Area Soci ANCAD

Sei socio Ancad? Inserisci username e password che hai ricevuto per mail e accedi ai contenuti esclusivi.

    
03/07/2016

Ransomware, il virus che “rapisce” il pc e chiede il riscatto.

1.TeslaCrypt 3.0 colpisce le aziende italiane

Migliorano, come tutti i software. Nuove versioni ogni mese, sempre più sofisticate. Con meno bug e con algoritmi più efficienti. Ma questa volta non è una buona notizia per gli utenti. I ransomware, programmi creati per infettare i computer, sequestrare i file e chiedere un riscatto, colpiscono a ondate. Sempre più ravvicinate. E sempre più diffuse: nemmeno l’universo Apple è rimasto immune agli attacchi di ransomware, quei virus che prendono in ostaggio i computer per rilasciarne i dati solo dietro pagamento di un riscatto e che sono diventati una delle cyber-minacce più diffuse e subdole. La società di ricerca Palo Alto Networks ha scovato KeRanger, malware che colpisce attraverso Trasmission, applicazione usata per trasferire file attraverso la rete di BitTorrent. Sia Apple sia la società produttrice di Trasmission sono corse subito ai ripari rendendo disponibile una nuova versione dell’app senza il virus. Misura che però non aiuterà coloro che sono stati già colpiti dagli hacker, secondo una nota di Transmission almeno 6500 utenti. Questo tipo di attacco informatico, nato in Russia qualche anno fa, ha preso piede su scala globale e oggi è una delle minacce informatiche emergenti. Ci si può infettare in molti modi, anche rispondendo ad una mail. Le principali società di sicurezza informatica sono concordi nell’individuare una crescita progressiva degli attacchi ransomware che nel corso del 2015 sono più che raddoppiati. Secondo gli esperti di Cisco, ogni campagna hacker di tipo ransomware frutta ai cybercriminali 34 milioni di dollari all’anno.

Tra le piccole e medie imprese questi attacchi sono ormai noti: sono loro il bersaglio preferito. Perché, spesso, non hanno difese adeguate. Ma neppure i grandi sono al riparo. Nell’estate 2015 un’indagine della procura di Trieste ha individuato otto criminali informatici che, con questa tecnica, hanno estorto denaro a 1500 persone. Sfruttavano un software chiamato Cryptolocker, creato nel 2013. Un programma «devastante», aveva commentato la Polizia postale. E che continua a colpire: il 16 febbraio 2016 ha infettato i server del Comune di Vinci (Firenze), mettendo fuori uso servizi essenziali come l’anagrafe locale. Ma se confrontiamo Cryptolocker con le nuove generazioni di «attacchi ransom», è poco più che rudimentale. Da gennaio, la terza versione di TeslaCrypt, l’erede più celebre del suo capostipite, ha iniziato a diffondersi in fretta. A febbraio fa ha colpito scuole, ospedali e molte aziende di Alessandria, dove un liceo ha perso per sempre gran parte del suo archivio digitale. Sono solo pochi casi tra i tanti. In Italia tutti gli episodi noti, finora, sono di basso profilo. Il successo dei ransomware è dovuto anche a questo: non vengono quasi mai chiesti riscatti elevati (le cifre, in bitcoin, vanno dai 3 ai 700 euro). Così, la maggior parte delle vittime, preferisce pagare e dimenticare, senza denunciare il reato. Nell’ultimo anno però i criminali hanno iniziato a usare gli «attacchi ransom» anche per colpire istituzioni di grandi dimensioni.

2.Come funziona l’attacco

Il meccanismo ormai è collaudato. Gli attaccanti diffondono i ransomware tramite un’email contenente una finta comunicazione di un fornitore, di un corriere o una bolletta (è il cosiddetto phishing). I messaggi di posta contengono un allegato infetto, un trojan per la precisione. Una volta aperto ed eseguito, inizia il sequestro dei dati. Questo, forse, è il punto più debole della minaccia: se non si lancia il programma malevolo, il ransomware non parte. Un attacco standard è descritto dal rapporto Clusit 2015 sulla sicurezza informatica: su 10 milioni di email contenenti ransomware inviate in 5 giorni, il riscatto in media è stato pagato da 12 mila computer. Ciò permette ai criminali di incassare circa 9 milioni di euro in meno di una settimana. Questa tecnica «a strascico» è la più diffusa (ed efficiente), ma non è l’unica.

Tutto dipende da quanto tempo (e risorse) vuole investire chi prepara l’attacco. Il malware può essere consegnato a mano con una chiavetta usb o può essere diffuso attraverso i social network. Poi ci sono le cosiddette tecniche di social engineering, le più subdole: per esempio si apre un profilo falso su Facebook, si chiede l’amicizia alle conoscenze comuni di un impiegato dell’azienda da colpire e si avvia una conversazione. Infine si invia il file infetto, magari spacciandolo per una foto d’infanzia. Se questa pratica non è ancora diventata «epidemica» è solo perché non ci sono ancora strumenti automatizzati di attacco social. Un’altra tecnica riguarda i siti e sfrutta, per esempio, le vulnerabilità di Adobe Flash. Le falle di questo plug-in, un tempo lo standard per le animazioni sul web, sono ormai troppe: per precauzione è consigliabile disinstallarlo del tutto. E sarebbe meglio fare a meno anche del Java Runtime Environment, anch’esso usato per molti attacchi.

3.Le istruzioni sono ben scritte

Una volta avviato, il ransomware inizia a cifrare e a rinominare i documenti dell’hard disk con estensioni del tipo .exx, .ezz, .micro. Di fatto, tutto diventa illegibile in 5-10 minuti. Il malware può non fermarsi al singolo computer, in alcuni casi risale ai pc e ai sistemi d’archiviazione (nas) collegati alla rete locale, rendendoli inservibili. Una volta blindati i file, compare il messaggio che chiede il riscatto. Il tempo che si ha per il ripristino non è mai molto: gli utenti vengono avvisati che il contenuto del disco verrà distrutto se i criminali non ricevono il denaro entro un intervallo di tempo che va dalle 72 ore ai 6 giorni. In altri casi, se non si paga in fretta, la somma richiesta aumenta.

Uno degli aspetti più interessanti degli «attacchi ransom» è la cura con cui vengono redatte le istruzioni per il riscatto. Un testo ben documentato in inglese spiega, anche alle persone meno esperte, come comprare bitcoin (la criptomoneta non tracciabile con cui viene effettuata la transazione) e pagare gli estorsori. Con tanto di rimando a Google Translate per chi non conosce la lingua.

4.Recuperare i dati è sempre più difficile

Ma torniamo a TeslaCrypt 3.0, la terza versione del ramsonware responsabile della nuova ondata di «ricatti virtuali». Molto più insidioso dei predecessori, non salva la chiave di decrittazione in un file sull’hard disk infettato (era uno dei modi con cui recuperare i documenti cifrati dal «vecchio» Cryptolocker). Ora la sequenza alfanumerica per ripristinare i documenti è nascosta tra i meandri del registro di sistema di Windows. E, finora, non ci sono falle note nell’algoritmo di cifratura che permettano di forzare il ripristino. Lo ha confermato , autore del celebre TeslaDecrypt, programma gratuito per recuperare i file colpiti dalle versioni precedenti del ramsonware.

Certo, esistono aziende specializzate nel recupero dati, ma la percentuale di successo non è mai assoluta. E la cifra richiesta dall’intervento spesso è superiore a quella del riscatto. Inoltre, se il ripristino non dovesse funzionare, si rischia di dover pagare comunque gli estorsori. In ogni caso, anche dopo il pagamento, il ransomware rimane dormiente sul pc, e i criminali potrebbero riattivarlo. Per questa ragione, anche dopo aver riottenuto i file è consigliabile formattare il computer, o farlo analizzare da un esperto.

5. Pagare o non pagare?

Se si cede a un ricatto (anche virtuale), si appoggia una pratica illegale. E si contribuisce a rafforzare la credibilità dei criminali che usano queste tecniche. Ma rispondere alla domanda «pagare o non pagare?» è complesso: un’azienda paralizzata da un ramsonware può rischiare la chiusura. E i dati sequestrati, spesso, valgono più della merce in un magazzino. Se si paga si riottiene indietro tutto, in pochi minuti. È un altro punto di forza degli «attacchi ransom»: mantengono le promesse, almeno quasi sempre.

Inoltre i tentativi di recupero artigianali possono essere dannosi, e compromettere per sempre gli hard disk. Con le nuove generazioni di ransomware, anche staccare la spina del computer, scollegare il cavo di rete e spegnere il router possono essere consigli sbagliati. È un modo pratico per evitare che tutto il disco rigido venga cifrato e che l’infezione si propaghi agli altri computer della rete. Ma ciò può bloccare la pubblicazione della procedura per pagare il riscatto. E allora i dati potrebbero essere persi in modo irrimediabile. Certo, è un suggerimento che rimane valido se il pc colpito non è vitale, mentre lo sono gli altri all’interno dell’ufficio, che rischiano di essere raggiunti dal malware. Invece, se il pc colpito contiene informazioni essenziali, aspettare che il ransomware completi il «sequestro virtuale» può essere l’unica cosa da fare.

6. L’unica forma di protezione è il backup

Fino a pochi mesi fa le email attraverso le quali viaggiavano i ransomware avevano testi sgrammaticati (perché confezionati all’estero). Ora, sempre più spesso, il contenuto è in italiano corrente. Ma c’è una cosa da tenere a mente: nessun corriere o nessuna bolletta contengono in allegato file compressi (zippati). E non bisogna mai aprire questo tipo di allegati, soprattutto quando provengono da mittenti sconosciuti. Anche se si tratta di un messaggio di un conoscente, meglio telefonare e chiedere spiegazioni prima di aprire i file.

In ogni caso avere un backup è l’unica vera forma di difesa (non solo dai ransomware). Salvare i file in rete non basta. La buona pratica per non rischiare di perdere i propri documenti si chiama “321”. E cioè: si devono avere tre copie dei dati: la prima sul computer, la seconda su un dispositivo fisico diverso dall’hard disk e la terza in un altro luogo, magari con una soluzione cloud. Per i piccoli professionisti può essere utile sapere che i servizi di archiviazione “sulla nuvola” come Dropbox salvano anche la cronologia delle modifiche ai file. Così si porà sempre accedere alla versione precedente dei documenti, anche se venissero cifrati da un ransomware.

7. Gli antivirus sono sufficienti?

Avere un buon antivirus è sempre consigliabile, ovviamente aggiornato. Ma spesso è inefficace con le nuove minacce. Tutte le soluzioni per la sicurezza riconoscono le prime generazioni di ransomware (come Cryptolocker e Ctb-locker), ma a volte non rilevano le varianti. E, come abbiamo accennato, i software malevoli si evolvono in fretta, più rapidamente di quanto non facciano le società di antivirus.

In poco meno di un mese si è passati alla versione 2.2 di TeslaCrypt alla 3, è un ritmo di aggiornamento paragonabile alla velocità rilascio delle release del browser Chrome. E così quando il codice malevolo diventa noto, i criminali hanno già rilasciato una nuova versione del ramsonware, non ancora rilevata. E senza vulnerabilità conosciute per forzare la decrittazione. Ancora una volta: è meglio non essere colpiti ma, se infettati, è indispensabile avere un backup pronto.

8. C’è chi pagherebbe un milione di dollari

I virus di qualche decennio fa possono essere considerati una forma d’arte, ma i ransomware sono un’altra cosa. Appartengono a una economia criminale: non sono creati per infastidire gli utenti, ma per trarre profitto. I sistemi più colpiti sono quelli Windows, ma chi usa Mac o Linux non può sentirisi al sicuro. Perché più alto è l’obiettivo, più la minaccia sarà sofisticata. Se gli attaccanti ritengono valga la pena, possono assoldare sviluppatori per scrivere un «attacco ransom» su misura, per qualunque sistema operativo. 

E i bersagli possono essere anche aziende di alto profilo. Da un recente sondaggio della Cloud Security Alliance emerge che il 14 per cento degli intervistati sarebbe disposto a pagare anche un riscatto di un milione di dollari per riavere indietro i propri dati e che, ormai, alcune aziende hanno una voce del bilancio dedicata a coprire il riscatto degli «attacchi ransom». Certo, si tratta di un’indagine che copre poco più di duecento persone, ma dò informazioni che aiutano a capire la pericolosità di questa minaccia.

9. Colpiti anche l’Independent e l’amministrazione del Lincolnshire

A fine novembre 2015, i ricercatori di Trend Micro hanno scoperto che l’intera sezione blog della famosa testata britannica The Independent era stata infettata con l’Angler Exploit Kit. Così, sfruttando una vulnerabilità di una vecchia versione Adobe Flash, gli attaccanti sono stati in grado di inviare TeslaCrypt ai lettori del quotidiano online. La falla è rimasta aperta per più di due settimane.

E non è l’unico caso: a fine gennaio la pubblica amministrazione del Lincolnshire (Regno Unito) è stata colpita da un ransomware progettato su misura. In ogni caso il County Council non ha voluto cedere al ricatto. E così i criminali, attraverso un attacco Ddos, hanno messo fuori uso per una settimana 458 server con circa 70 terabyte di dati. In un primo momento si è diffusa la notizia che il riscatto fosse da 1 milione di sterline, poi fonti ufficiali hanno precisato che la cifra richiesta era di 350 pound, una somma in linea le estorsioni virtuali.

10. L’attacco più grave, all’ospedale Hollywood Presbyterian

Finora è stato il più devastante. Il 5 febbraio (ma la notizia è stata resa nota alla fine del mese) l’ospedale californiano è stato colpito da un ransomware che ha messo fuori uso l’Emr, il sistema computerizzato che gestisce le cartelle mediche dell’istituto. I danni sono stati enormi: non ci sono stati morti, ma il reparto radiologia e quello oncologico sono stati chiusi temporaneamente e i pazienti di queste aree sono stati trasferiti in altri ospedali. La dinamica non è stata resa nota e non si sa se i criminali abbiano sfruttato un sito compromesso o una email truffa per portare a termine l’attacco, che si è diffuso in tutta la rete interna. Non è noto neppure se l’Hollywood Presbyterian abbia pagato o meno il riscatto e, anche in questo caso, la cifra richiesta non è stata esorbitante: circa 40 bitcoin (circa 17 mila dollari) e non 3,6 milioni come credeva in un primo momento. È però certo che i disagi sono durati circa una settimana, nella quale i medici e gli inferimieri sono tornati a usare carta e penna.

I ransomware classici non si basano su uno studio attento dell’obiettivo da colpire. Come abbiamo raccontato, nella maggior parte dei casi agiscono a strascico. Ma i casi della pubblica amminsitrazione del Lincolnshire e quello dell’Hollywood Presbyterian fanno emergere una nuova tendenza: una pianificazione dell’attacco. Questi due casi, inoltre, fanno emergere alcuni elementi preoccupanti: neanche le grandi istituzioni hanno procedure di ripristino dei dati (disaster recovery) adeguate a gestire le moderne minacce informatiche.

Fonte: www.corriere.it di Vincenzo Scagliarini


TORNA INDIETRO



Associati