Ransomware ech0raix e DeadBolt: cosa sono e come proteggersi

Immagina di accendere il tuo computer collegato alla rete e scoprire che tutti i file sono stati criptati e sono inaccessibili o addirittura l’intero device è inaccessibile. Possibile, se si è vittima di un attacco ransomware DeadBolt o ech0raix, due ransomware che si stanno diffondendo e che provocano ingenti danni a chi si infetta.

Cos’è un ransomware

Un ransomware è un tipo di malware (software dannoso) progettato per criptare i file o il sistema informatico di una vittima e quindi richiedere un pagamento (un “ransom”, cioè un riscatto) per fornire la chiave di decriptazione o per ripristinare l’accesso ai dati o al sistema. In altre parole, un ransomware prende in ostaggio i dati o il sistema dell’utente e richiede un pagamento in cambio della liberazione.

Ecco di solito come funziona un attacco ransomware.

1. Infezione: il ransomware entra nel sistema dell’utente attraverso una varietà di mezzi, come allegati e-mail dannosi, link infetti, download di software compromessi o sfruttando vulnerabilità nel sistema.
2. Criptazione dei dati: una volta che il ransomware ha infettato il sistema, inizia a criptare i file dell’utente, rendendoli inaccessibili. I criminali informatici di solito utilizzano algoritmi di crittografia complessi che richiedono una chiave per decifrare i dati.
3. Richiesta di riscatto: dopo che i file sono stati crittografati con successo, il ransomware mostra un messaggio alla vittima, spesso sotto forma di un avviso sullo schermo o un file di testo, che chiede un pagamento in bitcoin o in un’altra criptovaluta. Questo messaggio solitamente include istruzioni su come effettuare il pagamento e quanto deve essere pagato.
4. Estorsione: i criminali informatici minacciano di distruggere o rendere permanentemente inaccessibili i dati se la vittima non paga il riscatto entro un determinato periodo di tempo. In alcuni casi, anche se la vittima paga il riscatto, i criminali potrebbero non fornire la chiave di decrittazione o continuare a chiedere ulteriori pagamenti.

È importante sottolineare che pagare il riscatto non è mai raccomandato, in quanto non garantisce il ripristino dei dati e finanzia le attività criminali. La migliore difesa contro il ransomware è prevenire l’infezione attraverso misure di sicurezza informatica solide, come l’installazione di software antivirus, la regolare esecuzione di backup dei dati e l’educazione degli utenti per evitare il phishing e altri metodi di infezione.

Cosa sono Deadbolt ech0raix Ransomware e come agiscono

Si tratta di tipologie di ransomware che colpisce principalmente i server NAS di aziende e organizzazioni, e che hanno fatto la loro prima comparsa nel 2021 quando hanno preso di mira i NAS della QNAP, azienda multinazionale con sede a Taiwan. Si è trattato di un attacco in grande stile, che potrebbe aver causato perdite di dati e danni in più di 300 mila dispositivi in tutto il mondo.

Facciamo però due passi indietro, partendo dal definire cosa è un NAS. La sigla sta per Network Attached Storage (NAS), cioè un dispositivo, collegato a una rete informatica, che fornisce all’utente il servizio di condivisione file tra più dispositivi connessi alla stessa rete. Questo dispositivo è formato al suo interno da diversi hard disk, singoli o multipli a seconda del modello, e permette, ad esempio, la condivisione di documenti aziendali oppure la possibilità per gli utenti di collegarsi su computer diversi sempre con il proprio profilo. QNAP è specializzata in soluzioni NAS commerciali per privati e aziende. I NAS, come molti dispositivi informatici, hanno differenti versioni, velocità e capacità di memoria, proprio perché sono diverse le esigenze delle varie imprese.

Ebbene, tornando all’attacco hacker, migliaia di utenti di NAS QNAP si sono trovati l’accesso al dispositivo bloccato e un preoccupante messaggio che diceva: “AVVERTENZA: i tuoi file sono stati bloccati da DeadBolt”. Di fatto, tutti i loro file erano stati crittografati e rinominati con una nuova estensione .deadbolt.  e i malcapitati venivano invitati a inviare 0,03 Bitcoin (più o meno 1000 euro) a un indirizzo wallet (cioè un portafoglio elettronico) che si è scoperto essere diverso a seconda della vittima. Se si effettuava il pagamento, l’hacker prometteva di inviare al wallet una chiave di decrittazione, invitando la vittima a seguire delle linee guida per poter decrittare i file. Tradotto: una volta ottenuta la chiave, è possibile ottenere di nuovo accesso ai propri file.

Come sempre ci piace sottolineare che quella di pagare è una scelta rischiosa, innanzitutto perché non c’è alcuna garanzia che effettivamente gli hacker mantengano la promessa. Soprattutto potrebbero aver avuto il tempo di copiare i file, oppure grazie alla decrittazione, potrebbero aver accesso ai file e quindi a copie fraudolente. Può sembrare strano, ma se pensiamo che in alcune reti aziendali sono custoditi dati importanti e documenti riservati (come le bozze di un accordo di acquisizione tra due grandi multinazionali che viene mantenuta sotto stretto riserbo), a volte gli hacker potrebbero avere dei veri e propri tesori di informazioni in grado di danneggiare le aziende.

In generale, i ransomware come Ech0raix e Deadbolt operano seguendo un modello di attacco schematico. Ecco come agiscono di solito.

1. Infezione: il ransomware entra nel sistema di destinazione sfruttando vulnerabilità del software, attacchi di phishing o altre tecniche di ingegneria sociale.
2. Criptazione dei dati: una volta che il ransomware ha infettato il sistema, crittografa i file, rendendoli inaccessibili. Gli autori del ransomware tengono la chiave di decriptazione necessaria per ripristinare i dati come “ostaggio” e chiedono un pagamento in criptovaluta per fornire questa chiave.
3. Richiesta di riscatto: i criminali informatici di solito mostrano un messaggio di riscatto che appare sullo schermo delle vittime o viene creato come file di testo all’interno delle cartelle colpite. Questo messaggio contiene istruzioni su come effettuare il pagamento del riscatto e minaccia di distruggere i dati se il pagamento non viene effettuato entro un certo periodo di tempo.
4. Estorsione: gli autori del ransomware cercano di costringere le vittime a pagare il riscatto minacciando di perdere i dati crittografati in modo permanente.

Come abbiamo precisato sopra, pagare il riscatto non è raccomandato. La migliore difesa contro i ransomware è prevenire l’infezione attraverso misure di sicurezza informatica solide, delle quali ti dirò di più nel prossimo paragrafo.

Come prevenire attacchi ransomware Deadbolt ech0raix?

In generale, quando si tratta di nuovi ransomware o malware, le organizzazioni e gli individui dovrebbero seguire alcune buone pratiche di sicurezza informatica per proteggersi, ecco le più importanti.

1. Mantenere il software aggiornato: assicurarsi che il sistema operativo, le applicazioni e gli antivirus siano sempre aggiornati con le ultime patch di sicurezza.
2. Backup dei dati: eseguire regolarmente backup dei dati critici e mantenerli offline o in un ambiente separato per prevenire la loro cifratura da parte del ransomware.
3. Evitare messaggi sospetti: non aprire allegati o cliccare su link da fonti non attendibili o sconosciute, poiché il ransomware spesso si diffonde attraverso e-mail di phishing o download dannosi.
4. Protezione antivirus/antimalware: utilizzare software antivirus o antimalware aggiornati e affidabili per rilevare e prevenire minacce informatiche.
5. Educazione degli utenti: educare gli utenti sull’importanza della sicurezza informatica e sulle pratiche di prevenzione, come l’identificazione del phishing.
6. Segnalare e rispondere prontamente: se sospettate di essere stati infettati da ransomware o da qualsiasi altro tipo di malware, è importante segnalare l’incidente al personale IT o alle autorità competenti e agire tempestivamente per isolare e rimuovere il malware.

Ricorda che il ransomware è un crimine informatico e dovrebbe essere segnalato alle autorità competenti. Le informazioni e le strategie di difesa possono variare a seconda del tipo specifico di ransomware, quindi è importante rimanere aggiornati sulle minacce informatiche attuali e consultare le risorse di sicurezza informatica affidabili per le ultime informazioni e suggerimenti di difesa.

Come recuperare i file criptati da DeadBolt Ransomware

I file criptati da ransomware come DeadBolt sono generalmente difficili da decrittografare senza la chiave di decrittazione fornita dai criminali informatici. Tuttavia, ci sono alcune opzioni che potresti esplorare nel tentativo di recuperare i tuoi file:

1. Ripristino da backup: se hai un backup dei tuoi dati prima dell’infezione da ransomware, puoi ripristinare i file da lì. È importante assicurarsi che il backup sia stato eseguito prima dell’infezione, altrimenti i file di backup potrebbero essere crittografati anch’essi. Esegui sempre backup regolari e conservali in un luogo sicuro.
2. Strumenti di decrittazione: in alcuni casi, i ricercatori di sicurezza e le aziende di sicurezza informatica possono sviluppare strumenti di decrittazione gratuiti che possono aiutare a recuperare i file criptati da determinate varianti di ransomware. Tuttavia, non esistono garanzie che tali strumenti siano disponibili per specifiche varianti di ransomware come DeadBolt. Puoi cercare strumenti di decrittazione affidabili online o consultare con esperti di sicurezza informatica per ulteriori informazioni.
3. Contatta le autorità: segnala l’attacco alle autorità competenti. Molti organismi governativi e forze dell’ordine stanno combattendo il crimine informatico e potrebbero avere risorse o suggerimenti per affrontare la situazione.
4. Evita il pagamento del riscatto: Non è consigliabile pagare il riscatto, poiché non vi è alcuna garanzia che i criminali informatici forniranno la chiave di decrittazione e pagare il riscatto finanzierà le loro attività illegali.
5. Consultazione con esperti: se i tuoi dati sono crittografati da un ransomware per il quale non esiste un metodo di decrittazione noto, puoi cercare assistenza da professionisti della sicurezza informatica o aziende specializzate nel recupero dei dati. Questi esperti possono valutare la situazione e offrire soluzioni personalizzate.

Sei stato colpito da DeadBolt e ech0raix ransomware? Rivolgiti ad un esperto per tentare un recupero dei dati. Oppure contattaci per mettere in pratica tutte le strategie di prevenzione.