Ransomware, sempre più subdoli e si prendono gioco dell'utente

Ransomware, sempre più subdoli e si prendono gioco dell'utente

Criptano l'intero hard disk e chiedono un riscatto per fornire la chiave di cifratura: sono i ransomware, un pericolo sempre più diffuso da qualche anno a questa parte

di Andrea Bai pubblicata il , alle 09:31 nel canale Sicurezza
 

Nel campo della sicurezza informatica una delle minacce più pericolose diffusasi negli ultimi anni è rappresentata dai ransomware, ovvero quella categoria di malware che cifra completamente il contenuto dell'hard disk e chiede all'utente il pagamento di un riscatto con la promessa di fornire la chiave di cifratura per rientrare in possesso del contenuto dell'hard disk. Si tratta di software che stanno diventando via via più difficili da contrastare e sempre più subdoli, con l'unico scopo di mettere l'utente nella condizione di non avere altra scelta se non quella di pagare il riscatto.

Un caso recente di particolare interesse è quello di Chimera, che ha come bersaglio principale le aziende. Nel tentativo di mettere più pressione alle vittime, il malware minaccia la pubblicazione di fotografie e altri dati personali da qualche parte sulla rete, a meno che venga pagato un riscatto in bitcoin equivalente a circa 650 dollari. Non vi è per ora alcuna prova che il nuovo ransom/cryptoware renda di pubblico dominio i dati dell'utente, ma la minaccia è evidentemente sufficiente a smuovere l'indecisione della malcapitata vittima a pagare il riscatto.

Il malware minaccia l'utente di ciò solamente dopo aver cifrato non solo i dati presenti sugli hard disk locali, ma anche sui drive di rete collegati al sistema. Tutte le estensioni dei file sono inoltre cambiate in .crypt per confondere ancor di più le idee. Chimera, infine, è programmato per colpire impiegati specifici all'interno di un'azienda, probabilmente coloro i quali hanno più frequentemente accesso a dati sensibili/importanti, per assicurarsi che la richiesta di riscatto non venga ignorata.

Un secondo esempio di ransom/cryptoware che esercita pressione psicologica sulle vittime è l'ultima versione di CryptoWall, tra l'altro uno dei pionieri di questa categoria di malware. L'ultima versione sostituisce i nomi dei file criptati con lettere e numeri generati in maniera casuale. La cifratura viene inoltre effettuata con chiavi RSA a 2048-bit, che se correttamente applicate sono di fatto impossibili da violare. CryptoWall si prende gioco dell'utente, informandolo di essere entrato a far parte della "grande community di CryptoWall", e spiega in maniera dettagliata cosa sia accaduto:

Il malware precisa inoltre di non cercare di violare la crittografia altrimenti i file saranno persi senza possibilità di appello. Secondo la società di sicurezza Heimdal Security, CryptoWall 4.0 impiega una serie di contromisure per occultare se stesso ai software antivirus e firewall.

Questi due casi mostrano come i criminali alle spalle dei cryptoware operino con una logica imprenditoriale, ovvero aggiornare e migliorare i propri prodotti e servizi per allargare il giro d'affari. Un impegno che trova riscontro nella realtà, se si pensa che all'inizio dell'anno FBI aveva stimato che CryptoWall aveva generato perdite di oltre 18 milioni di dollari, mentre un'altra analisi ha stimato circa 325 milioni di dollari di danni, solo in USA, da parte di CryptoWall 3.0. Danni che si traducono direttamente in profitti "esentasse" per i criminali che supportano i ransomware.

Appare evidente che i ransomware rappresentano una minaccia che non si dissiperà presto, e attorno ad essi si sollevano sempre più domande e dubbi sull'effettiva necessità di pagare il riscatto come richiesto. Recentemente un agente dell'FBI ha sostenuto che per le vittime sarebbe più rapido e semplice, allo scopo di tornare in possesso dei propri file, pagare quanto richiesto. L'uscita ha generato un certo malumore tra i professionisti della sicurezza, che hanno sottolineato come il pagamento del riscatto non rappresenti in realtà alcuna garanzia di poter recuperare quanto tenuto in ostaggio.

Si tratta di osservazioni corrette, dal momento che non vi è alcuna certezza che i criminali mantengano la propria parola. E vi è sempre la possibilità che un errore di programmazione o un'azione delle autorità permetta il recupero delle chiavi di cifratura senza dover pagare alcun riscatto, come è accaduto lo scorso anno con un altro ransomware particolarmente famoso, CryptoLocker.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

107 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
cagnaluia07 Novembre 2015, 10:23 #1
Visto in azione proprio questa settimana.
Bloccato in tempo e recuperati i files da backup.
Purtroppo non siamo riusciti a rintracciare la fonte, sebbene avessimo utente e data/ora di inizio.

Rimane cmq una brutta gatta da pelare..
Cloud7607 Novembre 2015, 10:38 #2
Si tratta di software che stanno diventando via via più difficili da contrastare e sempre più subdoli, con l'unico scopo di mettere l'utente nella condizione di non avere altra scelta se non quella di pagare il riscatto.


Ma anche NO.
SE hai un backup (ovvio che non devi lasciare il disco attaccato al pc, ma fai il backup al bisogno), formatti il disco e i tuoi dati li rimetti dal backup esterno.
Arioch07 Novembre 2015, 11:52 #3
Beccato il mese scorso, mi sono preso un raspberry, un HD esterno da 2 tb e via di backup remoto via ftp...
doctor who ?07 Novembre 2015, 12:29 #4
Originariamente inviato da: Arioch
Beccato il mese scorso, mi sono preso un raspberry, un HD esterno da 2 tb e via di backup remoto via ftp...



Giusto per curiosità, in che ambiente ? (piccolo ufficio, ambiente domestico, ecc...)
Varg8707 Novembre 2015, 12:30 #5
Originariamente inviato da: Arioch
Beccato il mese scorso, mi sono preso un raspberry, un HD esterno da 2 tb e via di backup remoto via ftp...


Scusa ma se sei in grado di fare questo con il Raspberry, come diamine hai fatto a farti infettare il sistema?
Non pensavo fosse cosí semplice liberarsene. Ma i file non vengono criptati?
biffuz07 Novembre 2015, 13:15 #6
Ah, che bello il backup con versioning su hd esterno... quando mi hanno rubato il macbook ho perso solo pochi giorni di dati. Lo so che andrebbe fatto tutti i giorni, ma ho a malapena lo sbatti di fare nel weekend il backup del macbook e del nas (il resto può andare a farsi friggere)
demon7707 Novembre 2015, 13:17 #7
Io devo dire, con un certo disappunto, che mediamente il livello di protezione dei dati tra professionisti, piccoli uffici e addirittura aziende di una certa stazza lascia parecchio a desiderare.
Non parlò dell'utente in se che ingenuamente attiva il ransomware, non si può pretendere che tutti siano "sgamati"... Ma parlo della pessima gestione del materiale da parte dell'ufficio.. Con backup assenti o magari non aggiornati per mesi.. O addirittura nas aggiornati in continuò e sempre collegati.

Fino a che ci sarà gente che lavora così questi ransomware faranno bella vita..
aqua8407 Novembre 2015, 13:51 #8
provato, non molto tempo fa, a utilizzare un NAS Zyxel, e infettare il pc con 2 diversi CryptoLocker.
il sistema (Windows 7) è stato infettato per bene e tutto quanto criptato, mentre i files presenti sul NAS (sempre collegato) con filesystem linux non hanno subito danni.

direi che per le piccole/medie aziende, una soluzione ultra economica come un NAS è fondamentale per il backup dei dati.

se qualcun altro può confermare che, almeno fino ad ora, i file salvati su nas partizionato con file system linux non vengono criptati
alebrescia07 Novembre 2015, 14:23 #9
Originariamente inviato da: aqua84
provato, non molto tempo fa, a utilizzare un NAS Zyxel, e infettare il pc con 2 diversi CryptoLocker.
il sistema (Windows 7) è stato infettato per bene e tutto quanto criptato, mentre i files presenti sul NAS (sempre collegato) con filesystem linux non hanno subito danni.

direi che per le piccole/medie aziende, una soluzione ultra economica come un NAS è fondamentale per il backup dei dati.

se qualcun altro può confermare che, almeno fino ad ora, i file salvati su nas partizionato con file system linux non vengono criptati


mi spiace ma si stanno facendo sempre più stronzi sti cosi...
capitato poco tempo fà ad un cliente che non seguo personalmente... colpisce anche nas e share lasciate di libera condivisione sui pc in rete tramite discovery...
non dico questo nello specifico... ma un suo cugino che fà la stessa cosa...
fortuna vuole che il nas intaccato fosse "solo" il terzo backup giornaliero...

se le share sono condivise come "everyone" , come spesso capita di trovare in giro... c'è poco da fare....
amd-novello07 Novembre 2015, 15:03 #10
Originariamente inviato da: aqua84
provato, non molto tempo fa, a utilizzare un NAS Zyxel, e infettare il pc con 2 diversi CryptoLocker.


è il mio nas! evviva

Originariamente inviato da: alebrescia
mi spiace ma si stanno facendo sempre più stronzi sti cosi...


Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^