Ransomware

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca
Immagine di un ransomware

Un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano all'utente di pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.

Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo.[1][2][3] Nel giugno 2013, la casa software McAfee, specializzata in software di sicurezza, ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250 000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell'anno precedente.[4] CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.[5]

Il primo ransomware noto fu il trojan AIDS, noto anche come "PC Cyborg", scritto nel 1989 dal biologo Joseph Popp, che eseguiva un payload il quale mostrava all'utente un messaggio in cui si diceva che la licenza di un qualche software installato era scaduta, criptava i file dell'hard disk e obbligava l'utente a pagare 189 dollari alla "PC Cyborg Corporation" per sbloccare il sistema. Popp fu dichiarato incapace di intendere e di volere e non fu processato, ma promise di devolvere i proventi del malware alla ricerca per la cura dell'AIDS.[6] L'idea di usare la crittografia a chiave pubblica per tali attacchi fu introdotta nel 1996 da Adam L. Young e Moti Yung. I due credevano che il trojan AIDS fosse poco efficace perché usava la crittografia simmetrica, e per esercizio di stile presentarono un criptovirus per il Macintosh SE/30 che usava algoritmi RSA e TEA. Young e Yung definirono questo attacco un'"estorsione crittovirale", un attacco virus dichiarato, che appartiene alla classe di attacchi definita crittovirologia e definisce sia gli attacchi manifesti sia quelli nascosti.[7]

Nel maggio 2005, alcuni esempi di estorsioni via ransomware divennero celebri[8], entro metà 2006, worm come Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, e MayArchive cominciarono a usare schemi di criptazione RSA molto più sofisticati, con chiavi di dimensione sempre maggiore. Gpcode.AG, identificato nel giugno 2006, era criptato con una chiave pubblica RSA a 660 bit.[9] Nel giugno 2008, fu scoperta una variante nota come Gpcode.AK. Era ritenuta impossibile da decrittare senza uno sforzo computazionale distribuito combinato, dal momento che utilizzava una chiave RSA a 1024 bit.[10][11][12][13]

I ransomware a criptazione ritornarono famosi verso la fine del 2013 grazie alla diffusione di CryptoLocker, che usava la piattaforma di valuta virtuale Bitcoin per incassare il denaro del riscatto. Nel dicembre 2013, ZDnet stimò (basandosi su informazioni relative alle transazioni su Bitcoin), che tra il 15 ottobre e il 18 dicembre gli operatori di CryptoLocker avevano incassato circa 27 milioni di dollari dagli utenti infetti.[14] A sua volta CryptoLocker ha ispirato una serie di imitatori (che attaccarono nei mesi successivi), tra cui CryptoLocker 2.0, CryptoDefense (quest'ultimo tuttavia, conteneva inizialmente una grossa falla che faceva sì che la chiave privata venisse memorizzata nel sistema infetto in un file modificabile dall'utente, dal momento che usava le API per la criptazione incluse in Windows),[15][16][17][18] e un worm prodotto per Network Attached Storage Synology scoperto nell'agosto 2014.[19]

Nell'agosto 2010, le autorità russe arrestarono dieci individui legati a un worm ransomware noto come WinLock. A differenza dei worm Gpcode precedenti, WinLock non usava meccanismi di criptazione, ma limitava l'accesso al sistema mostrando immagini pornografiche, e chiedeva agli utenti di mandare un SMS di pagamento (che costava circa 10 dollari) per ottenere il codice che permetteva di sbloccare i loro computer. La truffa colpì numerosi utenti in tutta la Russia e nei paesi vicini, fruttando al gruppo più di 16 milioni di dollari.[20][21]

Nel 2011 apparve un worm ransomware che imitava la notifica di attivazione prodotto di Windows, informando l'utente che l'installazione del sistema andava riattivata perché "[l'utente era] vittima di frode". Veniva quindi offerta l'opzione di attivazione online (come accade normalmente nel processo di attivazione di Windows), ma che si rivelava poi non disponibile, e costringeva quindi l'utente a telefonare a uno di sei possibili numeri internazionali per inserire il codice a 6 cifre. Nonostante il malware affermasse che la chiamata fosse gratuita, essa veniva instradata verso un operatore truffa in una nazione con elevate tariffe telefoniche, che metteva la chiamata in attesa, addebitando all'utente elevati costi dovuti a lunghe chiamate internazionali.[22]

Nel febbraio 2013 apparve un worm ransomware basato sull'exploit kit Stamp.EK: il malware venne distribuito attraverso siti internet ospitati da servizi di hosting come SourceForge e GitHub che affermavano di offrire "falsi scatti di nudo" di varie celebrità.[23] Nel luglio 2013 emerse un ransomware specifico per macOS, che mostrava una pagina web che accusava l'utente di aver scaricato materiale pornografico. A differenza dei worm simili che operavano su Windows, non bloccava l'intero computer, ma semplicemente sfruttava alcuni comportamenti del browser stesso (clickjacking) per impedire la normale chiusura delle pagine con un click.[24]

Sempre nel luglio 2013, un uomo di 21 anni della Virginia (il cui computer conteneva effettivamente foto pornografiche di una ragazza minorenne con cui aveva intrattenuto comunicazioni inopportune), si consegnò alla polizia dopo essere stato ingannato da un ransomware che mostrava un falso messaggio dell'FBI che lo accusava di possedere materiale pedopornografico. Un'indagine fece emergere le foto incriminanti e l'uomo fu accusato di abusi su minori e possesso di materiale pedopornografico.[25]

Funzionamento

[modifica | modifica wikitesto]

I ransomware tipicamente si diffondono come i trojan, dei malware worm, penetrando nel sistema attraverso, ad esempio, un file scaricato o una vulnerabilità nel servizio di rete. Il software eseguirà poi un payload, che ad esempio cripterà i file personali sull'hard disk.[7][26][27] I ransomware più sofisticati utilizzano sistemi ibridi di criptazione (che non necessitano di condivisione di chiavi fra i due utenti) sui documenti della vittima, adottando una chiave privata casuale e una chiave pubblica fissa. L'autore del malware è l'unico a conoscere la chiave di decriptazione privata. Alcuni ransomware eseguono un payload che non cripta, ma è semplicemente un'applicazione che limita l'interazione col sistema, agendo sulla shell di Windows e rendendola non operativa e controllata dal malware stesso,[28] o addirittura modificando il master boot record e/o la tabella di partizione (il che impedisce l'avvio del sistema operativo finché non viene riparata).[29]

I payload dei ransomware fanno anche uso di scareware per estorcere denaro all'utente del sistema. Il payload potrebbe ad esempio mostrare notifiche che credibilmente potrebbero essere state inviate dalla polizia federale o da varie compagnie, le quali affermano falsamente che il sistema sia stato usato per attività illegali o che contenga materiale illegale, pornografico o piratato.[20][30] Altri payload imitano le notifiche di attivazione prodotto di Windows XP, affermando che il computer potrebbe montare una distribuzione di Windows contraffatta, che va quindi riattivata.[22] Queste tattiche forzano l'utente a pagare l'autore del malware per rimuovere il ransomware, sia con un programma che decritti i file criptati, sia con un codice di sblocco che elimini le modifiche fatte dal ransomware. Questi pagamenti di solito vengono effettuati tramite bonifico, con sottoscrizione via SMS,[31], con un pagamento online attraverso un servizio voucher come Ukash o Paysafecard,[1][32][33] o, più recentemente, tramite Bitcoin (la valuta digitale).[15][34]

Esempi notevoli

[modifica | modifica wikitesto]

Reveton, uno dei più noti worm ransomware, cominciò a diffondersi nel 2012. Basato sul trojan Citadel (che era a sua volta basato sul trojan Zeus), il suo payload mostrava un avviso che sembrava provenire dalla polizia federale (da cui prese il nome "trojan della polizia"), affermando che il computer era stato utilizzato per attività illegali (ad esempio per il download di software pirata o di materiale pedopornografico).[35] L'avviso informava l'utente che per sbloccare il loro sistema avrebbe dovuto pagare una multa usando un voucher di un servizio di credito prepagato anonimo, per esempio Ukash o Paysafecard. Per rendere maggiore l'illusione che il computer fosse sotto controllo della polizia federale, lo schermo mostrava anche l'Indirizzo IP della macchina, e alcune versioni mostravano addirittura dei filmati della webcam del PC per far sembrare che l'utente fosse anche ripreso dalla polizia.[1][36]

Reveton si diffuse inizialmente in Europa all'inizio del 2012.[1] Alcune varianti localizzate si differenziavano per il logo dell'agenzia federale mostrato, che variava in base alla nazionalità dell'utente: ad esempio le varianti usate nel Regno Unito riportavano il logo del Metropolitan Police Service, o della PRS for Music (una società di gestione collettiva di diritti d'autore), che accusava l'utente di aver scaricato illegalmente dei file musicali, o ancora il logo della Police National E-Crime Unit.[37] In una dichiarazione per avvisare la popolazione riguardo al malware, la Metropolitan Police affermò che non avrebbero mai bloccato un computer in quel modo nel corso di un'indagine.[1][30]

Nel maggio 2012 i ricercatori della Trend Micro che investigavano su potenziali minacce scoprirono varianti destinate agli Stati Uniti d'America e al Canada, il che fece pensare che gli autori potevano aver pianificato di colpire anche utenti del Nord America.[38] Per l'agosto del 2012 una nuova variante di Reveton comparve negli USA: comunicava il dovuto pagamento di una multa di 200 dollari all'FBI, da effettuare usando una MoneyPak card.[2][3][36] Nel febbraio 2013, un cittadino russo fu arrestato a Dubai dalle autorità spagnole per la sua connessione con una cerchia criminale che sfruttava Reveton; dieci altri individui furono arrestati con l'accusa di riciclaggio.[39]

Nell'agosto 2014 Avast! dichiarò che erano state trovate nuove varianti di Reveton che nel loro payload contenevano anche malware per sottrarre le password del sistema.[40]

Lo stesso argomento in dettaglio: CryptoLocker.

Questo worm ransomware a criptazione apparve nel settembre 2013: generava una coppia di chiavi RSA a 2048 bit, le caricava su un server command-and-control e criptava i file con estensioni contenute in una particolare whitelist. Il malware minacciava poi di cancellare la chiave privata se entro tre giorni dall'infezione non fosse stato versato un pagamento tramite Bitcoin o tramite voucher prepagati.

A causa della dimensione notevole delle chiavi, gli analisti, e tutti coloro colpiti dal worm, ritennero Cryptolocker estremamente difficile da eradicare.[34][41][42][43] Anche dopo la scadenza stabilita, si poteva comunque ottenere la chiave privata utilizzando uno strumento online (il prezzo tuttavia era aumentato di 10 Bitcoins, ovvero circa 2 300 dollari[44][45]).

CryptoLocker fu isolato a seguito dell'annientamento del botnet Gameover ZeuS, annunciato ufficialmente dal Dipartimento di Giustizia statunitense il 2 giugno 2014. Il dipartimento iscrisse al registro degli indagati l'hacker russo Evgeniy Bogachev a causa del suo presunto coinvolgimento nella diffusione e sviluppo del botnet. [46][47]

Si stima che prima della sua rimozione il malware abbia estorto almeno 3 milioni di dollari.[5]

CryptoLocker.F e TorrentLocker

[modifica | modifica wikitesto]

Nel settembre 2014 si sviluppò una nuova ondata di malware nota con il nome di "CryptoWall" e "CryptoLocker" (slegata però dall'originale CryptoLocker, nonostante il nome, come nel caso di CryptoLocker 2.0), che colpì soprattutto utenti in Australia. Il worm si diffondeva attraverso e-mail fraudolenti, che si mostravano come notifiche di mancata consegna di pacchi da parte della ditta postale Australia Post; per evitare di venir identificati dagli scanner automatici che verificano se i link contenuti in una pagina conducono a malware, questa variante prevedeva che l'utente visitasse una pagina e digitasse un codice CAPTCHA prima di scaricare il payload (Symantec ha stabilito che questa nuova variante, nota come "CryptoLocker.F", sia slegata dal worm CryptoLocker originale, poiché ha un modo diverso di operare[48][49]). Una vittima illustre di tale worm fu la Australian Broadcasting Corporation; i loro programmi in diretta sul canale di notizie ABC News 24 fu interrotto per mezz'ora e spostato negli studi di Melbourne a causa dell'infezione di CryptoWall nei computer degli studi di Sydney.[50][51][52]

Un'altra forma di worm di questa ondata, TorrentLocker, conteneva inizialmente un difetto di progettazione simile a quello di CryptoDefense; usando lo stesso keystream per ogni computer infetto, rendeva facile la risoluzione del problema. Purtroppo questo difetto venne successivamente sistemato.[16] Si stima che prima della fine di novembre 2014, più di 9 000 utenti siano stati infettati da TorrentLocker soltanto in Australia (secondi solo alla Turchia, in cui si registrarono 11 700 infezioni).[53]

Lo stesso argomento in dettaglio: WannaCry.

Venerdì 12 maggio 2017 ha iniziato a diffondersi in tutto il mondo un'ondata di ransomware che ha infettato oltre 230 000 computer in 150 paesi, con richieste di riscatto in BitCoin in 28 lingue differenti. Europol lo ha definito come il più grande attacco ransomware di sempre.[54] L'attacco di WannaCry non si è diffuso tramite email come i precedenti, ma ha sfruttato un exploit Windows sviluppato dalla NSA e chiamato EternalBlue[55].

Lockbit è unanimemente riconosciuto come il ransomware attualmente più prolifico e dannoso al mondo. Nel 2022 in testa alla classifica come numero di attacchi e danni in miliardi di euro. In Italia ben 50 procedimenti penali aperti nel 2023, tra questi attacchi al comune di Gorizia e all'Agenzia delle Entrate. Il successo grazie ad un’attività di “ransomware-as-a-service“ che concede in licenza il proprio codice agli affiliati che lanciano a loro volta gli attacchi informatici. [56]

Il 19 febbraio 2024 la National Crime Agency coordinata da Europol è riuscita a bloccare i siti di Lockbit battendo gli hacker sul loro stesso campo, ossia hackerandoli. [57]

Come altre forme di malware, i software per la sicurezza potrebbero non rilevare un payload di ransomware, o, specialmente nel caso di payload che producono la criptazione dei dati, riconoscerli mentre la criptazione è già in corso o completata, soprattutto se trattasi di nuove versioni sconosciute.[58]

Se si sospetta che un attacco sia in corso o se esso viene rilevato nelle sue fasi iniziali, dal momento che la criptazione richiede qualche tempo prima di essere eseguita, la rimozione immediata del malware (un processo relativamente semplice) prima che sia del tutto completa potrebbe limitare i danni ai file.[59][60] Gli esperti di sicurezza hanno suggerito misure precauzionali per tutelarsi dai ransomware, come l'uso di software o di altre procedure di sicurezza per bloccare i payload noti prima della loro esecuzione, o il backup offline dei dati in aree non accessibili al malware.[34][61]

Il RaaS (Ransomware as a service) - è un modello di business che rende disponibile l'attività di Ransomware come un servizio tramite forme di pagamento a tariffa fissa, o con canone di affiliazione, o con canone di licenza una tantum. Tra i vari kit a disposizione i più famosi sono: Locky, Goliath, Shark, Stampado, Encryptor, Jokeroo e Lockbit.[62][63]

Mentre invece i gruppi criminali che hanno adottato questo modello sono Darkside, Blackmatter, REvil, Pinchy Spider.[64]

  1. ^ a b c d e (EN) Dunn John E., Ransom Trojans spreading beyond Russian heartland, su news.techworld.com, TechWorld, 9 marzo 2012. URL consultato il 25 maggio 2015 (archiviato dall'url originale il 2 luglio 2014).
  2. ^ a b (EN) New Internet scam: Ransomware..., su fbi.gov, FBI, 9 agosto 2012. URL consultato il 25 maggio 2015 (archiviato il 22 marzo 2015).
  3. ^ a b (EN) Citadel malware continues to deliver Reveton ransomware..., su ic3.gov, Internet Crime Complaint Center (IC3), 30 novembre 2012. URL consultato il 25 maggio 2015 (archiviato dall'url originale il 4 marzo 2017).
  4. ^ Update: McAfee: Cyber criminals using Android malware and ransomware the most, su InfoWorld. URL consultato il 16 settembre 2013 (archiviato il 2 luglio 2014).
  5. ^ a b Cryptolocker victims to get files back for free, BBC News, 6 agosto 2014. URL consultato il 18 agosto 2014 (archiviato il 9 agosto 2014).
  6. ^ Michael Kassner, Ransomware: Extortion via the Internet, su techrepublic.com, TechRepublic. URL consultato il 10 marzo 2012 (archiviato il 19 marzo 2012).
  7. ^ a b DOI10.1109/SECPRI.1996.502676
  8. ^ Susan Schaibly, Files for ransom, su networkworld.com, Network World, 26 settembre 2005. URL consultato il 17 aprile 2009 (archiviato dall'url originale il 19 ottobre 2013).
  9. ^ John Leyden, Ransomware getting harder to break, su theregister.co.uk, The Register, 24 luglio 2006. URL consultato il 18 aprile 2009 (archiviato il 23 agosto 2009).
  10. ^ Ryan Naraine, Blackmail ransomware returns with 1024-bit encryption key, su blogs.zdnet.com, ZDnet, 6 giugno 2008. URL consultato il 3 maggio 2009 (archiviato dall'url originale il 3 agosto 2008).
  11. ^ Robert Lemos, Ransomware resisting crypto cracking efforts, su securityfocus.com, SecurityFocus, 13 giugno 2008. URL consultato il 18 aprile 2009 (archiviato dall'url originale il 3 marzo 2016).
  12. ^ Brian Krebs, Ransomware Encrypts Victim Files With 1,024-Bit Key, su voices.washingtonpost.com, Washington Post, 9 giugno 2008. URL consultato il 16 aprile 2009 (archiviato il 31 maggio 2012).
  13. ^ Kaspersky Lab reports a new and dangerous blackmailing virus, su kaspersky.com, Kaspersky Lab, 5 giugno 2008. URL consultato l'11 giugno 2008 (archiviato dall'url originale il 2 aprile 2016).
  14. ^ Violet Blue, CryptoLocker's crimewave: A trail of millions in laundered Bitcoin, in ZDNet, 22 dicembre 2013. URL consultato il 23 dicembre 2013 (archiviato il 23 dicembre 2013).
  15. ^ a b CryptoDefense ransomware leaves decryption key accessible, su Computerworld, IDG. URL consultato il 7 aprile 2014 (archiviato l'8 aprile 2014).
  16. ^ a b Encryption goof fixed in TorrentLocker file-locking malware, su PC World. URL consultato il 15 ottobre 2014 (archiviato dall'url originale il 1º giugno 2018).
  17. ^ Cryptolocker 2.0 – new version, or copycat?, su WeLiveSecurity, ESET. URL consultato il 18 gennaio 2014 (archiviato dall'url originale il 22 novembre 2016).
  18. ^ New CryptoLocker Spreads via Removable Drives, su blog.trendmicro.com, Trend Micro. URL consultato il 18 gennaio 2014 (archiviato dall'url originale il 4 novembre 2016).
  19. ^ Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files, in ExtremeTech, Ziff Davis Media. URL consultato il 18 agosto 2014 (archiviato il 19 agosto 2014).
  20. ^ a b Robert McMillian, Alleged Ransomware Gang Investigated by Moscow Police, su pcworld.com, PC World. URL consultato il 10 marzo 2012 (archiviato il 25 dicembre 2011).
  21. ^ John Leyden, Russian cops cuff 10 ransomware Trojan suspects, su theregister.co.uk, The Register. URL consultato il 10 marzo 2012 (archiviato il 24 ottobre 2017).
  22. ^ a b Ransomware squeezes users with bogus Windows activation demand, su computerworld.com, Computerworld. URL consultato il 9 marzo 2012 (archiviato il 29 novembre 2011).
  23. ^ Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities, su TheNextWeb. URL consultato il 17 luglio 2013 (archiviato il 16 febbraio 2017).
  24. ^ New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn, su TheNextWeb. URL consultato il 17 luglio 2013 (archiviato il 3 gennaio 2017).
  25. ^ Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges, su Ars Technica. URL consultato il 31 luglio 2013 (archiviato il 30 luglio 2013).
  26. ^ Adam Young, Building a Cryptovirus Using Microsoft's Cryptographic API, in Jianying Zhou e Javier Lopez (a cura di), Information Security: 8th International Conference, ISC 2005, Springer-Verlag, 2005, pp. 389–401.
  27. ^ Adam Young, Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?, in International Journal of Information Security, vol. 5, n. 2, Springer-Verlag, 2006, pp. 67–76, DOI:10.1007/s10207-006-0082-7.
  28. ^ Ransomware: Fake Federal German Police (BKA) notice, su securelist.com, SecureList (Kaspersky Lab). URL consultato il 10 marzo 2012 (archiviato dall'url originale il 5 febbraio 2012).
  29. ^ And Now, an MBR Ransomware, su securelist.com, SecureList (Kaspersky Lab). URL consultato il 10 marzo 2012 (archiviato dall'url originale il 14 aprile 2012).
  30. ^ a b Police warn of extortion messages sent in their name, su hs.fi, Helsingin Sanomat. URL consultato il 9 marzo 2012 (archiviato dall'url originale il 14 marzo 2012).
  31. ^ Dancho Danchev, New ransomware locks PCs, demands premium SMS for removal, su blogs.zdnet.com, ZDNet, 22 aprile 2009. URL consultato il 2 maggio 2009 (archiviato dall'url originale il 26 aprile 2009).
  32. ^ Ransomware plays pirated Windows card, demands $143, su computerworld.com, Computerworld. URL consultato il 9 marzo 2012 (archiviato il 19 ottobre 2011).
  33. ^ Jacqui Cheng, New Trojans: give us $300, or the data gets it!, su arstechnica.com, Ars Technica, 18 luglio 2007. URL consultato il 16 aprile 2009 (archiviato il 12 settembre 2011).
  34. ^ a b c You’re infected—if you want to see your data again, pay us $300 in Bitcoins, su Ars Technica. URL consultato il 23 ottobre 2013 (archiviato il 23 ottobre 2013).
  35. ^ Fake cop Trojan 'detects offensive materials' on PCs, demands money, su theregister.co.uk, The Register. URL consultato il 15 agosto 2012 (archiviato il 2 luglio 2017).
  36. ^ a b Reveton Malware Freezes PCs, Demands Payment, su informationweek.com, InformationWeek. URL consultato il 16 agosto 2012 (archiviato dall'url originale il 18 agosto 2012).
  37. ^ John E. Dunn, Police alert after ransom Trojan locks up 1,100 PCs, su news.techworld.com, TechWorld. URL consultato il 16 agosto 2012 (archiviato dall'url originale il 2 luglio 2014).
  38. ^ Lucian Constantian, Police-themed Ransomware Starts Targeting US and Canadian Users [collegamento interrotto], su pcworld.com, PC World. URL consultato l'11 maggio 2012.
  39. ^ Reveton 'police ransom' malware gang head arrested in Dubai, su TechWorld. URL consultato il 18 ottobre 2014 (archiviato dall'url originale il 14 dicembre 2014).
  40. ^ 'Reveton' ransomware upgraded with powerful password stealer, su PC World. URL consultato il 18 ottobre 2014 (archiviato il 23 ottobre 2014).
  41. ^ Disk encrypting Cryptolocker malware demands $300 to decrypt your files, su Geek.com. URL consultato il 12 settembre 2013 (archiviato il 13 settembre 2013).
  42. ^ CryptoLocker attacks that hold your computer to ransom, su The Guardian. URL consultato il 23 ottobre 2013 (archiviato il 5 marzo 2017).
  43. ^ Destructive malware "CryptoLocker" on the loose - here's what to do, su Naked Security, Sophos. URL consultato il 23 ottobre 2013 (archiviato dall'url originale il 22 ottobre 2013).
  44. ^ CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service, su NetworkWorld. URL consultato il 5 novembre 2013 (archiviato il 5 novembre 2013).
  45. ^ CryptoLocker creators try to extort even more money from victims with new service, su PC World. URL consultato il 5 novembre 2013 (archiviato dall'url originale il 6 giugno 2018).
  46. ^ Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet, in Computerworld, IDG. URL consultato il 18 agosto 2014 (archiviato dall'url originale il 3 luglio 2014).
  47. ^ U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator, in Justice.gov, U.S. Department of Justice. URL consultato il 18 agosto 2014 (archiviato il 3 settembre 2014).
  48. ^ Australians increasingly hit by global tide of cryptomalware, su symantec.com, Symantec. URL consultato il 15 ottobre 2014 (archiviato dall'url originale il 16 giugno 2018).
  49. ^ Ben Grubb, Hackers lock up thousands of Australian computers, demand ransom, in Sydney Morning Herald, 17 settembre 2014. URL consultato il 15 ottobre 2014 (archiviato il 20 ottobre 2014).
  50. ^ Australia specifically targeted by Cryptolocker: Symantec, in ARNnet, 3 ottobre 2014. URL consultato il 15 ottobre 2014 (archiviato il 7 ottobre 2014).
  51. ^ Scammers use Australia Post to mask email attacks, in Sydney Morning Herald, 15 ottobre 2014. URL consultato il 15 ottobre 2014 (archiviato il 16 ottobre 2014).
  52. ^ Ransomware attack knocks TV station off air, su CSO. URL consultato il 15 ottobre 2014 (archiviato dall'url originale il 12 ottobre 2016).
  53. ^ Over 9,000 PCs in Australia infected by TorrentLocker ransomware, su CSO.com.au. URL consultato il 18 dicembre 2014 (archiviato l'11 novembre 2016).
  54. ^ (EN) Cyber-attack: Europol says it was unprecedented in scale, in BBC News, 13 maggio 2017. URL consultato il 15 maggio 2017 (archiviato il 14 maggio 2017).
  55. ^ Wannacry, ecco cos'è successo e come fermarlo | F-Hack, su f-hack.com. URL consultato il 15 maggio 2017 (archiviato dall'url originale il 13 giugno 2018).
  56. ^ Come LockBit è diventato il re dei ransomware, su guerredirete.it, Guerre di Rete, 9 maggio 2023.
  57. ^ Hackerati gli Hacker del Ransomware Lockbit, su riskcompliance.it, Risk & Compliance Platform Europe, 20 febbraio 2024.
  58. ^ Yuma Sun weathers malware attack, in Yuma Sun. URL consultato il 18 agosto 2014 (archiviato l'8 ottobre 2017).
  59. ^ Joshua Cannell, Cryptolocker Ransomware: What You Need To Know, last updated 06/02/2014, su Malwarebytes Unpacked. URL consultato il 19 ottobre 2013 (archiviato il 19 ottobre 2013).
  60. ^ Josh Leyden, Fiendish CryptoLocker ransomware: Whatever you do, don't PAY, su The Register. URL consultato il 18 ottobre 2013 (archiviato il 18 ottobre 2013).
  61. ^ Cryptolocker Infections on the Rise; US-CERT Issues Warning, su SecurityWeek, 19 novembre 2013. URL consultato il 18 gennaio 2014 (archiviato dall'url originale il 23 gennaio 2018).
  62. ^ Il Ransomware as a Service (RaaS), in tesly.it. URL consultato il 4 novembre 2011.
  63. ^ Ransomware LockBit, su kaspersky.it, 19 aprile 2023.
  64. ^ BlackMatter interrompe le attività (di nuovo), in punto-informatico.it. URL consultato il 4 novembre 2021.

Voci correlate

[modifica | modifica wikitesto]

Altri progetti

[modifica | modifica wikitesto]

Collegamenti esterni

[modifica | modifica wikitesto]