Quando il ransomware colpisce un computer o una rete, blocca i file, che diventano inaccessibili.
Il computer informerà quindi l'utente che per poter utilizzare nuovamente il computer, deve pagare un riscatto per una chiave cibernetica. Generalmente, questa tassa è richiesta in bitcoin, in quanto non possono essere rintracciati.
Un attacco informatico spesso inizia quando una persona viene indotta a fare clic su un link in un'email, che scarica malware sul computer . Gli hacker sono molto abili nel far sì che le vittime facciano clic su questi link e, in molti casi, le vittime non si rendono nemmeno conto che stanno facendo qualcosa di sbagliato. Questo link inviato tramite e-mail potrebbe assumere la forma della tua banca, di un'azienda con cui intrattieni rapporti commerciali o di qualcuno che conosci.
Questi link sembrano abbastanza innocenti, ma sono molto dannosi, proprio come questi ultimi cyber-attacchi sono stati dannosi. Infatti, lo scorso maggio, questo attacco ransomware è stato un problema abbastanza grande che Microsoft ha anche creato una patch per i suoi utenti su Windows XP, cosa che non hanno fatto in molti anni perché quel sistema operativo è obsoleto.
Come potrebbe un singolo pezzo di malware causare un tale mal di testa?
Capire questo particolare malware
Per ottenere la risposta a questa domanda, è importante capire che cos'è il malware WannaCry. Questo particolare malware ha la capacità di cercare e quindi crittografare un totale di 176 diversi tipi di file.
Richiede quindi un riscatto da $ 300 bitcoin. Se non paghi $ 300, il messaggio di riscatto dice che il pagamento sarà raddoppiato ogni tre giorni. Se, dopo sette giorni, il pagamento del riscatto non viene effettuato, il file viene eliminato.
Dovresti pagare il riscatto?
Una delle domande più comuni che le persone hanno quando diventano vittime di attacchi di malware è se devono pagare il riscatto o se c'è un modo per decodificare i file. Fortunatamente, la decrittografia di questi file potrebbe essere possibile (vedi questo link qui: "wannacry decryptor"). E i ricercatori stanno ancora lavorando su nuovi decodificatori. È meglio fare un backup di tutti i file in anticipo, il che significa che è possibile ripristinarli. È meglio NON pagare il riscatto se possibile.
Vi sono alcuni casi in cui è possibile ripristinare i file anche se non si dispone di un backup, ma i file salvati su un'unità rimovibile, sul desktop o su I miei documenti non sono recuperabili. Quelli che potrebbero essere recuperabili potrebbero essere in grado di essere recuperati con uno strumento di recupero.
In che modo il ransomware ha colpito gli Stati Uniti?
A maggio, questo particolare malware ha colpito il Regno Unito e si è diffuso anche negli Stati Uniti. Tuttavia, un ricercatore britannico, che si chiama "MalwareTech", è stato in grado di fermarlo temporaneamente mentre era in vacanza. Ciò, tuttavia, è problematico in quanto dimostra che l'industria della sicurezza delle informazioni a livello mondiale è dispersa e fare affidamento su una persona è abbastanza insufficiente.
MalwareTech ha notato che il nome di dominio a cui era diretto il malware non esisteva. Se fosse stato attivo, il programma dannoso avrebbe creduto che fosse un falso positivo avere il suo codice smontato. Per fermarlo, WannaCrypt ha progettato il malware per chiudersi. Che cosa dice questo sui nostri livelli di preparazione informatica globale?
Innanzitutto, questo dimostra che il nostro settore della sicurezza delle informazioni considera gli attacchi informatici come più un'opportunità di business che come un modo per lavorare insieme per eliminare qualsiasi minaccia. Anche se ci sono certamente professionisti che non lo fanno, come ha fatto MalwareTech, gli eventi che circondano l'incidente del malware nel Regno Unito dimostrano che, come settore, è necessaria una maggiore collettività. Non possiamo contare su codici pigri nel prossimo attacco informatico.
In secondo luogo, dobbiamo verificare se WannaCrypt sia stato un semplice test di preparazione.
È possibile che la facilità di fermare l'attacco non sia affatto un atto di pigrizia, ma un atto per vedere quanto tempo ci vuole per chiudere il programma.
È anche possibile che coloro che hanno sviluppato questo malware l'abbiano fatto per raccogliere informazioni su quali sistemi potrebbero essere interessati da questo malware, come i sistemi Windows XP. Ricorda, questo sistema operativo non è più supportato da Microsoft.
C'è anche la possibilità che WannaCrypt intendesse dimostrare che i governi catalogano le vulnerabilità nel software che usano, ma non condividono tali informazioni con gli sviluppatori. Questo potrebbe mostrare cosa potrebbe accadere se queste vulnerabilità vengono utilizzate da persone sbagliate.
WannaCrypt da allora ha generato un sacco di dibattiti sugli attacchi informatici sponsorizzati dallo stato. L'inclusione di backdoor in applicazioni o sistemi operativi autorizzati dal governo è estremamente pericolosa e decisamente fuorviata. Tuttavia, se abbiamo imparato qualcosa dalle elezioni del 2016, è che ora viviamo in un mondo in cui abbiamo bisogno di capacità offensive e difensive.
Non possiamo nemmeno negare che dovremmo aspettarci di più da giganti del software come Microsoft. Viviamo in un'epoca in cui i big data sono il re e il software viene tracciato. Con le vulnerabilità del software, potrebbe letteralmente fermare il mondo in piedi.
Quando disponiamo di sistemi critici che si basano su software a rischio, è ragionevole credere che gli sviluppatori di software notifichino coloro che sono a rischio. Dovrebbero anche ottenere rapidamente una patch rilasciata. Le e-mail e le notifiche a lunga scadenza non sono sufficienti perché molti clienti non si rendono conto di avere un sistema vulnerabile, né ricevono il supporto mainstream.
Sono passati più di tre anni da quando Microsoft ha smesso di supportare il suo sistema operativo Windows XP, ma le organizzazioni in tutto il mondo continuano a usarlo, il che significa che i gruppi dietro a WannaCrypt si perfezioneranno.
Se non iniziamo a essere più efficienti nei nostri metodi per combattere queste minacce, e se continuiamo a utilizzare software non sicuro, non dovrebbe sorprendere quando queste minacce colpiscono. Queste minacce hanno un grande potenziale di causare danni significativi, sia digitalmente che fisicamente ... e la prossima volta, potremmo non avere questo tipo di fortuna.
Chi è colpito da questo?
Qualsiasi persona che utilizza un computer Windows è suscettibile al cyber-attacco WannaCry. Le aziende sono più a rischio perché sono collegate alle reti e questo sembra migliore per i criminali informatici. Tuttavia, resta vigile, perché anche gli individui sono a rischio.
L'attacco WannaCry è mirato?
Al momento, non crediamo che l'attività di WannaCry sia parte di un attacco mirato.
Perché WannaCry causa così tanti problemi?
WannaCry sta causando tanti problemi perché ha la capacità di diffondersi su tutte le reti senza alcuna interazione da parte dell'utente. Sfrutta le vulnerabilità nei sistemi Windows, quindi qualsiasi computer che non è stato aggiornato all'ultima patch di protezione di Windows Update è a rischio di infezione.
Come si diffonde WannaCry?
WannaCry può diffondersi attraverso una rete sfruttando la sua vulnerabilità, ma questo non è il modo in cui inizialmente infetta la rete. WannaCry non sa come il primo computer di un'organizzazione sia stato infettato. Un ricercatore sottolinea "si diffonde attraverso un'operazione che dà la caccia a un pubblico vulnerabile di fronte ai porti delle PMI e poi usa il presunto exploit EternalBlue trapelato dalla NSA per entrare nella rete" Ci sono stati alcuni casi di WannaCry che sono stati trovati ospitati su noti siti Web dannosi, ma si ritiene che questi non siano correlati agli attacchi WannaCry originali. Invece, sono copioni.
Come funziona il riscatto con WannaCry?
Come sapete, gli aggressori associati a WannaCry chiedono che il riscatto venga pagato usando Bitcoin. In effetti, WannaCry ha generato un indirizzo bitcoin univoco per ogni computer interessato dal file. Tuttavia, è stato anche rilevato che c'è un bug nel codice, che lo induce a non eseguire come dovrebbe. Quindi, WannaCry imposta automaticamente a tre indirizzi Bitcoin per i pagamenti. Ciò è problematico, tuttavia, poiché gli aggressori non sono ora in grado di identificare correttamente le vittime che hanno pagato e che non hanno, il che significa che le vittime, anche se hanno pagato, probabilmente non recupereranno i loro file.
Gli hacker di WannaCry hanno realizzato tutto questo e poi hanno rilasciato una nuova versione del software dannoso che ha risolto il problema, ma non ha avuto lo stesso successo del cyber-attacco originale.
Più di recente, il 18 maggio, i computer infettati da questo malware hanno visualizzato un altro messaggio, che ha comunicato alle vittime che i loro file sarebbero stati decifrati solo se fosse stato pagato un riscatto.
Cosa fare se sei infetto
Ecco alcuni passaggi da eseguire se il tuo computer è infetto:
- Segnala l'istanza alla polizia. Anche se probabilmente non possono aiutare, è sempre buona pratica registrarlo.
- Disconnettere il computer dalla rete. Questo aiuta a impedire che l'infezione cibernetica si diffonda ad altre reti.
- Rimuovere il ransomware dal computer. Ricorda, rimuovere il ransomware non ti darà accesso ai tuoi file, poiché sono crittografati.
- Se si dispone di un backup dei dati (si dovrebbe), non vi è alcun motivo per cui è necessario pagare il riscatto. Vuoi comunque rimuovere il ransomware, anche se hai un backup.
- Cosa succede se si dispone di file importanti di cui si ha assolutamente bisogno e che non sono stati sottoposti a backup? Inizia a salvare i tuoi bitcoin. Dai un'occhiata a questo sito su come effettuare pagamenti usando questo metodo.
- Ricorda. I cattivi saranno impossibili da tracciare e dovrai effettuare i pagamenti sulla rete Tor, che offre la navigazione anonima.
- Infine, anche se è un gioco d'azzardo, non dovresti essere scioccato se paghi e in effetti ricevi una chiave di decrittazione. La maggior parte dei cyber-ladri ti seguiranno e ti daranno il codice perché vogliono essere presi sul serio. Se è risaputo che non si ottiene il codice, qual è il punto di pagamento?
La cosa migliore che puoi fare è prevenire un attacco cibernetico in primo luogo. Ciò significa che dovresti cercare tutti gli indizi che potrebbero comportare truffe di phishing o attacchi di malware. Non consentire a un'e-mail minacciosa di spingerti a fare clic su un link non valido. Inoltre, assicurati di eseguire il backup di tutti i tuoi dati online e su un disco rigido esterno. In questo modo, anche se sei vittima di un attacco di malware, non dovrai pagare un riscatto.