Le modalità con le quali un attacco ransomware riesce a penetrare nei nostri computer sono sostanzialmente le stesse di molti altri tipi di attacchi e sono in gran parte le stesse usate da sempre. Perché continuano a funzionare ottimamente!
Sono ovviamente diventate più raffinate e a quelle classiche se ne sono aggiunte altre più innovative, come vedremo nella parte "Come sono cambiati gli attacchi: i Ransomware 2.0".
Email di phishing
Il metodo più diffuso, perché purtroppo continua a mietere vittime, sono le email di phishing. Attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 50% dei ransomware. Il phishing costituisce uno dei vettori iniziali più comuni all'interno di una catena d'attacco informatico per la sua bassa complessità, i costi contenuti e l'alta profittabilità.
Utilizzo di credenziali compromesse
Password di accesso ai sistemi informatici aziendali vengono rubate e poi messe in vendita nel dark web. Chi dispone di queste password ha facile accesso all'organizzazione da colpire. Si parla di Initial Access Broker (IAB o broker per l'accesso iniziale). Nella filiera del cybercrime si è creata una suddivisione di ruoli, gli IAB sono hacker specializzati nella vendita degli accessi ai sistemi informatici delle aziende.
In pratica IAB è un intermediario che si interpone tra l'azienda vittima e l'organizzazione di hacker che organizza e indirizza gli attacchi. Diventa importante per qualsiasi organizzazione gestire con attente policies di sicurezza le proprie credenziali.
Navigazione su siti compromessi
Il cosiddetto "drive-by download" (letteralmente: scaricamento all'insaputa), conosciuto anche come "watering hole" (l'abbeveratoio). In questo secondo caso muta lo scenario poiché è la vittima ad andare nel sito infetto e non l'attaccante a sollecitarne la visita attraverso una email.
Possono essere siti fake (falsi) creati appositamente ad imitazione di siti più noti, oppure siti veri che sono stati violati. In ambedue i casi nel sito vengono iniettati agenti malevoli, quali JavaScript, HTML o exploit kit che sfruttano vulnerabilità dei browser, di Adobe Flash Player (che fortunatamente oggi non esiste più).
Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su una pagina, dalla quale avverrà il download del malware.
Supporti rimovibili
Un ransomware può essere diffuso utilizzando un supporto rimovibile, per esempio una chiavetta USB armata con il software malevolo. Questa tecnica si chiama "Baiting" (esca) e – così come le email di phishing – fa leva sul fattore umano e sulla curiosità delle persone. In pratica viene lasciato in un luogo comune (ingresso dell'azienda, mensa, parcheggio, ecc.) un supporto di memorizzazione come una chiavetta USB contenente malware, programmato per attivarsi appena l'oggetto sarà collegato al computer.
La curiosità umana farà sì che questa esca abbia buone probabilità di successo.
Ransomware in bundle con altri software
I ransomware possono trovarsi all'interno (in bundle) di altri software che vengono scaricati. Per esempio programmi gratuiti che ci promettono di "crackare" software costosi (spesso anche videogiochi) per utilizzarli senza pagare. È una pratica che oggi è diventata assai pericolosa, perché il crack che andremo a scaricare sarà un eseguibile (.exe) dentro il quale probabilmente sarà stato annidato il malware.
È una tecnica che stiamo rilevando frequentemente in questi ultimi tempi: si segnalano sempre più campagne di ransomware che vengono veicolati attraverso versioni craccate (quindi gratuite!) di noti programmi a pagamento, soprattutto Microsoft Office e Adobe Photoshop CC. All'interno di questi software craccati si trovano talvolta anche malware di tipo infostealer. Si tratta di malware che, come suggerisce il nome, si installano silenziosamente, senza manifestare tracce evidenti della loro presenza, per rubare le informazioni personali e sensibili della vittima, inclusi i dati bancari, le password salvate nel browser, i dati delle carte di credito e molte altre informazioni sensibili che si trovano sul dispositivo colpito.
I dati raccolti vengono poi inviati sulla rete dall'infostealer, con modalità progettate per fare in modo che l'evento di invio non sia rilevato dall'utente. Queste informazioni, sempre più spesso, non vengono direttamente utilizzate dagli attaccanti ma vendute nel Dark web per essere poi utilizzate da altri attaccanti al fine di compiere attività fraudolente. Si parla di brokeraggio (cioè vendita) dei dati.
Connessioni remote
Attacchi attraverso connessioni remote quali VPN (Virtual Private Network) o RDP (remote desktop protocol). Sono attacchi che cercano di rubare le credenziali di accesso a questi collegamenti per prenderne il controllo ed entrare nei sistemi informatici dell'azienda. Una volta ottenuto l'accesso al sistema, il cybercriminale potrà eseguire varie operazioni, quali appunto iniezione del ransomware.
Questa modalità di attacco ha registrato un incremento del 197% nel 2021 su anno precedente, soprattutto a causa della diffusione dello smart working da remoto.
Attacchi ransomware tramite vulnerabilità software
Abbiamo visto attacchi ransomware portati a termine grazie allo sfruttamento di vulnerabilità. Secondo il Rapporto CLUSIT 2025 questo rappresenta il 15% dei vettori d'attacco, in crescita rispetto agli anni precedenti. Citiamo, perché molto pesante per la quantità di aziende colpite, l'attacco del marzo 2021 che ha utilizzato vulnerabilità di Microsoft Exchange Server (il software che aziende e organizzazioni in tutto il mondo utilizzano per gestire email e calendari) per distribuire ransomware dopo la compromissione dei server.
Microsoft ha assegnato a questa nuova famiglia di ransomware il nome Win32/DoejoCrypt.A. (o anche, più semplicemente, DearCry). L'attacco sembra partito dal gruppo di cyber criminali cinesi denominato Hafnium e sfruttava le vulnerabilità zero-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime, accedendo alle caselle di posta elettronica delle aziende per sottrarne il contenuto e per iniettare malware.
In precedenza, ricordiamo il celebre WannaCry1 del maggio 2017 (che sfruttava la vulnerabilità del protocollo Windows Server Message Block versione 1.0 (SMBv1).
Ransomware veicolati attraverso Supply Chain Attack
Ed infine il ransomware può essere veicolato attraverso Supply Chain Attack. Si passa attraverso un fornitore (supplier) più debole per arrivare a colpire le aziende da questo servite e con questo collegate. In pratica si cerca di colpire l'azienda importante e meglio protetta sfruttando il suo fornitore più debole.
A luglio 2021 c'è stato quello che secondo qualcuno potrebbe essere stato uno dei maggiori attacchi ransomware della storia. È partito dall'infezione di Kaseya, società della Florida che fornisce software di monitoraggio della rete e si è rapidamente diffuso su centinaia di suoi clienti, che - a loro volta - sono rivenditori dei servizi verso altri clienti, con un effetto a catena su scala mondiale che ha messo a rischio probabilmente milioni di computer. Tra le vittime, una delle più grandi catene alimentari svedesi, Coop, che ha dovuto temporaneamente chiudere quasi tutti i suoi quasi 800 negozi.
L'attacco a Kaseya è stato rivendicato dal gruppo REvil, una banda ransomware di matrice russa, che ha fatto una richiesta di riscatto pari a 70 milioni di dollari (59 milioni di euro) in Bitcoin.
Come sono cambiati gli attacchi: i Ransomware 2.0
I cybercriminali, le "Cybercrime SpA", fanno ricerca e sviluppo, come una normale azienda.. o forse anche meglio. Di fronte alle misure difensive adottate dalle aziende, hanno evoluto le loro tecniche, alzando il livello degli attacchi ed evolvendo il loro "prodotto".
Vediamo nuove tendenze che stiamo registrando in questi ultimi anni a confronto con i ransomware, molto più semplici, della prima generazione:
| Ransomware prima generazione | Ransomware 2.0 |
|---|---|
| Tecnica "spray and pray": campagne massive che miravano a colpire la massa di utenti cercando di intaccare il maggior numero possibile di vittime. | Interazione in tempo reale degli attaccanti, che prima ispezionano il sistema che hanno violato e poi si concentrano sul bloccare o disattivare i vari livelli di protezione. |
| Attacchi opportunistici. | Più attacchi mirati ("big-game-hunting"). |
| Richiesta di riscatto: non elevata (nei primi anni fino al 2017, nell'81% dei casi il riscatto non superava i 1.000 dollari). | Richiesta di riscatto: cresciute fino a milioni di dollari. Riscatto medio (mondo): 812.360 di dollari nel 2022, 1.542.333 di dollari nel 2023 (fonte Sophos: The State of Ransomware 2023). |
| Solo crittografia dei dati. | Utilizzo della crittografia "intermittente", per accelerare la crittografia dei file |
| L'attaccante non persisteva a lungo nel sistema violato: l'attacco si sviluppava in poche ore. | L'attaccante si crea persistenza (anche settimane o mesi) nel sistema violato. |
| Non cercava di criptare anche il backup. | L'attaccante usa tecniche di tipo APT (Advanced Persistent Threat) per arrivare anche a compromettere i backup. |
| Esfiltrazione di dati sensibili: Double Extortion (dal 2019). | |
| Utilizzo di "malware precursore": Cobalt Strike, Emotet, TrickBot, ecc. Sono i cosiddetti "commodity malware". | |
| I computer infettati si riavviano nella modalità provvisoria di Windows e successivamente si cifrano i dati (dal 2019). |
