Anche i virus si evolvono, di pari passo con l’evoluzione tecnologica: ormai l’obiettivo degli hacker è esclusivamente trarre profitto dai crimini informatici. In questo scenario i ransomware – la categoria di malware che prevede la richiesta di un riscatto – sono un esempio particolarmente calzante di questa tendenza.

Non c’è sistemista che non abbia ancora avuto a che fare, direttamente o indirettamente, con Cryptolocker, Cryptowall o uno dei suoi derivati. Questi virus, quando infettano una macchina, procedono rapidamente a cifrarne tutto il contenuto con una chiave segreta: per poter decifrare i dati compromessi – quando non è disponibile un backup aggiornato e protetto dallo stesso virus – l’unica possibilità è pagare un riscatto.

Cryptolocker

Ecco una delle schermate davanti a cui ci si può trovare dopo che i propri file sono stati cifrati da un Ransomware


I ransomware attualmente conosciuti utilizzano una cifratura forte (abitualmente RSA-2048), e in pochi minuti sono in grado di cifrare il contenuto del disco di sistema e di eventuali periferiche di memorizzazione collegate via USB oltre che persino delle cartelle di rete mappate sul PC. Obiettivo preferito di questi attacchi sono le realtà aziendali dove, a differenza dell’utente domestico, la necessità di tornare al più presto in possesso dei propri dati è di vitale importanza ed è quindi maggiore la probabilità di vedere pagato il riscatto. In alcuni casi - ad esempio col più recente Chimera, l'ennesimo clone di Cryptolocker - per aumentare la propensione al pagamento viene persino avvisato l'utente che in caso di mancato riscatto, i dati privati verranno pubblicati in Rete.

Per proteggersi da questi attacchi i classici antivirus non sono sufficienti: la rapidità con cui le varianti del virus si diffondono e la modalità di attacco li rendono spesso inefficaci.

bitdef ransomware

Solo negli ultimi mesi stanno venendo implementate alcune funzionalità specifiche di protezione da questo tipo di attacchi: ad esempio Bitdefender con la versione 2016 della sua suite ha aggiunto una funzione anti-ransomware che funziona però solo sulle risorse locali del PC. Se siete stati infettati non è detto che il pagamento del riscatto sia la soluzione più semplice: le cifre variano dai 300 alle diverse migliaia di euro, ma il versamento deve essere fatto in Bitcoin utilizzando piattaforme specifiche come BitBoat.net che permettono di acquistare la valuta tramite una ricarica PostePay. Il pagamento stesso è un atto di per se illegale (espressamente vietato nelle norme degli stessi siti di pagamento) e comporta alcuni rischi, non ultimo quello che il portafoglio Bitcoin del malvivente venga bloccato e che sia necessario rintracciarlo sulla rete anonima Tor per riuscire a ricontattarlo.

Come proteggersi

Per proteggersi da attacchi ransomware esistono due strade principali: la protezione attiva con l’installazione di antivirus aggiornati, firewall e software di controllo specifici, e una corretta politica di backup. 
Nel primo caso è importante verificare che l’antivirus sia correttamente aggiornato: non è sufficiente aggiornare il database delle definizioni, bisogna anche installare manualmente la release software più recente. Quasi tutte le piattaforme antivirus infatti durante il periodo di protezione pagato permettono di passare in qualsiasi momento alla release più aggiornata. Se l’antivirus adottato non prevede un sistema di protezione specifica antiransomware potrebbe essere il momento  di valutare la migrazione a una piattaforma alternativa. 

Utility ad hoc

3 cryptoradar

All’antivirus si possono affiancare programmi specifici come l’utility CryptoRadar che monitora costantemente lo stato delle share di rete e blocca la diffusione dell’attacco e, nella sua versione Client (PC/Workstation) consente addirittura lo spegnimento automatico del computer in caso di attacco individuato.  Per rilevare una infezione attiva si sfrutta la necessità del malware di effettuare numerose operazioni di lettura e scrittura su disco (durante l’attacco i file vengono letti, cifrati e rinominati uno ad uno). Quando un processo nel sistema inizia ad agire in modo sospetto il software ne blocca l’esecuzione e avvisa l’utente. CryptoMonitor è un'altra soluzione interessante. Il funzionamento prevede, oltre al monitoraggio delle operazioni sui file come CryptoRadar, anche il controllo di alcuni path specifici all'interno del sistema operativo. In caso di modifiche sospette applicate a queste aree sensibili, il computer viene spento per prevenire la diffusione dell'infezione.

L'utilizzo del metodo count (il controllo delle operazioni di lettura/scrittura sui file) utilizzato in questo tipo di prevenzione è nativamente incline alla rilevazione di falsi positivi. Bitdefender 2016, ad esempio, permette di analizzare caso per caso e, se si tratta di falso positivo, di consentirne comunque l’esecuzione. 

Altre società specializzate in sicurezza informatica, come ad esempio l’inglese Sophos, hanno utilizzato un approccio diverso. La protezione viene basata sulla necessità del malware di contattare i relativi server di controllo via Internet per poter iniziare l’attacco. Sia la soluzione UTM (Unified Threat Management) centralizzata che quella Enduser sui singoli client, consentono l’interruzione dell’attacco tramite l’analisi e il riconoscimento del traffico dati malevolo da e verso macchina infettata.

La miglior difesa è il Backup isolato o remoto

Il modo migliore per recuperare i propri dati dopo un attacco di questo tipo è poter attingere a backup aggiornati. Ma anche le modalità di salvataggio devono essere controllate con attenzione perché Cryptolocker è in grado di diffondersi su unità USB e cartelle di rete mappate.

(ndr: E' indispendabile che le cartelle di destinazione non siano mappate sul pc client come directory condivise, accessibili dal PC, e che i dati siano crittografati in modo da non poter essere compromessi. La nostra soluzione si basa su questi aspetti a nostro avviso fondamentali per arricchire il backup di caratteristiche evolute e importanti.)

Il fenomeno Cryptolocker non è passato inosservato agli occhi delle forze dell’ordine, tanto che nell’agosto 2014 è stata avviata l’operazione Tovar. L’FBI insieme ad altre forze di polizia e aziende specializzate (in particolare FireEye e FOX-IT) hanno, tra le altre cose, messo a disposizione un sito Web dedicato alle vittime di attacchi ransomware dove era possibile caricare un file infetto e ricevere, se disponibile, una chiave di decifrazione valida. Il sito decryptolocker.com è stato poi chiuso quanto le agenzie hanno ritenuto che il grosso della minaccia fosse ormai superata. Cercando in rete lo troverete spesso citato, anche se è ormai purtroppo inutilizzabile.

4 kaspersky

È invece molto più recente il progetto Noransom di Kasperky Lab in collaborazione con la polizia dei Paesi Bassi che, all’indirizzo https://noransom.kaspersky.com mette a disposizione un tool da installare sul PC per decifrare tutti i file. Questa soluzione è stata resa possibile dall’aggiunta al database delle forze di Polizia, di tutte le chiavi di cifratura conosciute utilizzate dai cyber criminali in seguito al loro arresto.

da un'articolo di Lorenzo Bedin ..

Subscribe to our mailing list

* indicates required

(C) 2015 Monev Software LLC / JoomlaXTC.

Bakappa.it è una soluzione Pinet Internetworking http://www.pinet.it





Ns. dati contabili e fiscali: Pinet di Finesso Giancarlo - Via emilio Faa' di Bruno 69 - 15121 Alessandria - Tel 0131263767 - P.I. 01166420065 - CF FNSGCR52P02A182Y