Ransomware: un po’ di storia!

Il primo ransomware della storia è il “PC Cyborg” e fu ideato da Joseph Popp nel 1989. La sua diffusione fu molto limitata perché avvenne attraverso l’inserimento di floppy disk che vennero consegnati ai partecipanti di un congresso sull’Aids. Il malware bloccava il funzionamento del PC giustificandolo con la scadenza di un software e per il ripristino venivano chiesti 189 dollari diretti a una fantomatica “PC Cyborg Corporation”.

redatto da Aryon Solutions | Cyber Security | 26-06-2019

Il primo ransomware della storia è il “PC Cyborg” e fu ideato da Joseph Popp nel 1989. La sua diffusione fu molto limitata perché avvenne attraverso l’inserimento di floppy disk che vennero consegnati ai partecipanti di un congresso sull’Aids. Il malware bloccava il funzionamento del PC giustificandolo con la scadenza di un software e per il ripristino venivano chiesti 189 dollari diretti a una fantomatica “PC Cyborg Corporation”.  

Fu il 2016 l’anno dell’esplosione dei ransomware. Furono 62 le nuove “famiglie” di ransomware e di queste 47 furono sviluppate da cybercriminali russi.

Tra i ransomware più importanti ricordiamo:

1. CryptoLocker: comparso nel 2013 e perfezionato nel 2017. La sua diffusione avviene attraverso un allegato di posta elettronica (zip che contiene un file eseguibile che appare come un word o pdf) e sembra provenire da istituzioni legittime. Infetta i computer con sistema operativo Windows.

2. NotPetya: il ransomware che ha creato i danni maggiori a livello mondiale. Si è diffuso nel 2017 ed ha avuto diverse versioni: 

- Petya che risale al 2016 ed è il primo caso in cui, oltre ai file, si cifravano anche le Master Boot Record del disco, rendendo impossibile l’avvio del Pc. Si distribuiva tramite email e spam e tra i bersagli aveva soprattutto utenti aziendali.

- Notpetya, invece, si diffonde nel 2017 e sfrutta la vulnerabilità di Windows SMB e l’exploit 

- Eternalblue creato dalla National Security Agency per propagarsi nelle reti aziendali. L’Italia dopo l’Ucraina sembra il paese più colpito. È ritenuto il più distruttivo cyberattacco mai compiuto e sembra provenire dalla Russia.

3. WannaCry: “voglio piangere” sembra essere stato il più veloce a propagarsi. Anch’esso diffuso nel 2017 grazie ad una vulnerabilità di Windows, dovuta a una falla che si trovava nell’Smb Server di Windows, ha bloccato i pc di mezzo mondo.

Nell’ultimo periodo invece si sono diffusi: 

1. GrandCrab 5.2: in una nuova versione, scoperta nel mese di aprile 2018 e che ha già causato danni di milioni di dollari in tutto il mondo. Questo colpisce particolarmente le aziende del comparto hi-tech e si propaga attraverso una massiccia campagna di malspam, in cui le email inviate, con la tecnica dello di spear phishing, contengono un allegato word con una macro malevola. 

2. NamPoHyu Virus: conosciuto anche col nome di “MegaLocker Virus” non colpisce singoli computer, ma prende di mira i server Samba “aperti” e tutte le risorse di rete come i dischi NAS non adeguatamente protetti o accessibili direttamente via Internet. 

Le prime tracce di questo virus risalgono a marzo del 2019, quando alcuni utenti avvertirono che i loro sistemi di archiviazione NAS erano stati codificati da un ransomware chiamato MegaLocker Virus.

La scelta di colpire i server Samba è mirata perché attraverso una semplice ricerca con Shodan è possibile individuare oltre 500.000 server Samba accessibili da remoto

3. MegaCortex: un ransomware diffusosi maggiormente nello scorso maggio, ispirato a Matrix. Utilizza l’automatizzazione abbinata alla componente manuale.I suoi creatori, infatti, utilizzano strumenti automatizzati per effettuare l’attacco: ciò rappresenta una novità che riesce a colpire un numero maggiore di vittime in poco tempo.L’ispirazione a Matrix è connessa alla richiesta di riscatto. Quest’ultima è scritta nello stile che ne ricorda uno dei protagonisti, Morpheus: “I sistemi di difesa informatica delle vostre aziende (sic) sono stati valutati, misurati e sono stati trovati carenti. La violazione è il risultato della grave negligenza dei protocolli di sicurezza. Io posso condurti fino alla soglia, ma la porta devi varcarla da solo”. Essa è, inoltre, accompagnata dalla promessa che, dopo il pagamento, l’azienda non correrà il rischio ulteriori attacchi e, sarcasticamente, dichiara che verrà data “una consulenza su come migliorare la sicurezza informatica dell’azienda”.

Fonti: 

https://www.cybersecurity360.it/nuove-minacce/ransomware-cose-come-rimuoverlo-e-come-difendersi/