Discussione Il ransomware è davvero un attacco così pericoloso?

czonta96

Utente Electrum
17 Gennaio 2022
194
60
119
199
Le skill di programmazione giocano un ruolo fondamentale nel ransomware developing. Alcuni ransomware sono meno pericolosi di altri, semplicemente perché l'attaccante non ha implementato delle contromisure per impedire al target di difendersi. Il ransomware prodotto da un professionista non vi lascia via di scampo, mentre il ransomware di uno script kiddie leaka la decryption key da qualche parte nel source code, dato che è stato sicuramente scaricato da qualcuno che lo ha scritto a scopo didattico, e non offensivo.
Tuttavia, esiste un trucchetto molto banale, sul quale la maggior parte delle persone urina sopra, per contrastare qualunque ransomware esistente. La risposta a tutte le vostre paure è una sola: BACKUP. TUTTI gli utenti che piangono per aver ricevuto un attacco ransomware, non comprendono il valore di effettuare un BACKUP settimanale dei file nel loro dispositivo. Anche se il dispositivo ormai è fregato (perché nei casi peggiori un ransomware può impedirvi anche di formattarlo e reinstallare tutto) se voi potete fare un Backup settimanale di tutti i vostri file, andrete a rendere inutile lo scopo primario per cui il ransomware è stato creato: criptare i vostri file, per impedirne l'accesso. Se avete il computer distrutto, non è un problema, se ne compra un altro. Su Internet potete reperire un cellulare o un PC di fascia media in vendita a prezzi davvero convenienti (e talvolta acquistabili a comode rate), ma i vostri file, ossia il bersaglio principale del ransomware, grazie al rito del backup saranno sempre con voi. Comprendete da questo momento l'importanza di effettuare backup quotidiani, e questo tipo di attacco sarà inutile, a prescindere dalle skill di programmazione che ci sono dietro.

Concludo con il dire, che un RAT (Remote Access Trojan) è sicuramente più pericoloso di un ransomware, in quanto non potete mai sapere quando, e come, questo tipo di malware vi va a colpire. Il vostro dispositivo potrebbe essere sotto attacco da un RAT da anni senza che ve ne rendiate conto. Non esiste attualmente nessun metodo davvero affidabile per rilevare, rimuovere, o prevenire un RAT fatto davvero molto bene, da professionisti, sia manualmente che con ausilio di altri tool. Puoi solo sperare che a un certo punto il tuo antivirus impari la signature e il behaviour pattern del file nefasto e lo cancelli. Ma in quel momento potrebbe essere già troppo tardi.
 

JunkCoder

Moderatore
5 Giugno 2020
1,066
20
906
458
Verissimo. Il problema che hanno molte aziende è che un sistema di backup non è così facile da creare e mettere in sicurezza per un grosso volume di dati, quindi succede che al momento dell'attacco magari i backup sono vecchi di una settimana e per quella grossa azienda perdere una settimana di lavoro + il tempo di ripristinare tutto, danno di immagine e rimettersi al passo è pesante e i dirigenti potrebbero decidere che conviene più pagare qualche milione di riscatto (i malviventi calcolano bene il valore del riscatto a priori e alcuni aprono un vero e proprio negoziato per rendere la scelta di pagare quella più "vantaggiosa"). Ancora peggio quando il sistema di backup non è fatto a dovere, perché le APT che impiegano ransomware spesso passano del tempo a mappare la rete e i dispositivi USB prima di iniziare la cifratura proprio per vedere se i backup sono a portata di tiro e quindi renderli inutilizzabili. Come puoi immaginare gestire TB o PB di backup aggiornati e protetti/offline non è cosa facile. Solo le aziende più attente alla sicurezza mettono in piedi sistemi di backup efficienti per questi casi perché farlo significa spendere molti soldi per altro personale, progettazione, implementazione, supporti di memoria, server extra ecc... Questo è il vero motivo per cui il ransomware fa ancora tanta paura a molte aziende e la farà ancora per un po'. Se vuoi una mia previsione in futuro quando la famiglia ransomware non sarà più profittevole lascerà il posto a wiper e information stealer.

Per fortuna mentre le aziende devono trovare soluzioni complesse, gli utenti privati invece sono al sicuro con un paio di backup su memorie esterne, dopotutto perdere qualche giorno di lavoro non avrà lo stesso impatto che su un'azienda.
 

czonta96

Utente Electrum
17 Gennaio 2022
194
60
119
199
Verissimo. Il problema che hanno molte aziende è che un sistema di backup non è così facile da creare e mettere in sicurezza per un grosso volume di dati, quindi succede che al momento dell'attacco magari i backup sono vecchi di una settimana e per quella grossa azienda perdere una settimana di lavoro + il tempo di ripristinare tutto, danno di immagine e rimettersi al passo è pesante e i dirigenti potrebbero decidere che conviene più pagare qualche milione di riscatto (i malviventi calcolano bene il valore del riscatto a priori e alcuni aprono un vero e proprio negoziato per rendere la scelta di pagare quella più "vantaggiosa"). Ancora peggio quando il sistema di backup non è fatto a dovere, perché le APT che impiegano ransomware spesso passano del tempo a mappare la rete e i dispositivi USB prima di iniziare la cifratura proprio per vedere se i backup sono a portata di tiro e quindi renderli inutilizzabili. Come puoi immaginare gestire TB o PB di backup aggiornati e protetti/offline non è cosa facile. Solo le aziende più attente alla sicurezza mettono in piedi sistemi di backup efficienti per questi casi perché farlo significa spendere molti soldi per altro personale, progettazione, implementazione, supporti di memoria, server extra ecc... Questo è il vero motivo per cui il ransomware fa ancora tanta paura a molte aziende e la farà ancora per un po'.

Per fortuna mentre le aziende devono trovare soluzioni complesse, gli utenti privati invece sono al sicuro con un paio di backup su memorie esterne, dopotutto perdere qualche giorno di lavoro non avrà lo stesso impatto che su un'azienda.
Grulli... Potrebbero spendere qualche milione per comprare supporti da 500 terabyte per i backup, piuttosto che per ottenere un decryptor che a 99% si inceppa (volutamente) e quei pochi file che ha decriptato manco funzionano più...