La storia dei ransomware in fatti e cifre

Come sono nati i ransomware? In che modo i blocker si sono evoluti in encryptor e perché questo malware è tra i preferiti dei cybercriminali?

Ultimamente non si fa altro che parlare di ransomware. Che sia solo un allarme passeggero, qualcosa di cui presto la gente si dimenticherà non appena emerga una nuova minaccia? Sfortunatamente le cose non stanno così: i ransomware sono sempre più diffusi e non sembra affatto una minaccia che possa scomparire velocemente. Non stiamo cercando di spaventarvi. Date un’occhiata alle statistiche di Kaspersky Security Network: ci troviamo di fronte ad un problema molto serio.

ransomware-template-1-featured

La prima ondata: i blocker

La storia dei ransomware può dividersi in due fasi: prima della crittografia e dopo di essa. I blocker sono gli antenati dei moderni encryptor. Questi malware bloccavano l’accesso al sistema operativo o al browser fino a quando l’utente non pagava un riscatto, in genere moderato. Normalmente le vittime lo facevano inviando un SMS a pagamento (come quelli che si inviano per le raccolte fondi), oppure con un bonifico a un e-wallet.

Questo malware dava molti soldi al suo ‘proprietario’, e infatti era ampiamente utilizzato dai criminali. Naturalmente gli esperti di sicurezza e le forze dell’ordine capirono velocemente come risolvere il problema.

Grazie ad una soluzione elegante riuscirono a tagliar fuori i cybercriminali dai sistemi di pagamento. Quando le regole che caratterizzano i pagamenti elettronici iniziarono a cambiare, questo tipo di attacco è diventato non solo meno conveniente, ma anche più rischioso; infatti, molti criminali vennero arrestati.

Seconda ondata: encryptor

Pochi anni dopo, tutto iniziò a cambiare. Si diffusero i bitcoin e diventarono piuttosto popolari tra i cybercriminali dato che con questo sistema digitale, i pagamenti erano (e sono) quasi impossibili da tracciare e regolare – motivo per cui i criminali li adorano. Inoltre, i ladri iniziarono ad adottare un nuovo approccio: al posto di bloccare l’acceso ai browser e al sistema operativo, iniziarono a criptare i file degli utenti salvati sull’hard disk.

Perché ebbe tanto succeso? I file degli utenti sono personali e unici, e non possono essere rimpiazzarti reinstallando il sistema operativo. Se il cryptor usa una forte criptografia, le persone non riescono a recuperare (ovvero a decriptare) i propri file. Questo ha permesso ai criminali di chiedere grandi quantità di denaro in cambio della restituzione: diverse centinaia di dollari agli utenti privati e diverse migliaia a aziende e compagnie.

Inizialmente le nuove generazioni di encryptor erano meno diffuse rispetto ai vecchi blocker, ma era una questione di tempo: nel giro di poco, infatti, i criminali iniziarono ad usare i nuovi malware. Alla fine del 2015, il numero di attacchi ransomware aumentò esponenzialmente.

 

01

 

Secondo le nostre analisi, basate sulle statistiche di Kaspersky Security Network, in un solo anno il numero di attacchi è quintuplicato: da 131.111 tentativi di infezione nel 2014-2015 a 718.536 nel 2015-2016.

Diffusione globale degli attacchi e le famiglie ransomware più attive oggi

La Top 10 dei paesi più colpiti sono India, Russia, Kazakistan, Italia, Germania, Vietnam, Algeria, Brasile,Ucraina e Stati Uniti. Tuttavia, gli utenti dell’India, Algeria, Russia, Vietnam, Kazakistan, Ucraina e Brasile si trovano a dover affrontare vecchie, e non sempre, pericolose versioni di encryptor. Negli Stati Uniti, il 40% degli utenti viene attaccato da pericolosi encryptor. In Italia e Germania la situazione è ancor più seria: tutti i blocker individuati in questi paesi sono delle varianti di encryptor molto pericolose.

Nel 2015-2016, i 4 Trojan più attivi erano: TeslaCrypt (la maggior parte degli attacchi appartengono a questa famiglia, ma fortunatamente ora abbiamo un decryptor), CTB-Locker, Scatter e Cryakl (abbiamo decriptato anche questo Cryakl). Queste 4 famiglie rappresentano l’80% del mercato dei ransomware.

 

04-1

 

Un altro dato importante: inizialmente i ransomware colpivano soprattutto utenti privati. Quando hanno adottato la crittografia hanno iniziato ad attaccare anche le aziende: la percentuale delle aziende attaccate dai ransomware è più che raddoppiata, passando dal 6,8% al 13,13%.

 

07

 

Per maggiori informazioni sull’evoluzione dei ransomware tra il 2014-2016 visitate securelist.com.

Come rimanere protetti

  1. Effettuate frequenti backup
  1. Usate soluzioni di sicurezza affidabili. Per esempio, Kaspersky Internet Security, così come tutte le altre soluzioni Kaspersky Lab pluripremiate individuano e bloccano tutte le famiglie ransomware. KIS è dotato di un modulo integrato in grado di proteggervi dagli ultimi ecnryptor ancora sconosciuti.
  1. Aggiornate il software con regolarità: le patch risolvono le vulnerabilità del software. Meno bug avete, più difficile sarà per i cybercriminali infettare i vostri dispositivi.
  1. Rimanete aggiornati sulle ultime novità qui su Kaspersky Daily e su threatpost.com. Ricordate: sapere è potere! Informate anche i vostri amici, parenti e colleghi, e diffondete le notizie sulle ultime minacce.
  1. Se siete già caduti vittima di un ransomware, non pagate mai il riscatto senza aver prima preso in esame altre opzioni. Se vi trovate di fronte ad un blocker, usate il nostro tool gratuito WindowsUnlocker. Se state combattendo un encryptor, controllate se esiste una cura su kaspersky.com.
Consigli