Data di aggiornamento: 4 giugno 2024
Autore: Matteo Kosinski
Un ransomware è un tipo di malware che blocca i dati sensibili o il dispositivo di una vittima, minacciando di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto.
I primi attacchi ransomware chiedevano semplicemente un riscatto in cambio della chiave di crittografia necessaria per riottenere l'accesso ai dati interessati o per poter utilizzare di nuovo il dispositivo infetto. Effettuando backup dei dati continui o regolari, le organizzazioni possono limitare i costi derivanti da questi tipi di attacchi ransomware e spesso evitare di pagare la richiesta di riscatto.
Negli ultimi anni, gli attacchi ransomware si sono evoluti fino a includere attacchi a doppia e tripla estorsione che alzano notevolmente la posta in gioco, anche per le vittime che eseguono regolari backup dei dati o pagano la richiesta di riscatto iniziale.
Gli attacchi a doppia estorsione aggiungono la minaccia di rubare i dati della vittima e diffonderli online. Inoltre, gli attacchi a tripla estorsione minacciano di utilizzare i dati rubati per attaccare i clienti o i partner commerciali della vittima.
Il ransomware è una delle forme più comuni di software dannoso e gli attacchi ransomware possono costare alle organizzazioni colpite milioni di dollari.
Nel 2023, il 20% di tutti gli attacchi informatici registrati dall'IBM® X-Force Threat Intelligence Index coinvolgeva il ransomware. E questi attacchi avanzano rapidamente. Quando gli hacker riescono ad accedere a una rete, bastano meno di quattro giorni per distribuire il ransomware. In questo modo, le organizzazioni hanno poco tempo per rilevare e contrastare potenziali attacchi.
Le vittime di ransomware e i negoziatori sono riluttanti a divulgare gli importi dei riscatti, tuttavia i criminali informatici chiedono spesso somme a sette e otto cifre. Inoltre, il pagamento del riscatto rappresenta solo una parte del costo totale di un’infezione da ransomware. Secondo il report IBM Cost of a Data Breach, il costo medio di un attacco ransomware ammonta a 5,68 milioni di dollari, ai quali si aggiunge il costo del riscatto.
Alla luce di ciò, i team di cybersecurity stanno diventando più esperti nel combattere il ransomware. L'X-Force Threat Intelligence Index ha rilevato che le infezioni da ransomware sono diminuite del 11,5% tra il 2022 e il 2023, probabilmente a causa dei miglioramenti nel rilevamento e nella prevenzione delle minacce.
Migliora le tue conoscenze e ripensa il tuo piano di risposta agli incidenti per rafforzare le difese della tua organizzazione contro i ransomware.
Registrati per il report Cost of a Data Breach
Richiedi il report X-Force Cloud Threat Landscape 2024
Ci sono due tipi generali di ransomware. Il tipo più comune, chiamato ransomware di crittografia o ransomware crittografico, tiene in ostaggio i dati della vittima crittografandoli. L'aggressore richiede quindi un riscatto in cambio della fornitura della chiave di crittografia necessaria per decrittare i dati.
La forma meno comune di ransomware, chiamata ransomware non crittografico o ransomware con blocco dello schermo, blocca l'intero dispositivo della vittima, solitamente bloccandone l'accesso al sistema operativo. Invece di avviarsi come al solito, il dispositivo visualizza una schermata con la richiesta di riscatto.
Questi due tipi generali rientrano nelle seguenti categorie secondarie:
Il leakware o doxware è un ransomware che ruba o esfiltra dati sensibili e minaccia di divulgarli. Mentre le forme precedenti di leakware o doxware spesso rubavano dati senza crittografarli, le varianti odierne di solito fanno entrambe le cose.
I ransomware per dispositivi mobili includono tutti i ransomware che influiscono sui dispositivi mobili. Distribuiti tramite applicazioni dannose o download drive-by, la maggior parte dei ransomware per dispositivi mobili sono di tipo non crittografico. Gli hacker preferiscono gli screen locker per gli attacchi a dispositivi mobili perché i backup automatici dei dati sul cloud, presenti di default su molti dispositivi mobili, facilitano l'inversione degli attacchi di crittografia.
I wiper, o ransomware distruttivi, minacciano di distruggere i dati se la vittima non paga il riscatto. In alcuni casi, il ransomware distrugge i dati anche se la vittima paga. Quest'ultimo tipo di wiper è spesso utilizzato da attori o hacker attivisti che operano a livello di nazione o stato piuttosto che da criminali informatici comuni.
Lo scareware, come dice il suo nome, è un ransomware che cerca di spaventare gli utenti inducendoli a pagare un riscatto. Lo scareware potrebbe presentarsi come un messaggio inviato da un'agenzia delle forze dell'ordine che accusa la vittima di un crimine e richiede il pagamento di una multa. In alternativa, potrebbe falsificare un avviso legittimo di infezione da virus, incoraggiando la vittima ad acquistare un ransomware mascherato da software antivirus.
A volte, lo scareware è il ransomware, che cripta i dati o blocca il dispositivo. In altri casi, è il vettore del ransomware, che non cripta nulla ma costringe la vittima a scaricare il ransomware.
Gli attacchi ransomware possono utilizzare diversi metodi o vettori per infettare una rete o un dispositivo. Alcuni dei più importanti vettori di infezione da ransomware includono:
Gli attacchi di ingegneria sociale inducono le vittime a scaricare e avviare file eseguibili che si rivelano essere ransomware. Ad esempio, un'e-mail di phishing potrebbe contenere un allegato dannoso camuffato da file .pdf, documento Microsoft Word o altro file dall'aspetto innocuo.
Gli attacchi di ingegneria sociale potrebbero anche indurre gli utenti a visitare un sito web dannoso o a scansionare codici QR dannosi che trasmettono il ransomware attraverso il browser web dell'utente.
I criminali informatici spesso sfruttano le vulnerabilità esistenti per introdurre codice dannoso in un dispositivo o una rete.
Le vulnerabilità zero-day, ovvero vulnerabilità sconosciute alla comunità della sicurezza o identificate ma non ancora risolte, rappresentano una minaccia particolare. Alcuni gruppi ransomware acquistano informazioni sulle vulnerabilità zero-day da altri hacker per pianificare i loro attacchi. Gli hacker hanno anche utilizzato efficacemente le vulnerabilità patch come vettori di attacco, come nel caso dell'attacco WannaCry del 2017.
I criminali informatici possono rubare le credenziali degli utenti autorizzati, acquistarle sul dark web o violarle attraverso attacchi brute-force. Possono quindi utilizzare queste credenziali per accedere a una rete o a un computer e distribuire direttamente ransomware.
Il protocollo RDP (Remote Desktop Protocol), un protocollo proprietario sviluppato da Microsoft che consente agli utenti di accedere a un computer da remoto, è un obiettivo popolare per il furto di credenziali tra gli autori di attacchi ransomware.
Gli hacker utilizzano spesso malware sviluppati per altri attacchi per inviare un ransomware a un dispositivo. Gli attori delle minacce hanno utilizzato il trojan Trickbot, originariamente progettato per rubare credenziali bancarie, per diffondere la variante del ransomware Conti nel 2021.
Gli hacker possono utilizzare siti web per trasferire ransomware ai dispositivi all'insaputa degli utenti. I kit di exploit utilizzano siti web compromessi per scansionare i browser dei visitatori alla ricerca di vulnerabilità delle applicazioni web da poter utilizzare per immettere il ransomware in un dispositivo.
Il malvertising, ovvero annunci digitali legittimi che sono stati compromessi dagli hacker, può trasmettere il ransomware ai dispositivi anche se l'utente non fa clic sull'annuncio.
I criminali informatici non devono necessariamente sviluppare il proprio ransomware per sfruttare questi vettori. Alcuni sviluppatori di ransomware condividono il proprio codice malware con i criminali informatici tramite accordi ransomware as a service (RaaS).
Il criminale informatico, o "affiliato", utilizza il codice per eseguire un attacco e divide la cifra del riscatto con lo sviluppatore. È una relazione vantaggiosa per entrambi. Gli affiliati possono trarre profitto dalle estorsioni senza dover sviluppare il proprio malware e gli sviluppatori possono aumentare i profitti senza lanciare ulteriori attacchi informatici.
I distributori di ransomware possono vendere ransomware attraverso i mercati digitali sul dark web. Possono anche reclutare affiliati direttamente attraverso forum online o metodi simili. Grandi gruppi di ransomware hanno investito ingenti somme di denaro per attrarre affiliati.
Un attacco ransomware si svolge generalmente in queste fasi.
Secondo la Guida completa al ransomware di IBM® Security, i vettori più comuni per gli attacchi ransomware sono il phishing, lo sfruttamento delle vulnerabilità e la compromissione dei protocolli di accesso remoto come RDP.
A seconda del vettore di accesso iniziale, gli hacker potrebbero distribuire uno strumento di accesso remoto intermediario (RAT) o un altro malware per facilitare l'insediamento nel sistema bersaglio.
Durante questa terza fase, gli aggressori si concentrano sulla comprensione del sistema e del dominio locale a cui hanno accesso. Gli aggressori lavorano anche per ottenere l'accesso ad altri sistemi e domini, secondo un processo chiamato movimento laterale.
In questo caso gli operatori del ransomware si concentrano sull'identificazione di dati preziosi e sulla loro estrapolazione (furto), di solito scaricandone o esportandone una copia per sé.
Sebbene gli aggressori possano esfiltrare tutti i dati a cui possono accedere, di solito si concentrano su dati particolarmente preziosi (credenziali di accesso, informazioni personali dei clienti, proprietà intellettuale) che possono utilizzare per una doppia estorsione.
Il ransomware crittografico inizia a identificare e crittografare i file. Alcuni ransomware crittografici disabilitano anche le funzioni di ripristino del sistema, oppure eliminano o criptano i backup sul computer o sulla rete della vittima per indurre ulteriormente la vittima a pagare per la chiave di decodifica.
Il ransomware non crittografico blocca lo schermo del dispositivo, lo inonda di pop-up o impedisce in altro modo alla vittima di utilizzare il dispositivo.
Quando i file sono stati crittografati o il dispositivo è stato reso inutilizzabile, il ransomware avvisa la vittima dell'infezione. Spesso questa notifica viene inviata tramite un file .txt depositato sul desktop del computer o tramite una finestra pop-up.
La richiesta di riscatto contiene istruzioni su come effettuare il pagamento, solitamente in criptovaluta o con un metodo altrettanto non tracciabile. Il pagamento è in cambio di una chiave di decrittografia o di un ripristino delle operazioni standard.
Ad oggi, i ricercatori di cybersecurity hanno identificato migliaia di varianti di ransomware distinte, o "famiglie", ovvero ceppi unici con firme e funzioni di codice proprie.
Diversi ceppi di ransomware si distinguono soprattutto per l'entità dei danni che arrecano, per il modo in cui hanno influenzato lo sviluppo del ransomware o per la minaccia che rappresentano oggi.
CryptoLocker
Apparso per la prima volta nel settembre 2013, CryptoLocker è ampiamente riconosciuto come il precursore dei ransomware dell'era moderna.
Diffusa attraverso una botnet (rete di computer compromessi), CryptoLocker è stata una delle prime famiglie di ransomware a criptare fortemente i file degli utenti. Il gruppo ha estorto circa 3 milioni di dollari prima che le forze dell’ordine internazionali interrompessero la loro attività nel 2014.
Il successo di CryptoLock ha generato numerosi imitatori, aprendo la strada a varianti come WannaCry, Ryuk e Petya.
WannaCry
WannaCry, il primo cryptoworm di alto profilo in grado di diffondersi ad altri dispositivi di una rete, ha attaccato oltre 200.000 computer in 150 paesi. I computer coinvolti erano vulnerabili perché gli amministratori avevano trascurato di applicare le patch per la vulnerabilità EternalBlue di Microsoft Windows.
Oltre a criptare i dati sensibili, il ransomware WannaCry minacciava di cancellare i file se le vittime non avessero inviato il pagamento entro sette giorni. Rimane uno dei più grandi attacchi di ransomware eseguiti finora, con costi stimati fino a 4 miliardi di dollari.
Petya e NotPetya
A differenza di altri ransomware crittografici, Petya crittografa la tabella del file system piuttosto che i singoli file, rendendo il computer infetto incapace di avviare Windows.
Una versione pesantemente modificata, NotPetya, è stata utilizzata per effettuare un attacco informatico su larga scala, principalmente contro l'Ucraina, nel 2017. NotPetya era un wiper incapace di sbloccare i sistemi anche dopo che le vittime avevano pagato.
Ryuk
Avvistato per la prima volta nel 2018, Ryuk ha reso popolari gli attacchi ransomware di grande entità contro obiettivi specifici di alto valore e con richieste di riscatto medie superiori a 1 milione di dollari. Ryuk è in grado di individuare e disabilitare i file di backup e le funzioni di ripristino del sistema. Nel 2021 è apparso un nuovo ceppo con capacità di cryptoworm.
Lato Oscuro
Gestita da un gruppo sospettato di operare dalla Russia, DarkSide è la variante del ransomware che ha attaccato la Colonial Pipeline il 7 maggio 2021. In quello che molti considerano il peggior attacco informatico alle infrastrutture critiche degli Stati Uniti fino ad oggi, DarkSide ha temporaneamente chiuso l'oleodotto che fornisce il 45% del carburante della costa orientale.
Oltre a eseguire attacchi diretti, il gruppo DarkSide concede in licenza il proprio ransomware agli affiliati tramite accordi RaaS.
Locky
Locky è un ransomware crittografico con un metodo di infezione ben preciso: utilizza macro nascoste negli allegati e-mail (file Microsoft Word) mascherate da fatture legittime. Quando un utente scarica e apre il documento di Microsoft Word, le macro nocive scaricano segretamente il payload del ransomware sul dispositivo dell'utente.
REvil
REvil, noto anche come Sodin o Sodinokibi, ha contribuito a rendere popolare l’approccio RaaS alla distribuzione del ransomware.
Conosciuto per l'uso nella "caccia grossa" e negli attacchi a doppia estorsione, REvil è stato responsabile degli attacchi del 2021 contro JBS USA e Kaseya Limited. JBS ha pagato un riscatto di 11 milioni di dollari dopo che gli hacker hanno interrotto l'intera operazione di lavorazione della carne bovina negli Stati Uniti. Le significative interruzioni delle attività hanno interessato più di 1.000 clienti software di Kaseya.
Il servizio di sicurezza federale russo ha riferito di aver smantellato REvil e condannato molti dei suoi membri all’inizio del 2022.
Conti
Osservata per la prima volta nel 2020, la banda Conti gestiva un ampio schema RaaS in cui pagava agli hacker un salario regolare per utilizzare il suo ransomware. Conti utilizzava una forma unica di doppia estorsione in cui la banda minacciava di vendere l'accesso alla rete di una vittima ad altri hacker se la vittima non avesse pagato.
Conti si è sciolta dopo che i registri delle chat interne della banda sono trapelati nel 2022, ma molti ex membri sono ancora attivi nel mondo del crimine informatico. Secondo l'X-Force Threat Intelligence Index, degli ex membri di Conti sono stati associati ad alcune delle varianti di ransomware più diffuse oggi, tra cui BlackBasta, Royal e Zeon.
LockBit
LockBit, una delle varianti di ransomware più comuni nel 2023 secondo l' X-Force Threat Intelligence Index, si distingue per il comportamento professionale dei suoi sviluppatori. Il gruppo LockBit è noto per l'acquisizione di altri ceppi di malware proprio come le aziende legittime acquisiscono altre aziende.
Nonostante le forze dell'ordine abbiano sequestrato alcuni dei siti web di LockBit nel febbraio 2024 e il governo degli Stati Uniti abbia imposto sanzioni a uno dei leader della banda, LockBit continua a mietere vittime.
Le richieste di riscatto variano notevolmente e molte vittime scelgono di non divulgare l'entità della somma pagata, quindi è difficile determinare l'importo medio dei riscatti pagati. In ogni caso, la maggior parte delle stime lo colloca nell'intervallo tra le sei e le sette cifre. Secondo la Guida completa al ransomware, gli autori degli attacchi hanno chiesto pagamenti di riscatto fino a 80 milioni di dollari.
È importante notare che la percentuale di vittime che pagano un riscatto è diminuita drasticamente negli ultimi anni. Secondo la società di risposta agli incidenti di estorsione informatica Coveware, solo il 37% delle vittime ha pagato un riscatto nel 2023, rispetto al 70% del 2020.1
Secondo gli esperti, il potenziale fattore alla base di questa inversione è una migliore preparazione riguardo alla criminalità informatica, che include maggiori investimenti in backup dei dati, piani di risposta agli incidenti e tecnologia di prevenzione e rilevamento delle minacce.
Indicazioni dalle forze dell'ordine
Le forze dell'ordine federali statunitensi scoraggiano all'unanimità le vittime di ransomware dal pagare richieste di riscatto. Secondo la National Cyber Investigative Joint Task Force (NCIJTF), una coalizione di 20 agenzie federali statunitensi incaricate di investigare le minacce informatiche:
“L’FBI non incoraggia il pagamento di un riscatto a soggetti criminali. Il pagamento di un riscatto può incoraggiare gli avversari a prendere di mira altre organizzazioni, incoraggiare altri criminali a impegnarsi nella distribuzione di ransomware e/o finanziare attività illecite. Inoltre, il pagamento del riscatto non garantisce che i file della vittima vengano recuperati”.
Le forze dell'ordine raccomandano alle vittime di ransomware di segnalare gli attacchi alle autorità competenti, come l'Internet Crime Complaint Center (IC3) dell'FBI, prima di pagare un riscatto.
Alcune vittime di attacchi ransomware hanno l'obbligo legale di segnalare le infezioni da ransomware indipendentemente dal fatto che paghino un riscatto. Ad esempio, la conformità all'HIPAA richiede generalmente che le entità sanitarie segnalino qualsiasi violazione dei dati, compresi gli attacchi ransomware, al Department of Health and Human Services.
In determinate condizioni, il pagamento di un riscatto può essere illegale.
L'Office of Foreign Assets Control (OFAC) degli Stati Uniti ha dichiarato che il pagamento di un riscatto ad aggressori provenienti da Paesi sottoposti a sanzioni economiche statunitensi, come la Corea del Nord o l'Iran, costituisce una violazione alle normative OFAC e potrebbe comportare sanzioni civili, multe o accuse penali.
Alcuni stati degli Stati Uniti, come la Florida e la Carolina del Nord, hanno reso illegale il pagamento di un riscatto da parte delle agenzie governative statali.
Gli esperti di cybersecurity e le agenzie federali come la Cybersecurity and Infrastructure Security Agency (CISA) e i servizi segreti statunitensi raccomandano alle organizzazioni di adottare misure precauzionali per difendersi dalle minacce ransomware. Queste misure possono includere:
- Esecuzione di backup dei dati sensibili e delle immagini di sistema, idealmente su dischi rigidi o altri dispositivi che il team IT può scollegare dalla rete in caso di attacco ransomware.
- Applicazione regolare di patch per aiutare a contrastare gli attacchi ransomware che sfruttano la vulnerabilità del software e del sistema operativo.
- Strumenti di cybersecurity quali software antimalware, strumenti di monitoraggio della rete, piattaforme di rilevamento e risposta degli endpoint (EDR) e sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) possono aiutare i team addetti alla sicurezza a intercettare il ransomware in tempo reale.
- Formazione sulla sicurezza informatica dei dipendenti per aiutare gli utenti a riconoscere ed evitare phishing, ingegneria sociale e altre tattiche che possono portare ad attacchi da ransomware.
- Implementazione di politiche di controllo degli accessi, tra cui l'autenticazione a più fattori, la segmentazione della rete e misure simili, può impedire al ransomware di raggiungere i dati sensibili. I controlli di gestione delle identità e degli accessi (IAM) possono anche impedire la diffusione dei cryptoworm ad altri dispositivi della rete.
- I piani formali di risposta agli incidenti consentono ai team addetti alla sicurezza di intercettare e risolvere le violazioni in minor tempo. Il report Cost of a Data Breach ha rilevato che le organizzazioni con piani formali e team dedicati di risposta agli incidenti identificano le violazioni 54 giorni più rapidamente rispetto alle organizzazioni che non adottano nessuna di queste misure. Questo tempo di rilevamento più rapido riduce i costi di risoluzione del problema, facendo risparmiare in media alle organizzazioni quasi 1 milione di dollari.
Mentre gli strumenti di decryptor per alcune varianti di ransomware sono pubblicamente disponibili attraverso progetti come No More Ransom2, la correzione di un'infezione ransomware attiva richiede spesso un approccio sfaccettato.
Consulta la Guida completa al ransomware di IBM Security per un esempio di piano di risposta agli incidenti ransomware modellato sul ciclo di vita della risposta agli incidenti NIST (National Institute of Standards and Technology).
1989: il primo ransomware documentato, noto come "AIDS Trojan" o "P.C. Cyborg", viene distribuito tramite floppy disk. Nasconde le directory dei file sul computer della vittima e chiede 189 dollari per rivelarle. Poiché questo malware agisce criptando i nomi dei file piuttosto che i file stessi, è facile per gli utenti annullare il danno senza pagare un riscatto.
1996: analizzando il trojan AIDS, gli scienziati informatici Adam L. Young e Moti Yung mettono in guardia contro future forme di malware che potrebbero utilizzare forme di crittografia più sofisticate per tenere in ostaggio dati sensibili.
2005: dopo un numero relativamente basso di attacchi ransomware nei primi anni 2000, inizia un aumento delle infezioni, concentrato in Russia e in Europa orientale. Appaiono le prime varianti che utilizzano la crittografia asimmetrica. Poiché i nuovi ransomware offrono metodi più efficaci per estorcere denaro, sempre più criminali informatici iniziano a diffondere ransomware in tutto il mondo.
2009: l’introduzione delle criptovalute, in particolare del Bitcoin, offre ai criminali informatici un modo per ricevere pagamenti di riscatto non tracciabili, determinando una successiva ondata di attività ransomware.
2013: l'era moderna del ransomware inizia con CryptoLocker, che inaugura l'attuale ondata di attacchi ransomware altamente sofisticati basati sulla crittografia che sollecitano il pagamento in criptovaluta.
2015: la variante ransomware Tox introduce il modello ransomware as a service (RaaS).
2017: appare WannaCry, il primo criptoworm autoreplicante ampiamente utilizzato.
2018: Ryuk ha reso popolare la "caccia grossa" ai ransomware.
2019: gli attacchi ransomware a doppia e tripla estorsione iniziano ad aumentare.Quasi tutti gli incidenti di ransomware a cui il team di risposta agli incidenti di IBM® Security X-Force ha risposto dal 2019 comportavano una doppia estorsione.
2022: il thread hijacking, in cui i criminali informatici si inseriscono nelle conversazioni online legittime dei loro bersagli per diffondere il malware, emerge come un importante vettore di ransomware.
2023: con il miglioramento delle difese contro il ransomware, molte bande di ransomware iniziano a espandere i propri arsenali e a integrare il ransomware con nuove tattiche di estorsione. In particolare, bande come LockBit e alcuni reduci di Conti iniziano a utilizzare malware infostealer che consente loro di rubare dati sensibili e tenerli in ostaggio senza dover bloccare i sistemi delle vittime.
Impedisci al ransomware di interrompere la continuità aziendale e recupera rapidamente quando si verificano attacchi per ridurre al minimo l'impatto delle minacce ransomware.
Il nuovo FlashCore Module 4 (FCM4) fornisce un data storage resiliente in caso di attacchi informatici. Monitora continuamente le statistiche raccolte da ogni singolo I/O utilizzando modelli di machine learning per rilevare anomalie come i ransomware in meno di un minuto.
Proteggi in modo proattivo i sistemi di storage primari e secondari della tua organizzazione da ransomware, errori umani, disastri naturali, sabotaggi, guasti hardware e altri rischi di perdita di dati.
Registrati al webinar per scoprire come combinare la potenza di IBM Storage Defender e IBM FlashSystem per combattere i ransomware.
Guarda la registrazione su richiesta per scoprire i passaggi pratici che puoi eseguire per creare un'operatività più resiliente e proteggere i tuoi dati.
Accedi a insight utili a capire come gli autori delle minacce conducono i loro attacchi e scopri come proteggere in modo proattivo la tua organizzazione.
I costi delle violazioni dei dati hanno raggiunto un nuovo massimo. Scopri come ridurre questi costi grazie alle esperienze di 604 organizzazioni e 3.556 leader nei settori business e cybersecurity.
Ottieni informazioni chiave e strategie pratiche per proteggere il tuo cloud con le più recenti informazioni sulle minacce.
Note a piè di pagina
Tutti i link sono esterni a ibm.com
1 New Ransomware Reporting Requirements Kick in as Victims Increasingly Avoid Paying. Coveware. 26 gennaio 2024.
2 Decryption tools. No More Ransom.