Cos’è un ransomware? È  una sorta di malware, un virus informatico che limita o impedisce il normale funzionamento del computer finché non si paga un riscatto (ransom) al suo sviluppatore. 

Un ramsonware può causare danni importanti, perché:

  • impedisce l’accesso ai propri dati tramite la crittografia degli stessi sul disco;
  • blocca il normale funzionamento del computer.

Come fa un ransomware ad entrare in un computer?

I metodi più diffusi che permettono a un ransomware di infettare un dispositivo sono:

  • campagne di spam;
  • e-mail di phishing;
  • accessi a siti web contenenti un programma dannoso;
  • falsi aggiornamenti;
  • strumenti illegali di attivazione di software;
  • canali di download non sicuri.

Una volta infettato il computer, gli sviluppatori lasciano un messaggio con una richiesta di pagamento per decrittografare i file e ripristinare il sistema. Di solito, la richiesta di riscatto compare quando l’utente riavvia il computer.

Perché LockBit è più temuto di altri ransomware?

LockBit è un ransomware progettato as-a-service, cioè sviluppato per essere messo in vendita sotto forma di servizio, che gli affiliati possono usare riconoscendo però ai creatori parte dei riscatti incassati.

LockBit rappresenta uno dei più temuti ransomware perché:

  • quando viene lanciato su un pc della rete, cerca di diffondersi tramite le risorse condivise;
  • lascia poche tracce utili all’analisi dell’infezione, rendendo difficile il tracciamento dell’origine;
  • prevede attacchi a più step e con tecniche differenti, all’inizio sfruttando eventuali debolezze di sistema per installare backdoor che garantiscono che il malware possa essere installato in maniera da resistere al riavvio e che possa essere scaricato codice da eseguire secondo la volontà del gestore del malware;
  • al termine di un periodo di analisi delle risorse attaccabili e sfruttabili, inizia a manipolare le risorse locali e di rete per cifrarle con una chiave spedita da remoto ai server di controllo del malware, modificando documenti e archivi, così da renderli inutilizzabili. Il processo avviene in maniera ottimizzata per massimizzare il danno possibile, interessando decine di migliaia di file nel giro di qualche minuto. In poche ore un’intera rete può essere resa inutilizzabile;
  • lascia informazioni di contatto per un pagamento di un riscatto, con il quale è possibile ottenere una chiave per decifrare le informazioni in base alla dimensione dell’azienda e del danno effettuato. La media della richiesta, stabilita da indagini effettuate tra le aziende che hanno ammesso di aver pagato un riscatto per i loro dati e aggiornata al secondo quadrimestre del 2020, è superiore ai 150.000 Euro per singola azienda interessata;
  • è un sistema sviluppato da organizzazioni criminali e ceduto in gestione ad altre organizzazioni simili. A differenza di altri ransomware, LockBit prevede un forte impiego di risorse umane per massimizzare il ritorno economico. Vengono lanciati attacchi su larga scala che potenzialmente colpiscono chiunque e vengono analizzati persino i risultati, in modo da provocare il massimo danno e, contestualmente, il massimo guadagno.

Come posso proteggermi da LockBit?

Proteggersi da LockBit è possibile grazie a semplici azioni. In sintesi:

  • evitare di aprire gli allegati di email di dubbia provenienza;
  • fare attenzione alle email provenienti anche da indirizzi noti;
  • abilitare l’opzione “mostra estensioni nomi file” nelle impostazioni di Windows: i file più pericolosi hanno l’estensione .exe, .zip, js, jar, scr, ecc;
  • disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza;
  • Aggiornare sempre i sistemi operativi e i browser;
  • Installare servizi antivirus evoluti;
  • Implementare soluzioni di tipo “User Behavior Analytics” (UBA) sulla rete aziendale (analisi anomalie traffico web). Alla rilevazione di eventi anomali e sospetti, possono isolare il computer incriminato e bloccare (o,quantomeno, circoscrivere) l’attacco;
  • Fare attenzione prima di cliccare su banner (o finestre pop-up) in siti non sicuri.
  • Effettuare backup frequenti dei propri dati su dispositivi esterni. Se un ransomware riesce a colpirci, aver preservato i dati salvati in un altro luogo è l’unico modo per ripristinarli.

LockBit ha già infettato i miei computer?

In questo caso la soluzione più efficace è ripristinare i propri dati dal backup, naturalmente ammesso che ci sia. Tuttavia, ogni caso presenta una gravità a sé stante e il consiglio è di farlo trattare da specialisti in grado di fornire il rimedio migliore.

Nova Software è al fianco dei suoi clienti per fronteggiare la minaccia dei ramsomware. Gli affiliati di LockBit probabilmente continueranno a crescere e con la loro espansione è ragionevole pensare che aumenterà anche il numero dei destinatari del virus.

Se questo articolo ti è stato utile e vuoi essere aggiornato sulle soluzioni che possono proteggere la tua attività dai rischi della rete, iscriviti alla nostra newsletter gratuita.