RANSOMWARE: COSA SONO, COME DIFENDERSI

Ransomware

CYBERSECURITY: I RANSOMWARE

Secondo l’ultimo rapporto del Clusit, l’Associazione italiana per la sicurezza informatica, per la prima volta l’Italia rientra nella top 10 degli attacchi più gravi e per numero di vittime dei ransomware, che hanno infettato nel 2016 persino i server della Farnesina. Il 2016 chiude con una media di 2500 attacchi al secondo nel mondo, 247 tipologie di virus registrate a fine dicembre, partendo dai 29 conosciuti a gennaio 2016. Nello stesso anno i ransomware hanno fruttato ai criminali una cifra intorno al miliardo di dollari. Ma cosa sono i ransomware?

Ecco le principali tipologie di ransomware e come prevenirle.

RANSOMWARE: definizione

I ransomware sono particolari forma di malware. Il virus penetra nel sistema del dispositivo informatico della vittima attraverso un file scaricato o una vulnerabilità nel servizio di rete, analogamente ai più comuni trojan horse. I ransomware limitano l'accesso del dispositivo che infettano, richiedendo un riscatto (appunto ransom in Inglese) da pagare per rimuovere la limitazione apportata dal malware.

I ransomware eseguono particolari payload, runtime mandate in trigger dal virus, in particolare volti a due tipologie di processi:

  • Criptazione dei file presenti sull’hard disk in chiave casuale privata, posseduta e nota solo all’autore del ransomware, rendendo così i file non più fruibili;

  • Limitazione dell’interazione col sistema operativo, agendo prevalentemente sulla shell (parte d’interazione con l’utente) del sistema operativo, su un suo programma (es. un browser) o, in casi estremi, persino il settore di avvio principale (master boot record) o le tabelle di partizione del disco del dispositivo informatico, rendendo così il dispositivo informatico inutilizzabile in tutto o in parte.

In entrambi i casi i ransomware fanno uso di interfacce e architetture software scareware, veri e propri fraudtool per estorcere mediante ricatto denaro all’utente. Uno volta installato nel sistema, un ransomware simula il comportamento di un programma legittimo ma a differenza di questo notifica la presenza di problemi di sicurezza inesistenti, blocchi per necessità di riattivare licenze o addirittura segnala apertamente un hackeraggio riuscito a danno dell’utente. Il ransomware segnala infine all'utente che per la risoluzione dei problemi individuati è necessario acquistare una licenza d'uso, pagare un codice di attivazione o corrispondere una cifra al ricattatore, sintomi che rappresentano l'ultimo passo per il concretizzarsi della truffa.

Il payload scareware dei ransomware normalmente mostrano tre tipologie di comportamento:

  • False notifiche di sanzione, simulate come inviate dalla polizia federale degli USA o da varie compagnie, le quali affermano falsamente che il sistema sia stato usato per attività illegali o che contenga materiale illegale, pornografico o piratato e che pertanto sia necessario corrispondere una multa per poter riutilizzare il sistema;

ransomware fake police

  • Notifiche sulla necessità di riattivazione di prodotti, licenze e sistemi operativi, esempio licenza di Windows, le quali affermano che il dispositivo informatico potrebbe montare una distribuzione contraffatta, che va quindi riattivata riacquistandola o pagando un ripristino per poter riaccedere al programma specifico, ai file dell’hard disk o poter utilizzare il sistema operativo stesso;

ransomware fake windows

  • Interfacce di ricatto esplicito, in queste l’autore del ransomware informa l’utente in maniera esplicita dell’avvenuto hackeraggio ai suoi danni e gli chiede di corrispondere in modalità definite il pagamento di una somma per poter ottenere la chiave privata necessaria a decriptare i file o le parti del sistema operativo coinvolte nel processo di cifratura.

ransomware hacker request

Tutte queste tattiche utilizzate dai ransomware sono finalizzate a forzare l'utente a pagare l'autore del malware per rimuovere il ransomware, o con un programma che decritti i file criptati oppure tramite un codice di sblocco che elimini le modifiche fatte dal ransomware. Questi pagamenti di solito vengono effettuati tramite bonifico, con credito telefonico via SMS, con chiamate a numeri di tariffazione internazionale con elevati costi, con un pagamento online attraverso un servizio voucher (es. Paysafecard) o, addirittura, richiedendo di corrispondere le cifre in Bitcoin (la valuta digitale).

RANSOMWARE: come si diffondono

La diffusione dei ransomware avviene in maniera analoga ad altre tipologie di virus, con tratti del tutto simili a quelli dei trojan horse o dei worm, principalmente:

  • Email di Phishing, con diversi soggetti e tipologie in base alle varie “ondate” di ransomware. I messaggi di posta sono spesso cammuffati e convincenti (es. bollette o note di credito) e contengono un allegato che passa incolume attraverso diversi antivirus oppure un link a un sito di phishing, l’allegato o il file che viene scaricato dal sito linkato non è un documento vero e proprio bensì un ransomware, che se aperto infetta il dispositivo informatico e blocca i documenti o particolari programmi, inclusi quelli in rete;

  • Navigazione su siti web compromessi da infezioni o download di file ransomware, che attecchiscono su sistemi di utenti inconsapevoli che navigano su siti web utilizzando browser, una volta installato il ransomware, in modalità automatica o manuale addirittura se cammuffato come software di qualsiasi tipo, inizierà il procedimento sopra spiegato di cifratura;

  • Diffusione tramite vulnerabilità su protocolli di rete, es. RDP (protocollo di rete per la connessione remota tra dispositivi) o sostituzione – dopo aver bucato il sito web – a link di download legittimi caricati online da società di sviluppo che distribuiscono il loro prodotto via web.

RANSOMWARE: esempi diffusi

Sono centinaia i ransomware rilevati e diffusi negli ultimi anni. Illustreremo nel dettaglio i 2 esempi di ransomware più noti, per un elenco esaustivo e aggiornato vi consigliamo di riferirvi al progetto ID Ransomware https://id-ransomware.malwarehunterteam.com/index.php#faq.

  • W32/Reveton, ransomware basato su un payload che richiamava l’utente di un avvenuto blocco al dispositivo informatico per un’infrazione in termini di attività illegali rilevata nei dati contenuti o nell’utilizzo della macchina (es. il download di software pirata o di materiale pedopornografico). Per sbloccare il dispositivo l’utente avrebbe dovuto pagare una supposta “multa” usando un servizi di credito prepagato anonimi, per esempio Ukash o Paysafecard, spesso il ransomware Reveton per rendere maggiore l'illusione che il computer fosse sotto controllo mostrava dati specifici come l'Indirizzo IP della macchina, dati sulla quantità e tipologia dei file archiviati e filmati della webcam del PC per far sembrare che l'utente fosse anche stato ripreso da presunti controlli;

Reveton ransomware

  • Cryptolocker, ransomware diffuso normalmente come “finto” allegato documento mail che, una volta scaricato ed eseguito, si installa in alcune cartelle dei sistemi operativi (es. %AppData%), installa una chiave di registro che ne permette l’avvio automatico e continuativo, si connette al server di comando e controllo, genera una chiave RSA pubblica e la invia al dispositivo, sul quale inizia a cifrare i file del’hard disk e delle condivisioni di rete mappate localmente con la chiave pubblica salvando ogni file cifrato in una chiave di registro; a conclusione del processo il ransomware informa l'utente di aver cifrato e resi inaccessibili i file e richiede un pagamento con voucher anonimo e prepagato in 100 ore per riottenere i file cifrati o riavere la chiave privata per ricifrarli; il pagamento del riscatto a volte consente di riottenere i file rapiti, direttamente o tramite download di apposito software di decriptazione con la chiave in questione, a volte no.

Cryptolocker ransomware

RANSOMWARE: come combatterli?

La lotta ai ransomware non è oggetto semplice. Come per la gran parte dei malware anche per i ransomware il concetto prevalente si basa sulla prevenzione dell’infezione anziché sulla ben più complicata rimozione. In ambito cybersecurity la regola d’oro è “prevenire meglio che curare”, soprattutto per malware complicati come i ransomware.

Benché esistano per i principali ransomware opportuni codici e programmi di decriptazione, non sempre la procedura è possibile o esiste un tool apposito, in determinati casi ad avvenuta infezione è l’FBI stessa ad ammettere che è preferibile pagare talvolta piuttosto che vedersi cancellati dati sui propri dispositivi di valore ben superiore rispetto al riscatto economico richiesto; oltretutto si è rilevato che nella stragrande maggioranza dei casi i ricattatori autori dei ransomware ad avvenuto pagamento rilasciano opportuni software e chiavi di decriptazione all’utente per rimuovere il ransomware e “liberare” i dati “presi in ostaggio”, nonostante ciò varie volte non sia avvenuto e la restituzione dei dati non sia certamente garantita, trattandosi di una vera e propria cyber truffa.

Come prevenire quindi le infezioni dei ransomware? Vari enti di polizia nazionali, compresa la polizia postale italiana, commissioni europee ed internazionali di lotta al cybercrime e le società di cybersecurity Kasperskylab ed IntelSecurity hanno aderito al progetto No More Ransom, il quale al sito multilingua https://www.nomoreransom.org riporta indicazioni, informazioni, link per fare denunce e segnalazioni e persino tool di decriptazione e rimozione dei principali ransomware conosciuti.

Le principali istruzioni per una corretta prevenzione dai ransomware sono (valide sia per PC sia per gli ormai diffusissimi e importantissimi smartphone, sui quali gli hacker stanno iniziando a concentrarsi):

  1. Sistemi periodici (es. 1 volta a settimana/ogni due settimane) di backup dei dati contenuti nei dispositivi informatici, se possibile sia su un dispositivo esterno (es. HDD o NAS) sia in cloud su un proprio server/rete, questa procedura di sicurezza rende decisamente più inefficace e inconsistente la minaccia dei ransomware relativa alla cancellazione dei vostri dati, oltre a minimizzare in generale la minaccia della loro sottrazione/smarrimento in ogni circostanza;

  2. Software antivirus multifunzione e quotidianamente aggiornati, una buona protezione in tempo reale data da un buon antivirus (personalmente consiglio Malwarebytes) è un costo opportuno in assicurazione informatica per garantire di prevenire nella stragrande maggioranza dei casi danni dai costi ben maggiori; è importante accertarsi che l’antivirus contemporaneamente faccia protezione in tempo reale da siti web, exploit, malware (assicuratevi siano inclusi gli spyware e proprio i ransomware) ed effettui scansioni veloci e approfondite nei root di sistema, se possibile anche programmate in automatico (consigliamo una scansione a settimana), è importante sapere che frequentemente gli antivirus free edition non sono sufficienti per tutte queste funzionalità, pertanto nella maggioranza dei casi è opportuno acquistare una licenza;

  3. Mantenere aggiornato e controllare gli aggiornamenti di sistema del vostro sistema operativo, una buona pratica per il buon funzionamento del dispositivo e anche per garantire al vostro sistema operativo conoscenze aggiornate;

  4. Prestare estrema attenzione agli allegati e ai link inviati per messaggi, in particolare le e-mail ma anche chat, messaggi privati su social network, banner pubblicitari sui siti web, fasulli questionari online per accedere a contenuti, pagine e download. Il metodo di diffusione dei ransomware ha procedure analoghe a quelle degli altri malware, pertanto sono da ritenersi pienamente validi tutti i consigli su come evitare il phishing;

  5. Consentite SEMPRE al sistema operativo utilizzato sul dispositivo (in particolare Windows) l’opzione “mostra estensioni file” e controllatela SEMPRE quando scaricate allegati o programmi, particolare attenzione alle estensioni eseguibili più pericolose come “.exe”, “.scr”, “.vbs”, “.bat”, non aprite MAI questi file senza averli scansionati con un antivirus e soprattutto se non avete certezza sulla provenienza; in particolare sugli allegati documenti “.docx” e “.pdf” controllate sempre che quella sia l’estensione effettiva del file, se viene riportato solo il nome del file infatti potrebbe non venire ravvisato per fare un esempio che in realtà un file “.docx.exe” non è appunto indicato come tale bensì come “.docx”, in quanto l’ultima dicitura non è l’estensione del file ma fa parte semplicemente del suo nome; tenete sempre la guardia alta sugli allegati;

  6. Allontanarsi tempestivamente da siti web non affidabili, questionari online sospetti, persino disconnettere il dispositivo dalla rete internet in tali casi ed effettuare una pronta scansione del sistema, questa procedura a volte non permette ai ransomware o ai malware in generale la loro propagazione se basata su rete.

Per la rimozione dei ransomware la partita invece si fa decisamente più complessa, e non è detto che talvolta sia possibile giungere a una soluzione diversa dal dover forzatamente pagare il ricatto per la restituzione dei propri file, senza alcuna garanzia ovviamente di riottenerne l’accesso. Estirpare un ransomware è di frequente una procedura parecchio complessa su computer, del tutto quasi impossibile su uno smartphone, per i quali consigliamo un’allerta elevatissima, parimenti a quella per i nostri cari vecchi PC. La procedura consigliata per passi è:

  1. Scollegare immediatamente il dispositivo informatico dalla rete internet;

  2. Riavviare il dispositivo in “modalità provvisoria”;

  3. Utilizzare la scansione approfondita del vostro antivirus (assicuratevi che analizzi anche i root);

  4. Scaricare da un altro dispositivo un tool di rimozione, portarlo manualmente tramite memoria USB sul dispositivo infetto ed eseguirlo;

  5. (Nel caso il ransomware abbia bloccato anche la modalità provvisoria del sistema operativo) avviare il dispositivo in modalità “prompt dei comandi” (il caro vecchio DOS) e tentare d’installare ed eseguire il file esterno di un tool di rimozione da qui tramite comandi (se non ne avete competenza sarà necessario rivolgersi a un informatico).

È necessario sapere che in più circostanze possono non essere disponibili tool di rimozione per il ransomware incorso, pertanto che la procedura sopra esplicata potrebbe non funzionare a prescindere in quanto inesistente una protezione in grado di decriptare i file ed estirpare il malware.

Come detto poc’anzi, soprattutto per i ransomware, “prevenire è meglio che curare”.