Che cos’è il ransomware? I 7 esempi più terribili (2023)

Che cos’è il Ransomware?

Immagini di essere a casa e improvvisamente la porta si chiude dietro di lei. La voce di uno sconosciuto le dice che ha preso il controllo della sua casa e che le restituirà la chiave solo se lo pagherà. Questo scenario, per quanto spaventoso, è esattamente ciò che il ransomware fa al suo computer.

In questo articolo, esploreremo alcuni degli attacchi ransomware più terribili di sempre, rivelando fino a che punto alcuni criminali informatici sono disposti a spingersi per prendere ciò che non è loro.

Ransomware significato: Il ransomware è un malware che cripta i suoi file e li prende in ostaggio. Prima di poter riprendere il controllo dei suoi file, deve pagare un riscatto di centinaia di dollari.

Non diventi vittima del crimine informatico. Protegga i suoi dispositivi con il miglior antivirus e la sua privacy con la migliore VPN.

Esempi di ransomware?

Questi sono gli esempi di ransomware più terribili di tutti i tempi:

1. CryptoLocker (2013): Questo è stato uno dei primi grandi attacchi ransomware a colpire Internet. Crittografava i file degli utenti e chiedeva un riscatto per liberarli.
2. WannaCry (2017): Forse l’attacco ransomware più famoso fino ad oggi, WannaCry ha colpito centinaia di migliaia di computer in 150 Paesi, causando danni per miliardi di dollari.
3. NotPetya (2017): Travestito da una comune forma di ransomware, NotPetya è stata un’arma informatica devastante che ha causato una distruzione diffusa, soprattutto in Ucraina.
4. Bad Rabbit (2017): Questo ransomware si è diffuso attraverso un attacco “drive-by” in cui siti web dall’aspetto innocente ospitavano il software dannoso.
5. GandCrab (2018-2019): Noto per la sua costante evoluzione, GandCrab ha preso di mira più di un milione di utenti e ha causato oltre 2 miliardi di dollari di danni prima che i suoi creatori dichiarassero di essersi ritirati.
6. Ryuk (2018-2020): Ryuk ha preso di mira le grandi organizzazioni per ottenere pagamenti ad alto tasso di riscatto. È noto per i suoi attacchi al settore sanitario durante la pandemia COVID-19.
7. Sodinokibi/REvil (2019-2020): Il successore di GandCrab, Sodinokibi/REvil ha causato scompiglio in vari settori, con attacchi degni di nota, tra cui Travelex e il sistema giudiziario del Texas.

Continui a leggere per maggiori dettagli su ciascun esempio di ransomware.

1. CryptoLocker (2013)

La nascita di una minaccia informatica

Tutto è iniziato nel settembre del 2013, quando un uomo nero di Internet chiamato CryptoLocker ha iniziato a fare notizia. Questo software maligno, o malware, era frutto della mente di un’inafferrabile banda di criminali informatici, in seguito identificata come la botnet Gameover ZeuS. Per circa tre mesi, CryptoLocker ha tenuto in ostaggio il mondo digitale.

CryptoLocker non ha fatto discriminazioni nella scelta delle vittime. Dai singoli utenti alle aziende, chiunque avesse un computer Windows era un bersaglio facile. Si insinuava nei sistemi attraverso allegati e-mail infetti, in genere camuffati da file legittimi.

Una volta attivato, CryptoLocker funziona come un ladro nella notte. Criptava i file degli utenti – immagini, documenti, fogli di calcolo – e li teneva in ostaggio. Le vittime avevano una scelta: pagare un riscatto in Bitcoin o perdere i loro dati per sempre.

L’attacco è stato globale, raggiungendo tutti i continenti e colpendo circa mezzo milione di persone. I danni finanziari sono stati enormi, con stime dell’FBI che indicano una perdita di circa 30 milioni di dollari.

La natura dei dati compromessi era ampia. Ricordi personali conservati sotto forma di foto, documenti aziendali essenziali, dati finanziari… tutti chiusi a chiave, fuori portata.

La salvezza è arrivata dall’Operazione Tovar, uno sforzo multinazionale che è riuscito a distruggere la botnet Gameover ZeuS nel maggio 2014, neutralizzando efficacemente CryptoLocker. Per le vittime, il processo di recupero è stato lento e talvolta impossibile senza backup dei dati crittografati.

Nonostante la portata dell’attacco, le conseguenze legali per gli autori sono state minime. La natura anonima di Internet ha aiutato i criminali dietro CryptoLocker a sfuggire alla cattura, sottolineando le immense sfide della polizia sui crimini informatici.

2. WannaCry (2017)

L’epidemia che ha sconvolto il mondo

Arriviamo a maggio 2017, quando il mondo cibernetico è stato scosso dall’attacco ransomware più esteso della storia: WannaCry. La durata dell’attacco è stata fortunatamente breve, solo pochi giorni, ma la devastazione è stata diffusa e profonda.

I sospetti dietro l’attacco erano il Lazarus Group, un’entità legata alla Corea del Nord. Questo gruppo aveva una serie di obiettivi più specifici: sistemi operativi Windows vecchi e senza patch, spesso presenti in grandi organizzazioni ed enti governativi.

WannaCry è stato indiscriminato e spietato. Ha colpito tutti, dai singoli utenti a interi settori. Ha bloccato gli ospedali nel Regno Unito, causando un’interruzione significativa dei servizi sanitari. Ha attaccato aziende, agenzie governative e università, bloccando gli utenti e chiedendo un riscatto.

La portata dell’attacco è stata davvero globale, con oltre 150 Paesi che hanno segnalato incidenti. Si stima che abbia colpito circa 200.000 computer, causando danni finanziari che hanno raggiunto i miliardi.

Dalle cartelle cliniche dei pazienti negli ospedali alla ricerca accademica classificata, la natura dei dati compromessi variava ampiamente, causando un effetto a catena di interruzione e caos.

L’attacco è stato infine fermato da un ricercatore di cybersicurezza, che ha scoperto un “kill switch” nel malware. Questa scoperta non ha invertito il danno, ma ha fermato la diffusione. In seguito, le vittime si sono date da fare per recuperare i dati, e alle organizzazioni di tutto il mondo è stata ricordata l’importanza di aggiornare regolarmente i sistemi e di adottare solide misure di cybersicurezza.

In una rara svolta degli eventi, il Dipartimento di Giustizia degli Stati Uniti ha accusato un programmatore nordcoreano per il suo ruolo nell’attacco WannaCry del 2018. Tuttavia, a causa delle relazioni internazionali e della natura del crimine informatico, le possibilità di un’azione penale rimangono scarse.

3. NotPetya (2017)

Il Predone Mascherato

Nel giugno 2017, solo un mese dopo l’attacco WannaCry, è emersa una nuova minaccia, apparentemente più minacciosa e devastante. Si chiamava NotPetya, un nome ingannevolmente benigno per un’arma informatica di distruzione di massa. NotPetya non era l’opera del criminale informatico di tutti i giorni; si trattava di un attacco sponsorizzato dallo Stato, che si ritiene provenisse dall’esercito russo.

L’obiettivo principale di questo attacco era l’Ucraina. Si è infiltrato abilmente nei sistemi attraverso un popolare software fiscale, MEDoc, molto utilizzato nel Paese. Ma gli effetti di NotPetya non si sono limitati all’Ucraina; il malware si è diffuso rapidamente attraverso le reti aziendali, colpendo le imprese a livello globale.

L’attacco è stato rapido e brutale, durato solo poche ore. Ma in quel lasso di tempo, ha causato danni incalcolabili. NotPetya non era un tipico ransomware. Pur richiedendo un riscatto, si trattava di una cortina di fumo per il suo vero scopo: la distruzione completa e totale dei dati. I dati compromessi riguardavano registri finanziari, file governativi e operazioni aziendali.

La perdita finanziaria è stata sbalorditiva, con danni globali stimati in 10 miliardi di dollari, rendendolo uno dei cyberattacchi più costosi della storia.

Le conseguenze sono state un mondo sotto shock. Le aziende hanno rafforzato le loro difese, i governi hanno rivalutato le loro politiche di cybersecurity e la necessità di una cooperazione internazionale nella criminalità informatica è diventata evidente. Nonostante la portata dell’attacco, non sono emerse conseguenze legali significative, evidenziando ancora una volta le sfide dell’attribuzione e dell’azione penale nel regno cibernetico.

4. Coniglio cattivo (2017)

Il replicatore rapido

Il 2017 sembrava essere un anno di cyberattacchi incessanti, e a ottobre, un’altra minaccia importante è entrata in scena: Bad Rabbit. Questo attacco ransomware, che si ritiene sia collegato ai creatori di NotPetya, ha preso di mira le organizzazioni dei media e i fornitori di infrastrutture in Russia e nell’Europa orientale.

Bad Rabbit si è diffuso attraverso attacchi ‘drive-by’. Bastava visitare un sito web infetto per scaricare il software dannoso, che poi bloccava i file e chiedeva un riscatto.

La portata geografica dell’attacco è stata più limitata rispetto ai suoi predecessori, in gran parte contenuta all’interno della Russia e dell’Ucraina. Tuttavia, sono stati segnalati incidenti isolati in altre parti d’Europa, negli Stati Uniti e in Asia.

Il danno finanziario, pur essendo significativo, non è stato elevato come quello di altri grandi attacchi, ma l’interruzione causata è stata sostanziale. La natura dei dati compromessi è stata principalmente quella dei dati aziendali e operativi, paralizzando le organizzazioni colpite e causando un’interruzione diffusa.

Le contromisure contro Bad Rabbit prevedevano l’isolamento dei sistemi infetti e la rimozione del malware. Le entità colpite hanno dovuto ripristinare i dati dai backup o, se non ne avevano, prendere in considerazione il pagamento del riscatto. L’incidente è servito come un altro promemoria dell’importanza dei backup regolari dei dati e delle solide misure di cybersecurity.

Le conseguenze legali dell’attacco Bad Rabbit rimangono poco chiare, in gran parte a causa delle difficoltà nell’identificare e perseguire gli autori. L’attacco ha rafforzato le sfide in corso nella lotta al crimine informatico e l’urgente necessità di cooperazione internazionale in questo settore.

5. GandCrab (2018-2019)

La minaccia in continua evoluzione

All’inizio del 2018, una nuova minaccia chiamata GandCrab ha iniziato a farsi strada in Internet. Questo ransomware è nato dall’idea di un gruppo anonimo di criminali informatici che ha utilizzato un modello di business innovativo noto come Ransomware-as-a-Service (RaaS).

Per circa un anno e mezzo, GandCrab ha terrorizzato gli utenti di tutto il mondo. Gli autori hanno aggiornato frequentemente il ransomware per eludere il rilevamento e sfruttare nuove vulnerabilità, dimostrando una terrificante adattabilità.

GandCrab ha preso di mira principalmente gli utenti individuali, ma non si è sottratto nemmeno alle aziende. Le vittime erano sparse in tutto il mondo, con un numero significativo negli Stati Uniti e nell’Europa occidentale.

Il tributo finanziario di GandCrab è stato enorme. Prima che gli autori si “ritirassero” misteriosamente a metà del 2019, hanno dichiarato di aver estorto oltre 2 miliardi di dollari alle loro vittime, con centinaia di migliaia di persone e aziende colpite.

File personali, documenti aziendali e dati sensibili… tutti sono stati il pane quotidiano di GandCrab. La natura dei dati compromessi era tanto diversa quanto le vittime stesse.

In risposta all’escalation della minaccia, le aziende di cybersicurezza si sono unite alle forze dell’ordine in una collaborazione internazionale unica. Hanno lanciato una controffensiva, fornendo strumenti di decriptazione gratuiti per aiutare le vittime a sbloccare i loro file senza pagare il riscatto.

Nonostante la natura globale dell’attacco e i suoi danni estesi, non sono state segnalate conseguenze legali significative per gli autori. Gli autori sconosciuti di GandCrab rimangono in libertà, illustrando le continue sfide nella lotta al crimine informatico.

6. Ryuk (2018-2020)

Il pedinatore silenzioso

Mentre il mondo era alle prese con GandCrab, è emerso silenziosamente un altro ransomware, specificamente progettato per colpire le grandi organizzazioni: Ryuk. Si ritiene che sia collegato a un gruppo di criminali informatici della Corea del Nord, Ryuk ha iniziato il suo pedinamento silenzioso nel 2018 ed è proseguito fino al 2020.

A differenza di altri attacchi ransomware, Ryuk era altamente mirato. Ha preso di mira le grandi organizzazioni, soprattutto quelle del settore sanitario. Il suo tempismo è stato particolarmente crudele, colpendo all’apice della pandemia COVID-19, quando i servizi sanitari erano già sottoposti a un’immensa pressione.

Mentre la portata geografica di Ryuk era globale, le sue vittime erano meno numerose a causa della sua natura selettiva. Tuttavia, il danno finanziario era significativo, con riscatti individuali che spesso raggiungevano le centinaia di migliaia di dollari.

Dati sensibili dei pazienti, ricerche mediche cruciali, dati operativi: Ryuk ha tenuto tutto in ostaggio, causando gravi interruzioni e mettendo in pericolo delle vite.

Le contromisure contro Ryuk hanno comportato una combinazione di isolamento dei sistemi infetti, rimozione del ransomware e ripristino dei dati dai backup. L’incidente ha sottolineato l’urgente necessità di forti misure di cybersecurity, in particolare nei settori critici come quello sanitario.

Al momento, non sono state segnalate conseguenze legali sostanziali per gli attacchi di Ryuk. La difficoltà di rintracciare gli autori, insieme alle complessità geopolitiche, continua a porre sfide significative nel perseguire i crimini informatici.

7. Sodinokibi/REvil (2019-2020)

Il successore spietato

Nella primavera del 2019, un nuovo cattivo ha fatto il suo ingresso sul palcoscenico informatico. Conosciuto come Sodinokibi o REvil, questo ransomware è emerso come il successore del famigerato GandCrab. L’attacco è stato condotto da un gruppo sconosciuto di criminali informatici che, come i loro predecessori, operavano secondo il modello Ransomware-as-a-Service (RaaS).

Sodinokibi/REvil ha proseguito la sua corsa maligna fino al 2020, lasciando dietro di sé una scia di distruzione digitale. Ha preso di mira un’ampia gamma di vittime, da individui a grandi organizzazioni, tra cui la società di cambio valuta Travelex e diversi enti governativi in Texas.

Questo ransomware non era limitato dalla geografia: si è diffuso in tutto il mondo, infliggendo dolore e causando interruzioni significative. Il danno finanziario, sebbene non sia noto con precisione, si ritiene che sia sostanziale, data la natura di alto profilo di molti dei suoi obiettivi.

I dati compromessi variavano molto, dai file personali sui singoli computer alle informazioni aziendali e governative sensibili. L’attacco a Travelex, per esempio, ha interrotto le operazioni dell’azienda per settimane, mentre l’incidente in Texas ha provocato una significativa interruzione governativa.

Per contrastare Sodinokibi/REvil è stata necessaria una combinazione di isolamento dei sistemi colpiti, rimozione del malware e ripristino dei dati dai backup. In alcuni casi, le vittime hanno scelto di pagare il riscatto per riottenere l’accesso ai loro file.

Al momento, non sono state segnalate conseguenze legali sostanziali per gli attacchi Sodinokibi/REvil. Gli autori rimangono inafferrabili, illustrando le sfide che le forze dell’ordine devono affrontare nell’affrontare il problema globale del ransomware.

Conclusione

Rimanere al sicuro in un mondo digitale

Come abbiamo visto da questi attacchi ransomware, i criminali informatici sono sempre alla ricerca di modi per sfruttare le nostre vulnerabilità digitali. Tuttavia, possiamo fare molto per proteggere noi stessi e i nostri dati da queste minacce.

Innanzitutto, mantenga sempre aggiornati i suoi dispositivi. Gli aggiornamenti del software non riguardano solo l’aggiunta di nuove funzioni: spesso includono patch di sicurezza per proteggere dalle minacce conosciute. Ignorare questi aggiornamenti può lasciare i suoi dispositivi aperti agli attacchi.

In secondo luogo, consideri di investire in uno dei migliori software antivirus per Windows 11 come Norton, Bitdefender, McAfee, Panda o Kaspersky. Agisce come un guardiano digitale, scansionando continuamente i suoi dispositivi alla ricerca di eventuali segni di attività dannose. Si ricordi che è sempre meglio prevenire un attacco che affrontarne le conseguenze.

Informarsi sulla cybersecurity è un altro passo fondamentale. Sia consapevole delle minacce esistenti e impari a riconoscere i rischi potenziali. Un’e-mail sospetta, un link dall’aspetto strano o un allegato inaspettato potrebbero essere l’esca di un criminale informatico.

Ecco alcune risorse di fiducia sulla cybersecurity e rapporti ufficiali dove può saperne di più:

1. Centro nazionale di sicurezza informatica (NCSC)
2. Federal Bureau of Investigation – Internet Crime Complaint Center (IC3)
3. U.S. Computer Emergency Readiness Team (US-CERT)
4. Agenzia dell’Unione Europea per la sicurezza informatica (ENISA)
5. Centro australiano per la sicurezza informatica (ACSC)

Nell’era digitale, la conoscenza è potere. Rimanere informati sulle minacce informatiche e praticare una buona igiene digitale può contribuire a mantenere i suoi dati sicuri e protetti. Si ricordi che nella battaglia contro il ransomware, ognuno di noi ha un ruolo da svolgere. Rimanga al sicuro!