme a password e documenti sensibili, sincronizzandoli su tutti i dispositivi. In questo modo, in caso di furto del telefono, gli account e i dati vitali non vengono bloccati.
  • Metti alla prova i tuoi backup. Trascorsi alcuni mesi, prova a ripristinare un file casuale dall’archivio. È sorprendente quante volte un backup apparentemente riuscito si riveli danneggiato o difettoso. È meglio intercettare questi problemi subito mentre si dispone ancora degli originali per risolvere il problema.
Consigli
  • Tutti gli altri paesi