Il ransomware è un malware che utilizza la crittografia asimmetrica per tenere sotto sequestro le informazioni di una vittima. La cifratura asimmetrica (pubblica-privata) è una crittografia che utilizza una coppia di chiavi per cifrare e decifrare un file. La coppia di chiavi pubblica-privata viene generata in modo univoco dall’aggressore per la specifica vittima. La chiave privata, necessaria per decifrare i file, viene memorizzata nel server dell’aggressore stesso. Quest’ultimo mette la chiave privata a disposizione della vittima solo dopo il pagamento del riscatto, anche se non è sempre così, come si è visto in recenti campagne di ransomware. Senza l’accesso alla chiave privata, decifrare i file tenuti in ostaggio è pressoché impossibile.
“I nostri ricercatori di McAfee Labs, tengono costantemente monitorato l’andamento delle minacce e oggi ci confermano un trend che vede superfici d’attacco sempre più estese, hacking industrializzato e cybercrime fruibile anche da inesperti informatici, oltre alla complessità e frammentazione del mercato della sicurezza informatica – che più di ogni altro hanno accelerato l’evoluzione delle minacce e le dimensioni e la frequenza degli attacchi – ha dichiarato Ferdinando Torazzi, Regional Director Italy & Greece Intel Security -. Per stare al passo con una tale veemenza, il mondo della sicurezza informatica deve continuare a migliorare la condivisione dell’intelligence delle minacce, reclutare un maggior numero di professionisti della sicurezza, continuare nel proprio impegno d’innovazione della tecnologia di sicurezza per proteggere imprese e cittadini nel cyberspazio”.
Esistono diverse varianti di ransomware. Spesso il ransomware, e altro malware, viene distribuito utilizzando campagne di email spam o attraverso attacchi mirati. Oltre a questo, i criminali informatici sfruttano anche i meccanismi legittimi utilizzati per la distribuzione del software come vettori per attacchi virus e malware.
“Una delle problematiche più stringenti nel settore della sicurezza informatica è l’identificazione delle azioni dannose di codici che sono stati progettati per comportarsi come software legittimi, mantenendo bassi livelli di falsi positivi. Più un pezzo di codice sembra autentico, più è elevata la probabilità che non venga rilevato come minaccia. Proprio come nel 2016 il ransomware si è adattato alle sandbox, la necessità di nascondere le attività dannose è alla base di una tendenza alla ‘troianizzazione’ delle applicazioni legittime – ha aggiunto Torazzi -. Se ricorderemo il 2016 come ‘l’anno del ransomware,’ sia con un enorme balzo di crescita nel numero degli attacchi, con una serie di attacchi di alto profilo che hanno generato grande interesse da arte dei media, sia per i significativi progressi tecnici in questo tipo di attacco. Ora dobbiamo impegnarci affinché il 2017 sia l’anno in cui una maggiore cooperazione all’interno del settore della sicurezza e con le forze dell’ordine, porti ulteriori risultati nella difesa contro il ransomware e nella lotta contro il crimine informatico”.