Allarme Cryptovirus: prevenire per non pagare il riscatto

Allarme Cryptovirus: prevenire per non pagare il riscatto

Recentemente si è riscontrato un aumento dei casi di PC infettati dai cosiddetti cryptovirus, con le ultime versioni che si rivelano sempre più difficili da intercettare per gli antivirus, anche aggiornati, e il sistema operativo. Abbiamo sentito in proposito due esperti, Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG e membro del consiglio direttivo del CLUSIT, e Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes.

di Redazione pubblicato il nel canale Sicurezza
 

Introduzione

Quasi sicuramente negli ultimi giorni avrete sentito parlare di ransomware o cryptovirus. Non che sia un fenomeno proprio recente, visto che i nostri sistemi informatici sono esposti a rischi di questo tipo ormai da diverso tempo, ma le più recenti varianti di ransomware si sono rivelate particolarmente efficaci ad aggirare antivirus e protezioni dei sistemi operativi, andando a colpire un notevole numero di computer. I ransomware sono diventati così il pericolo numero uno: insomma, se il vostro PC non è stato infettato è particolarmente probabile che lo sarà a breve.

Stiamo forse esagerando, ma usiamo dei toni allarmistici per trasmettere la gravità del problema alla luce di uno scenario in cui, purtroppo, la maggior parte della popolazione ignora o sottovaluta l'esistenza di un problema di tale entità. I cryptovirus, infatti, vanno a crittografare i file che trovano sul disco rigido e non li rendono più disponibili a meno di usare una chiave di crittografia unica che viene generata specificamente per il PC infettato. Dopo aver completato la lunga operazione di crittografia dei dati appare una pagina web con i dettagli per il riscatto: bisogna pagare cifre importanti, anche di 500 euro, tramite metodi di pagamento senza tracciabilità come BitCoin o Money Pack. Ritrovarsi con file molto importanti, come lo possono essere delle foto o dei documenti, definitivamente inaccessibili, infatti, potrebbe mandare nel panico e addirittura indurre a pagare il riscatto, come è accaduto nel famoso caso dell'Hollywood Presbyterian Medical Center.

Il virus è inoltre particolarmente abile a diffondersi a macchia d'olio in tutta la rete aziendale, infettando altri computer della rete. Gli autori, infatti, nell'ottica di massimizzare gli introiti, puntano soprattutto a quelle realtà professionali la cui disponibilità dei file sensibili è fondamentale nel proseguimento delle loro tradizionali mansioni lavorative. Solitamente il virus viene trasmesso tramite allegato di posta elettronica contenente un JavaScript che va a scaricare un eseguibile da uno spazio web e lo lancia a insaputa dell'utente. Ma questa è solamente una modalità di propagazione, perché ce ne sono molte altre come ci spiegano i tecnici che abbiamo interpellato.

Di solito alla base della propagazione del virus c'è un hacker che compromette un PC, un server o rete di PC (botnet) diventando un C&C server (Command&Control). A quel punto si spamma nella casella di posta di utenti ignari che cliccano sui famigerati link facendo incosapevolmente richiesta ai server di Command & Control e il virus che cifra i dati va in esecuzione.

I virus del tipo crypto di solito sono basati su una cifratura costruita tramite RSA a 2048 bit con un meccanismo a chiave pubblica asimmetrica particolarmente difficile da decriptare. Gli antivirus, come ci spiegano meglio i nostri tecnici, sono in difficoltà perché impiegano il modello tradizionale passivo che ormai sta diventando obsoleto di fronte a minacce di questo tipo. Per proteggere un computer da una nuova minaccia, infatti, bisogna aggiornare prima l'antivirus, fargli sapere che esiste un nuovo virus e quindi fornirgli gli strumenti per difendersi. In futuro, invece, i sistemi di protezione devono essere sempre più attivi, ovvero devono essere in grado di individuare autonomamente le minacce.

L'antivirus basato su firme ha bisogno di campioni del virus, che devono essere studiati nei laboratori per trovare un antidoto. Inoltre, i virus sono molto evoluti rispetto a una volta e decisamente più sofisticati: ad esempio, riescono a sfruttare quelli che vengono definiti exploit zero-day, ovvero le eventuali vulnerabilità dei software o del sistema operativo. Inoltre, oggi si trovano nell'underground del web dei software che consentono di generare dei virus ad-hoc anche senza essere dei programmatori molto bravi.

Gli antivirus arrancano nel caso della famiglia di virus crypto perché continuano a essere basati sul principio della ricerca del campione. Principio che non funziona più con le infezioni moderne perché questi ultimi eseguono azioni diverse in base alla location, il che rende più difficile la vita del produttore di antivirus. I virus di oggi attivano, infatti, componenti in maniera casuale, cioè si comportano in maniera diversa da installazione a installazione; oppure rimangono dormienti fino al verificarsi di un determinato evento. Ma riescono anche a individuare il tipo di antivirus installato sulla macchina, ovvero il virus capisce chi sta cercando di contrastarlo e si comporta di conseguenza. Possono poi infettare dei processi regolari di Windows in modo da nascondersi all'interno di questi processi e non essere così individuati dall'antivirus. In questi casi non è associato un preciso file al virus, ma quest'ultimo va a utilizzare un file o un processo di Windows modificato, procedura che viene chiamata negli ambienti informatici hijack.

"Le aziende sono bersagliate di continuo e le ultime sofisticate varianti di questi ransomware sono in grado di entrare nella rete e di criptare i dati archiviati nei server in pochi minuti", si legge in un resoconto di IKS, azienda di consulenza specializzata nell’ambito della sicurezza informatica. Nell’ultimo mese IKS ha analizzato più di venti milioni tra siti internet visitati ed email ricevute dai propri clienti, scoprendo come di quest’ultime ben il 65% fosse spam e il 20% contenesse stringhe malevole o rimandasse a siti ad alto rischio. Nell’ultimo anno inoltre, su decine di milioni di messaggi analizzati, IKS ha rilevato la stessa tendenza: il 40% delle email sono risultate essere spam, delle quali l’1.7% conteneva malware di tipo ransomware-Cryptolocker. Si rimarca come a due anni dalle prime segnalazioni di questo tristemente famigerato malware il pericolo è tutt’altro che debellato e sembra che la maggior parte delle aziende non abbia ancora trovato le giuste contromisure, continuando ad infettarsi e propagando le infezioni orizzontalmente a tutti i reparti.

[HWUVIDEO="2009"]Cryptovirus: come funziona[/HWUVIDEO]

Abbiamo deciso di mostrare attraverso un video cosa succede nel caso il proprio PC venga infettato da un ransomware, nello specifico nella variante Cryptowall. I virus di questo tipo sono molto efficaci nell'espandersi nell'intera rete aziendale, quindi per evitare contaminazioni di questo tipo abbiamo installato una Virtual Machine e provveduto al collegamento tramite un dongle 4G. Abbiamo procurato un eseguibile contenente il cryptovirus e abbiamo provato a lanciarlo in presenza di Avira Antivirus e Windows Defender. In queste condizioni l'antivirus ha subito rilevato la presenza del cryptovirus e bloccato l'esecuzione, per cui, in modo da infettare il computer, abbiamo dovuto provvedere a rimuovere la protezione Real-Time di Avira e disabilitare Windows Defender.

In caso di assenza della connessione a internet, inoltre, il virus rimane dormiente e colloca un processo in "esecuzione automatica". Al primo avvio del sistema con connessione a internet ecco che il processo viene attivato e la crittografia parte.

Subito dopo l'esecuzione del virus abbiamo notato come un processo senza nome occupasse il processore in maniera importante, mentre il disco venisse utilizzato estensivamente. Il virus, infatti, è andato a crittografare tutti i file presenti sul disco rigido. Per questa operazione si è connesso a internet, ha generato una chiave di decodifica unica per la nostra operazione, e ha iniziato la fase di crittografia. Aveva circa 1 GB di file a disposizione e ha impiegato circa 5 minuti per completare l'operazione. Alla fine del processo i nostri file erano tutti crittografati, a prescindere dal loro formato originale.

Inoltre, lanciava una pagina web con un testo in cui ci si congratulava con noi per "aver aderito" al programma Cryptowall e illustrandoci le modalità per pagare il riscatto tramite i metodi di pagamento senza tracciabilità. Sul desktop di Windows veniva posizionata una pagina HTML, qualora volessimo in un secondo momento accedere alle informazioni sul pagamento, con il nome HELP_YOUR_FILES.

 
^