Allarme Cryptovirus: prevenire per non pagare il riscatto

Allarme Cryptovirus: prevenire per non pagare il riscatto

Recentemente si è riscontrato un aumento dei casi di PC infettati dai cosiddetti cryptovirus, con le ultime versioni che si rivelano sempre più difficili da intercettare per gli antivirus, anche aggiornati, e il sistema operativo. Abbiamo sentito in proposito due esperti, Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG e membro del consiglio direttivo del CLUSIT, e Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes.

di pubblicato il nel canale Sicurezza
 

Ransomware, come funzionano?

Vengono abitualmente chiamati con il nome di "Cryptolocker", ma in realtà questi è il nome di una delle prime famiglie di queste minacce che sono più propriamente indicate con il termine ransomware, dall'inglese "ransom", riscatto, poiché prendono letteralmente in ostaggio i documenti dell'utente e chiedono un esborso in denaro per la loro restituzione.

Ci spiega Giuliani: "Ad oggi ne esistono diverse varianti (Teslacyrpt, TorrentLocker, Cryptowall per citarne alcuni), principalmente per Windows ma senza disdegnare altri sistemi operativi quali Linux e OS X. Questo genere di infezioni, una volta eseguite nel sistema, partono alla ricerca di varie tipologie di documenti presenti all'interno del computer vittima - documenti Office, PDF, foto e video, archivi ZIP, file di progetti tecnici quali Autocad, sono tra le tipologie più attaccate - criptandoli mediante differenti tipologie di algoritmi di crittografia e rendendoli così inutilizzabili. La crittografia più comune applicata è AES 256 bit con password generata casualmente su ogni PC, e poi questa password random viene a sua volta crittografata utilizzando algoritmi RSA a chiave pubblica/privata, e la privata è ovviamente in mano all'autore del ransomware solitamente nascosto dietro rete TOR."

Cryptovirus

Quando i primi esempi di ransomware hanno iniziato a circolare "in the wild" operavano in maniera leggermente differente rispetto ad ora e prevedevano la cancellazione dei file e la loro sostituzione con una copia crittografata. Questo modus operandi lasciava spazio alla possibilità di recuperare almeno una parte delle informazioni cancellate, contenendo quindi il danno causato dal malware. Con il passare del tempo, però, queste minacce si sono evolute e sono passate a sovrascrivere direttamente i file con una versione crittografata, operazione che lascia ben poco spazio a possibilità di recupero. E' bene osservare che praticamente tutti i ransomware in circolazione non fanno alcuna distinzione tra dischi locali e dischi di rete. Ciò significa che il ransomware tenterà di sovrascrivere e cifrare anche i file presenti sulle unità di rete presenti e mappati nel sistema.

A livello di sistema operativo possono esistere alcune funzioni, dette di shadow copy, che permettono di mantenere una copia/revisione dei file presenti nel sistema, così che sia possibile ripristinare copie precedenti dei file crittografati. L'evoluzione dei ransomware, però, non fa sconti: alcune recenti versioni di questi malware prendono di mira le shadow copy cancellandole dal sistema prima di procedere alla crittografia e sovrascrittura dei file.

Una volta che il ransomware ha terminato il suo improbo lavoro, comunica all'utente un indirizzo web dove potersi collegare per recuperare le istruzioni necessarie al pagamento del riscatto, che di norma viene richiesto in criptovaluta non tracciabile, generalmente Bitcoin, rendendo quindi complicata l'eventuale operazione di pagamento per il pubblico meno avvezzo al mezzo tecnologico. L'ammontare del riscatto si aggira, di norma, su un controvalore compreso tra 200 e 700 euro.

"Nell'ultimo periodo si assiste ad un picco di casi. Il numero di malware (e di gruppi che li producono e ci lucrano, in alcuni casi in modalità " malware as-a-service") sta aumentando perché la formula ha successo ed i vantaggi per i criminali superano di ordini di grandezza i rischi. Il vero problema infatti è che non c'è ad oggi alcun meccanismo di dissuasione efficace contro questo genere di reati online" osserva laconicamente Manzoni.

 
^