Epidemia di ransomware: perché dobbiamo preoccuparci

Andrey Pozhogin, esperto di sicurezza informatica di Kaspersky Lab, mette a nostra disposizione le proprie conoscenze circa gli attacchi ransomware e ci spiega cosa devono fare utenti e aziende per difendersi.

AP

Il problema ransomware peggiora di giorno in giorno. Gli ultimi casi di attacchi ransomware ad ampio spettro, tra cui CoinVault, Cryptolocker e simili, rivelano la tendenza da parte dei cybercriminali ad utilizzare sempre di più questa tecnica. Tuttavia, nonostante l’aumento di attacchi ransomware, da un ultimo sondaggio di Kaspersky Lab è emerso che solo il 37% delle aziende ritengono che i ransomware costituiscano un serio problema per il proprio business.

Ransomware-Malware


Andrey Pozhogin, esperto di sicurezza informatica di Kaspersky Lab, mette a nostra disposizione le proprie conoscenze circa gli attacchi ransomware e ci spiega come funzionano, quali sono le conseguenze che derivano dal pagamento del riscatto e cosa devono fare utenti e aziende per proteggersi.

1. Cos‘è un ransomware?

Un ransomware è un tipo di malware utilizzato come meccanismo digitale di estorsione. Si tratta di un software che blocca l’accesso al sistema del computer fino al pagamento di un riscatto da parte dell’utente o dell’azienda per riavere indietro i dati contenuti nel dispositivo. Ecco alcuni esempi di ransomware: CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, TeslaCrypt e CTB-Locker.

2. Qual è l’Identikit della vittima?

L’utente medio, così come piccole e medie imprese, sono potenziali vittime dei ransomware. Per i cybercriminali non c’è alcuna differenza, lo scopo principale è quello di colpire più vittime possibili per trarre il maggior profitto economico.

3. Come funziona un attacco ransomware?

Un attacco ransomware si diffonde soprattutto via email, mediante un allegato che può essere un file eseguibile, un documento o un’immagine. Quando viene aperto l’allegato, il malware prende possesso del sistema. Un ransomware può attivarsi anche a partire da un sito Internet infetto dal malware. Quando visita questo sito, l’utente esegue senza saperlo uno script dannoso (a volte bisogna cliccare su un link o scaricare un file): in questo modo il malware entra nel computer della vittima.

Anche quando i il sistema è ormastato infettato, non si hanno segnali immediati. Il malware opera in background, silenziosamente, fino a completare le operazioni di blocco del sistema e dei dati. I cybercriminali stanno diventando sempre più esperti e sviluppano malware sofisticati in grado di agire senza farsi notare, hanno diverse tecniche e strumenti a disposizione affinché la vittima non noti la sua presenza. Successivamente, compare una finestra di dialogo che informa l’utente del blocco dei dati e viene richiesto il pagamento di un riscatto per poter accedere di nuovo ai dati.

Quando l’utente visualizza questa finestra di dialogo è ormai troppo tardi, nulla aiuterà a salvare i dati. Il riscatto chiesto dai cybercriminali per decifrare i dati può variare, oscilla dalle centinaia alle migliaia di dollari.

4. Un esempio di attacco ransomware?

Un tipico caso è quello di TorLocker. Il ransomware inizia il processo d’infezione decifrando la propria sezione dati con una chiave AES da 256 bit, un meccanismo di crittografia praticamente impossibile da craccare, e attivandola sul sistema dell’utente. I primi 4 byte della chiave crittografica vengono utilizzati come campione ID unico e aggiunto alla fine dei file criptati. Il malware viene poi copiato in una cartella temporanea e si crea una chiave di registro per l’autorun di questa copia. Successivamente, il malware agisce in questo modo:

  • Va alla ricerca di processi di sistema importanti e li chiude;
  • Elimina tutti i punti di ripristino del sistema;
  • Cripta i documenti Office dell’utente, anche file video e audio, immagini, cartelle, database, copie di backup, chiavi crittografiche della macchina virtuale, certificati e resto di file presenti sull’hard disk e sulla rete;
  • Apre una finestra di dialogo in cui si richiede all’utente il pagamento di un riscatto per decifrare i dati.

L’aspetto più grave è che TorLocker infetta ogni sistema in modo diverso per cui, anche se viene individuata la chiave in qualche maniera, quella chiave non può essere utilizzata per decifrare i dati di altri sistemi. I cybercriminali danno agli utenti un ultimatum (di solito 72 ore) per pagare il riscatto, passato il quale i dati andranno perduti. I cybercriminali solitamente propongono diversi metodi di pagamento, anche in Bitcoin o attraverso siti Internet di terze parti.

5. A cosa mirano i cybercriminali quando lanciano un attacco ransomware?

Lo scopo principale dei cybercriminali è quello di estorcere denaro alle vittime; tuttavia, gli attacchi rivolti alle aziende hanno anche come obiettivo la proprietà intellettuale.

6. Quanto sono diffusi gli attacchi ransomware rivolti a dispositivi mobili?

Questo genere di attacchi si stanno diffondendo sempre di più anche sui dispositivi mobil. I malware mobile danno maggiori profitti e i cybercriminali li progettano per rubare ed estorcere denaro. Dal Threat Report del primo trimestre di Kaspersky Lab è emerso che il 23% dei nuovi malware individuati sono stati creati per rubare o estorcere denaro.

Inoltre, il malware di tipo Trojan-Ransom sono quelli che hanno registrato un maggiore tasso di crescita tra tutte le minacce mobile. Nel primo trimestre sono stati individuati 1.113 nuovi esemplari, un tasso di crescita del 65%. Una tendenza pericolosa poiché i ransomware, oltre al denaro, mirano a danneggiare i dati personali e a bloccare i dispositivi infetti.

7. Cosa possono fare gli utenti se il sistema è già stato infettato?

Purtroppo, nella maggior parte dei casi, a meno che non sia stato effettuato il backup dei dati o sia stata adottata una qualche tecnologia di prevenzione, non c’è molto che l’utente possa fare. In certi casi, però, si può tentare qualcosa per decifrare i dati bloccati dal ransomware senza dover pagare il riscatto. Kaspersky Lab di recente ha avviato una collaborazione con l’unità anti-crimine informatica della polizia olandese per creare un database delle chiavi di cifratura, oltre a una app in grado di aiutare le vittime colpite dal ransomware CoinVault.

Inoltre, raccomandiamo sempre alle vittime di non utilizzare software poco conosciuti e trovati su Internet che millantano la capacità di decifrare i dati bloccati da un ransomware. Nel migliore dei casi, non fanno nulla; nel peggiore dei casi, si scarica sul sistema l’ennesimo malware.

8. Il riscatto va pagato?

La maggior parte delle vittime è disposta a pagare per riavere indietro i propri file. Secondo un sondaggio effettuato nel febbraio 2014 dal Research Centre in Cyber Security dell’Università del Kent, oltre il 40% delle vittime di CryptoLocker ha pagato il riscatto. Questo ransomware ha infettato decine di migliaia di computer, generando profitti per milioni di dollari a tutto vantaggio dei cybercriminali. Inoltre, in un report di Dell Secure-Works si legge che questo stesso malware, in un periodo di 100 giorni, genera introiti per 30 milioni di dollari.

Comunque sia, pagare il riscatto non è una scelta saggia, soprattutto perché nessuno garantisce che i dati alla fine verranno restituiti. Le cose possono andare storto per una serie infinita di motivi, ci potrebbero essere anche dei bug nel malware che non consentono di recuperare i dati criptati.

Inoltre, con il pagamento del riscatto, i cybercriminali hanno la conferma dell’efficacia del ransomware e, di conseguenza, cercheranno nuovi metodi per sfruttare le vulnerabilità dei sistemi e creeranno nuovi ransomware in grado di attaccare utenti e aziende.

9, Cosa possono fare gli utenti per prevenire un attacco ransomware? Il backup dei dati è sufficiente?

Decifrare i file criptati mediante un sistema crittografico robusto e ben implementato è quasi impossibile; per questo motivo, per prevenire situazioni spiacevoli, bisogna adottare l’accoppiata soluzione di sicurezza adeguata/backup dei dati, è la migliore strategia per contrastare minacce di questo genere.

Inoltre, alcune varianti “intelligenti” dei ransomware criptano tutti i backup che riescono a trovare, anche quelli sulle reti. Per questo è fondamentale effettuare backup “a freddo” (di lettura e scrittura solamente, non quelli che consentono la cancellazione o la gestione completa dei dati), che non possono essere cancellate dal ransomware.

Kaspersky Lab ha sviluppato il modulo System Watcher, in grado d’immagazzinare le copie locali protette dei file e di annullare le modifiche eseguite dal crypto-malware. Ciò consente il ripristino automatico dei dati ed evita agli amministratori il passaggio di recuperare i dati mediante il backup, facendo risparmiare tempo e disservizi. È fondamentale, quindi, installare una nostra buona tecnologia di sicurezza e assicurarsi che sia attivato il modulo System Watcher.

10. In che modo le soluzioni Kaspersky Lab ci proteggono dalle minacce sconosciute?

Le nostre soluzioni di sicurezza includono Kaspersky Security Network (KSN), che offre una risposta più immediata nei confronti di minacce sospette in confronto ai metodi di protezione tradizionali. KSN è una rete composta da oltre 60 milioni di volontari nel mondo; il sistema si sicurezza su cloud processa oltre 600 mila richieste al secondo.

Gli utenti Kaspersky Lab nel mondo offrono informazioni in tempo reale sulle minacce individuate e rimosse. Questi e altri dati vengono analizzati da un gruppo selezionato di esperti di sicurezza, il Global Research and Analysis Team. L’obiettivo principale è quello di scoprire e analizzare le nuove minacce informatiche, oltre a prevedere l’insorgenza di nuove minacce.

Sebbene ci troviamo di fronte a minacce sempre più sofisticate, ci siamo resi conto che troppi utenti (tra privati e aziende) potrebbero fare molto di più per adottare una condotta più responsabile. Alcuni continuano ad impiegare soluzioni di sicurezza non aggiornate o non affidabili, che non garantiscono la protezione necessaria.

Adottare il sistema di sicurezza più efficace disponibile è assolutamente fondamentale. Proprio lo scorso anno, Kaspersky Lab ha preso parte a 93 test indipendenti, assieme ad altri vendor importanti, e i nostri prodotti hanno ottenuto i migliori risultati.

Per ben 66 volte i prodotti Kaspersky Lab sono entrati nella Top 3 e per 51 volte hanno raggiunto il gradino più alto del podio. L’Information Security fa parte del DNA di Kaspersky Lab e lavoriamo con costanza per migliorare l’efficacia delle nostre tecnologie; i nostri utenti, così, si portano a casa le soluzioni di sicurezza più affidabili sul mercato.

Consigli