Crittografati e alle strette: nel mondo del ransomware Bert
Table of Contents
Cos'è il ransomware Bert?
Bert è un tipo di ransomware che prende di mira gli utenti crittografando i loro file e impedendo loro di accedere ai propri dati. Rinomina ogni file con un indicatore specifico, aggiungendo l'estensione ".encryptedbybert". Ad esempio, un file precedentemente denominato "document.pdf" diventa "document.pdf.encryptedbybert", segnalando che il contenuto non è più accessibile senza una chiave di decrittazione.
Insieme ai nomi dei file modificati, Bert lascia una richiesta di riscatto intitolata ".note.txt". Questa nota è più di un semplice avvertimento: è una comunicazione diretta da parte degli aggressori. Le vittime vengono informate che l'intera rete è stata compromessa, i loro dati crittografati e, cosa allarmante, che informazioni sensibili sono state rubate.
Ecco cosa dice la richiesta di riscatto:
Hello from Bert!
Your network is hacked and files are encrypted.
We download some important files from your network.Instructions for contacting our team:
Download the (Session) messenger (https://getsession.org) in messenger :ID 05149ef8a65c342bc76bad335ad3a314ec1321b18cdb6092667083b4e56a4dcb41xxxxxxxxxxxxxxxxxxxxxxxxxxx.onion our blog
Le richieste della nota di riscatto
A differenza di molte varianti di ransomware che offrono un contatto via email, Bert indirizza le vittime a comunicare tramite l'app Session utilizzando uno specifico ID Sessione. Questa scelta suggerisce il desiderio degli aggressori di maggiore anonimato e sicurezza. Il messaggio all'interno della nota in genere insiste sul fatto che l'unico modo per recuperare l'accesso ai file crittografati è pagare un riscatto per un servizio di decrittazione.
Questa tattica fa leva sull'urgenza e sulla paura. Tuttavia, è fondamentale ricordare che, anche dopo aver pagato, le vittime potrebbero non ricevere lo strumento di decrittazione promesso. In molti casi, gli aggressori si limitano a prendere il denaro e a sparire, rendendo il pagamento un azzardo con scarse probabilità di successo e conseguenze a lungo termine.
Cosa mirano a fare i programmi ransomware
Ransomware come Bert seguono un modello semplice ma distruttivo: crittografano i file della vittima, annunciano l'attacco e richiedono un pagamento in cambio del ripristino. Ciò che rende i ransomware particolarmente pericolosi è che possono colpire privati, aziende e persino istituzioni pubbliche, bloccando le operazioni e mettendo a rischio informazioni sensibili.
Bert aggiunge un ulteriore livello di pressione affermando di aver sottratto dati riservati dalla rete. Questo raddoppia la minaccia: non solo i file sono inaccessibili, ma potrebbero anche essere esposti, divulgati o venduti se il riscatto non viene pagato. Questo approccio a doppia minaccia sta diventando sempre più comune negli attacchi ransomware e sottolinea come i criminali informatici continuino a evolvere i loro metodi.
Le vittime possono ottenere un risarcimento senza pagare?
Risolvere un'infezione da ransomware Bert senza pagare gli aggressori dipende da diversi fattori. Se un utente conserva backup recenti e puliti, archiviati separatamente dalla rete infetta, può ripristinare il sistema senza dover interagire con i criminali. Inoltre, in rari casi, i ricercatori di sicurezza potrebbero sviluppare uno strumento di decrittazione gratuito, sebbene ciò non sia garantito.
Il primo passo per il ripristino è rimuovere completamente il ransomware dal sistema. Questo non sblocca i file crittografati, ma previene ulteriori danni e impedisce al malware di diffondersi ad altri dispositivi in rete. Senza un contenimento immediato, Bert può crittografare ulteriori file e potenzialmente infettare i sistemi connessi.
Come si diffonde Bert: un percorso familiare
Come altri ceppi di ransomware, Bert si basa fortemente sull'ingegneria sociale e su tattiche ingannevoli per diffondersi. Documenti dannosi, spesso mascherati da PDF, file Word o archivi ZIP, sono un metodo di infezione comune. Gli utenti possono riceverli tramite email di phishing o siti web fraudolenti, con istruzioni che li incoraggiano ad aprire i file o ad abilitare contenuti come le macro, che attivano il malware.
L'infezione può avvenire anche tramite unità USB infette, piattaforme di condivisione file, software pirata o persino falsi avvisi di aggiornamento di sistema. Il ransomware spesso sfrutta l'errore umano più delle vulnerabilità tecniche, rendendo la consapevolezza dell'utente un fattore chiave per la difesa.
Come proteggersi dal ransomware
Il modo migliore per difendersi da ransomware come Bert è combinare misure di sicurezza informatica proattive con misure di sicurezza tecniche. Innanzitutto, è importante eseguire backup regolari dei file importanti, preferibilmente in più posizioni, come unità esterne e servizi di archiviazione cloud. Questi backup devono essere scollegati dal sistema principale quando non vengono utilizzati, per evitare che vengano crittografati.
Altrettanto importante è mantenere un solido livello di sicurezza: utilizzare strumenti antivirus, mantenere il software aggiornato ed evitare download da fonti non verificate. Gli utenti dovrebbero inoltre essere cauti quando gestiscono email indesiderate, soprattutto quelle contenenti allegati o link. Minore è l'esposizione a contenuti potenzialmente infetti, minore è il rischio di un attacco.
In conclusione: non lasciare che il ransomware vinca
Il ransomware Bert ci ricorda ancora una volta la crescente sofisticazione e frequenza degli attacchi informatici odierni. Sebbene i suoi metodi seguano uno schema familiare – crittografia, minaccia, richiesta – introduce sfumature come il furto di dati e canali di messaggistica sicuri che lo rendono particolarmente invasivo.
Sebbene non esista un metodo garantito per il recupero dopo un attacco ransomware, consapevolezza e preparazione possono fare una differenza significativa. Comprendendo il funzionamento di malware come Bert e adottando solide strategie di prevenzione, gli utenti possono ridurre la propria vulnerabilità e aumentare le possibilità di recupero, senza dover finanziare attività criminali.
