Ransomware, sempre più subdoli e si prendono gioco dell'utente

Nel campo della sicurezza informatica una delle minacce più pericolose diffusasi negli ultimi anni è rappresentata dai ransomware, ovvero quella categoria di malware che cifra completamente il contenuto dell'hard disk e chiede all'utente il pagamento di un riscatto con la promessa di fornire la chiave di cifratura per rientrare in possesso del contenuto dell'hard disk. Si tratta di software che stanno diventando via via più difficili da contrastare e sempre più subdoli, con l'unico scopo di mettere l'utente nella condizione di non avere altra scelta se non quella di pagare il riscatto.

Un caso recente di particolare interesse è quello di Chimera, che ha come bersaglio principale le aziende. Nel tentativo di mettere più pressione alle vittime, il malware minaccia la pubblicazione di fotografie e altri dati personali da qualche parte sulla rete, a meno che venga pagato un riscatto in bitcoin equivalente a circa 650 dollari. Non vi è per ora alcuna prova che il nuovo ransom/cryptoware renda di pubblico dominio i dati dell'utente, ma la minaccia è evidentemente sufficiente a smuovere l'indecisione della malcapitata vittima a pagare il riscatto.

Il malware minaccia l'utente di ciò solamente dopo aver cifrato non solo i dati presenti sugli hard disk locali, ma anche sui drive di rete collegati al sistema. Tutte le estensioni dei file sono inoltre cambiate in .crypt per confondere ancor di più le idee. Chimera, infine, è programmato per colpire impiegati specifici all'interno di un'azienda, probabilmente coloro i quali hanno più frequentemente accesso a dati sensibili/importanti, per assicurarsi che la richiesta di riscatto non venga ignorata.

Un secondo esempio di ransom/cryptoware che esercita pressione psicologica sulle vittime è l'ultima versione di CryptoWall, tra l'altro uno dei pionieri di questa categoria di malware. L'ultima versione sostituisce i nomi dei file criptati con lettere e numeri generati in maniera casuale. La cifratura viene inoltre effettuata con chiavi RSA a 2048-bit, che se correttamente applicate sono di fatto impossibili da violare. CryptoWall si prende gioco dell'utente, informandolo di essere entrato a far parte della "grande community di CryptoWall", e spiega in maniera dettagliata cosa sia accaduto:

Il malware precisa inoltre di non cercare di violare la crittografia altrimenti i file saranno persi senza possibilità di appello. Secondo la società di sicurezza Heimdal Security, CryptoWall 4.0 impiega una serie di contromisure per occultare se stesso ai software antivirus e firewall.

Questi due casi mostrano come i criminali alle spalle dei cryptoware operino con una logica imprenditoriale, ovvero aggiornare e migliorare i propri prodotti e servizi per allargare il giro d'affari. Un impegno che trova riscontro nella realtà, se si pensa che all'inizio dell'anno FBI aveva stimato che CryptoWall aveva generato perdite di oltre 18 milioni di dollari, mentre un'altra analisi ha stimato circa 325 milioni di dollari di danni, solo in USA, da parte di CryptoWall 3.0. Danni che si traducono direttamente in profitti "esentasse" per i criminali che supportano i ransomware.

Appare evidente che i ransomware rappresentano una minaccia che non si dissiperà presto, e attorno ad essi si sollevano sempre più domande e dubbi sull'effettiva necessità di pagare il riscatto come richiesto. Recentemente un agente dell'FBI ha sostenuto che per le vittime sarebbe più rapido e semplice, allo scopo di tornare in possesso dei propri file, pagare quanto richiesto. L'uscita ha generato un certo malumore tra i professionisti della sicurezza, che hanno sottolineato come il pagamento del riscatto non rappresenti in realtà alcuna garanzia di poter recuperare quanto tenuto in ostaggio.

Si tratta di osservazioni corrette, dal momento che non vi è alcuna certezza che i criminali mantengano la propria parola. E vi è sempre la possibilità che un errore di programmazione o un'azione delle autorità permetta il recupero delle chiavi di cifratura senza dover pagare alcun riscatto, come è accaduto lo scorso anno con un altro ransomware particolarmente famoso, CryptoLocker.