EPIDEMIA DI RANSOMWARE: perchè dobbiamo preoccuparci

EPIDEMIA DI RANSOMWARE: perchè dobbiamo preoccuparci
Il problema ransomware peggiora di giorno in giorno.
Gli ultimi casi di attacchi ransomware ad ampio spettro, tra cui CoinVault, Cryptolocker e simili, rivelano la tendenza da parte dei cybercriminali ad utilizzare sempre di più questa tecnica. Tuttavia, nonostante l’aumento di attacchi ransomware, da un ultimo sondaggio di Kaspersky Lab è emerso che solo il 37% delle aziende ritengono che i ransomware costituiscano un serio problema per il proprio business. Ransomware-Malware Andrey Pozhogin, esperto di sicurezza informatica di Kaspersky Lab, mette a nostra disposizione le proprie conoscenze circa gli attacchi ransomware e ci spiega come funzionano, quali sono le conseguenze che derivano dal pagamento del riscatto e cosa devono fare utenti e aziende per proteggersi.
1. Cos‘è un ransomware?
Un ransomware è un tipo di malware utilizzato come meccanismo digitale di estorsione. Si tratta di un software che blocca l’accesso al sistema del computer fino al pagamento di un riscatto da parte dell’utente o dell’azienda per riavere indietro i dati contenuti nel dispositivo. Ecco alcuni esempi di ransomware: CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, TeslaCrypt e CTB-Locker.
2. Qual è l’Identikit della vittima?
L’utente medio, cosଠcome piccole e medie imprese, sono potenziali vittime dei ransomware. Per i cybercriminali non c’è alcuna differenza, lo scopo principale è quello di colpire più vittime possibili per trarre il maggior profitto economico.
3. Come funziona un attacco ransomware?
Un attacco ransomware si diffonde soprattutto via email, mediante un allegato che puòessere un file eseguibile, un documento o un’immagine. Quando viene aperto l’allegato, il malware prende possesso del sistema. Un ransomware puòattivarsi anche a partire da un sito Internet infetto dal malware. Quando visita questo sito, l’utente esegue senza saperlo uno script dannoso (a volte bisogna cliccare su un link o scaricare un file): in questo modo il malware entra nel computer della vittima. Anche quando i il sistema è ormastato infettato, non si hanno segnali immediati. Il malware opera in background, silenziosamente, fino a completare le operazioni di blocco del sistema e dei dati. I cybercriminali stanno diventando sempre più esperti e sviluppano malware sofisticati in grado di agire senza farsi notare, hanno diverse tecniche e strumenti a disposizione affinchè la vittima non noti la sua presenza. Successivamente, compare una finestra di dialogo che informa l’utente del blocco dei dati e viene richiesto il pagamento di un riscatto per poter accedere di nuovo ai dati. Quando l’utente visualizza questa finestra di dialogo è ormai troppo tardi, nulla aiuterà  a salvare i dati. Il riscatto chiesto dai cybercriminali per decifrare i dati puòvariare, oscilla dalle centinaia alle migliaia di dollari.
4. Un esempio di attacco ransomware?
Un tipico caso è quello di TorLocker. Il ransomware inizia il processo d’infezione decifrando la propria sezione dati con una chiave AES da 256 bit, un meccanismo di crittografia praticamente impossibile da craccare, e attivandola sul sistema dell’utente. I primi 4 byte della chiave crittografica vengono utilizzati come campione ID unico e aggiunto alla fine dei file criptati. Il malware viene poi copiato in una cartella temporanea e si crea una chiave di registro per l’autorun di questa copia. Successivamente, il malware agisce in questo modo: Va alla ricerca di processi di sistema importanti e li chiude; Elimina tutti i punti di ripristino del sistema; Cripta i documenti Office dell’utente, anche file video e audio, immagini, cartelle, database, copie di backup, chiavi crittografiche della macchina virtuale, certificati e resto di file presenti sull’hard disk e sulla rete; Apre una finestra di dialogo in cui si richiede all’utente il pagamento di un riscatto per decifrare i dati. L’aspetto più grave è che TorLocker infetta ogni sistema in modo diverso per cui, anche se viene individuata la chiave in qualche maniera, quella chiave non puòessere utilizzata per decifrare i dati di altri sistemi. I cybercriminali danno agli utenti un ultimatum (di solito 72 ore) per pagare il riscatto, passato il quale i dati andranno perduti. I cybercriminali solitamente propongono diversi metodi di pagamento, anche in Bitcoin o attraverso siti Internet di terze parti.
5. A cosa mirano i cybercriminali quando lanciano un attacco ransomware?
Lo scopo principale dei cybercriminali è quello di estorcere denaro alle vittime; tuttavia, gli attacchi rivolti alle aziende hanno anche come obiettivo la proprietà  intellettuale. Epidemia di #ransomware: perchè dobbiamo preoccuparci Tweet
6. Quanto sono diffusi gli attacchi ransomware rivolti a dispositivi mobili?
Questo genere di attacchi si stanno diffondendo sempre di più anche sui dispositivi mobil. I malware mobile danno maggiori profitti e i cybercriminali li progettano per rubare ed estorcere denaro. Dal Threat Report del primo trimestre di Kaspersky Lab è emerso che il 23% dei nuovi malware individuati sono stati creati per rubare o estorcere denaro. Inoltre, il malware di tipo Trojan-Ransom sono quelli che hanno registrato un maggiore tasso di crescita tra tutte le minacce mobile. Nel primo trimestre sono stati individuati 1.113 nuovi esemplari, un tasso di crescita del 65%. Una tendenza pericolosa poichè i ransomware, oltre al denaro, mirano a danneggiare i dati personali e a bloccare i dispositivi infetti.
7. Cosa possono fare gli utenti se il sistema è già  stato infettato?
Purtroppo, nella maggior parte dei casi, a meno che non sia stato effettuato il backup dei dati o sia stata adottata una qualche tecnologia di prevenzione, non c’è molto che l’utente possa fare. In certi casi, perà², si puòtentare qualcosa per decifrare i dati bloccati dal ransomware senza dover pagare il riscatto. Kaspersky Lab di recente ha avviato una collaborazione con l’unità  anti-crimine informatica della polizia olandese per creare un database delle chiavi di cifratura, oltre a una app in grado di aiutare le vittime colpite dal ransomware CoinVault. Inoltre, raccomandiamo sempre alle vittime di non utilizzare software poco conosciuti e trovati su Internet che millantano la capacità  di decifrare i dati bloccati da un ransomware. Nel migliore dei casi, non fanno nulla; nel peggiore dei casi, si scarica sul sistema l’ennesimo malware.
8. Il riscatto va pagato?
La maggior parte delle vittime è disposta a pagare per riavere indietro i propri file. Secondo un sondaggio effettuato nel febbraio 2014 dal Research Centre in Cyber Security dell’Università  del Kent, oltre il 40% delle vittime di CryptoLocker ha pagato il riscatto. Questo ransomware ha infettato decine di migliaia di computer, generando profitti per milioni di dollari a tutto vantaggio dei cybercriminali. Inoltre, in un report di Dell Secure-Works si legge che questo stesso malware, in un periodo di 100 giorni, genera introiti per 30 milioni di dollari. Comunque sia, pagare il riscatto non è una scelta saggia, soprattutto perchè nessuno garantisce che i dati alla fine verranno restituiti. Le cose possono andare storto per una serie infinita di motivi, ci potrebbero essere anche dei bug nel malware che non consentono di recuperare i dati criptati. Inoltre, con il pagamento del riscatto, i cybercriminali hanno la conferma dell’efficacia del ransomware e, di conseguenza, cercheranno nuovi metodi per sfruttare le vulnerabilità  dei sistemi e creeranno nuovi ransomware in grado di attaccare utenti e aziende.
9, Cosa possono fare gli utenti per prevenire un attacco ransomware?
Il backup dei dati è sufficiente? Decifrare i file criptati mediante un sistema crittografico robusto e ben implementato è quasi impossibile; per questo motivo, per prevenire situazioni spiacevoli, bisogna adottare l’accoppiata soluzione di sicurezza adeguata/backup dei dati, è la migliore strategia per contrastare minacce di questo genere. Inoltre, alcune varianti “intelligenti” dei ransomware criptano tutti i backup che riescono a trovare, anche quelli sulle reti. Per questo è fondamentale effettuare backup “a freddo” (di lettura e scrittura solamente, non quelli che consentono la cancellazione o la gestione completa dei dati), che non possono essere cancellate dal ransomware. Kaspersky Lab ha sviluppato il modulo System Watcher, in grado d’immagazzinare le copie locali protette dei file e di annullare le modifiche eseguite dal crypto-malware. Ciòconsente il ripristino automatico dei dati ed evita agli amministratori il passaggio di recuperare i dati mediante il backup, facendo risparmiare tempo e disservizi. è fondamentale, quindi, installare una nostra buona tecnologia di sicurezza e assicurarsi che sia attivato il modulo System Watcher.