Oggi parleremo di una minaccia insidiosa e difficile da affrontare, il ransomware.
Vedremo cosa sono, come si presentano, come evitarli e come sia possibile rimediare all’essere entrati in contatto con uno di questi software.
Durante questi 15 anni di lavoro e consulenze informatiche, mi è capitato più di qualche volta di essere contattato da persone disperate per aver perso tutti i dati.
In altri casi la disperazione veniva dall’impossibilità d’uso del computer che risultava bloccato e quindi inutilizzabile, se non previo contatto di una non meglio specificata assistenza.
Agli albori del problema, non si sapeva benissimo dove sbattere la testa. Questi software non sono riconosciuti come veri e propri virus informatici dagli antivirus e dai software per la sicurezza, ma ad oggi ci sono molti più strumenti ed ampia bibliografia a disposizione.
Cos’è un Ransomware?
La parola ransom in inglese significa “riscatto“.
È un malware che prenderà in ostaggio il vostro computer o i vostri dati e vi chiederà un riscatto per riaverli indietro.
Una prima classificazione deriva proprio da questo particolare:
- i blocker, che sono meno difficili da affrontare. Prendono il controllo del vostro PC, magari attraverso una schermata che vi suggerisce una telefonata ad un numero di assistenza tecnica. La schermata mostrerà un segnale d’allarme di infezione del sistema. Non chiamate, vi risponderà seriamente qualcuno che vi indurrà a concedere il controllo remoto della vostra postazione, da qui in poi le conseguenze sono imprevedibili;
- i cryptor, che cifrano l’accesso ai vostri dati, che siano foto, audio, documenti, immagini e qualsiasi file multimediale. Dopo la cifratura viene creata una pagina con la richiesta di riscatto, che solitamente avviene in criptovalute, e con un conto alla rovescia. Quando il tempo sarà finito, anche pagando, l’attaccante non ci fornirà più la chiave di cifratura. Questo è un tipo di attacco più rognoso a cui è più difficile porre rimedio senza riportare danni.
Nel primo caso è probabile che l’attaccante, una volta contattato per la fantomatica assistenza (ho fatto consulenze in cui è successo davvero), vi induca a fornire il controllo remoto del computer per poter installare software che permettano di vedere in chiaro il vostro traffico o i vostri dati, o per poter aprire una backdoor (la cosiddetta porta sul retro), per poter esercitare un controllo di qualsiasi tipo su di voi.
Nel secondo caso il pagamento del riscatto viene richiesto in criptovalute per una questione di privacy.
Per un ente controllore, qualora ci siano denunce per truffe di portata elevata, è possibile approfondire e conoscere chi è il beneficiario dell’incasso di un portafoglio crypto.
Per le persone comuni il registro transazioni è consultabile, tuttavia non è possibile associare alcuna identità all’indirizzo di portafoglio a cui paghiamo.
Contagio e diffusione
Il contagio avviene sempre in maniera subdola e distratta. Solo in pochissimi ed estremi casi, viene applicato il software attraverso un sofisticato attacco da parte di un hacker.
Generalmente vengono suggeriti link con e-mail apparentemente provenienti da persone che conosciamo, da istituti di credito o da altri enti, sotto forma di fatture con allegati da aprire urgentemente, come messaggi sui vari instant messenger dove vengono sempre suggeriti collegamenti o allegati. Il software può anche essere somministrato attraverso risorse gratuite.
Una volta lanciato il ransomware inizia a criptare tutti i dati multimediali, nei casi più comuni tutti i tipi di immagini (JPG, JPEG, PNG, TIFF, BMP, etc…), tutti i documenti (PDF, DOC, DOCX, XLS, etc…), audio e video (MP3, Webm, AVI, MOV, MP4, etc..).
I file criptati non saranno più accessibili, al tentativo di visualizzarli si aprirà invece una pagina con il countdown di tempo entro il quale sarà necessario pagare il riscatto. La pagina riporterà anche l’indirizzo di portafoglio al quale andrà inviato il pagamento.
Questo è il contagio, avviene per mano dell’utente ignaro e ce ne rendiamo conto solo quando è troppo tardi.
La diffusione invece avviene sia attraverso tutti i supporti collegati alla nostra postazione, quindi auguriamoci che il nostro hard disk esterno non sia collegato proprio al momento dell’avvio inconsapevole.
Questo vale anche per i dischi di rete, qualora siate in azienda o abbiate supporti come hard disk di rete o spazi online collegati localmente, tutto verrà criptato.
Ma la diffusione non finisce qui.
Il malware POTREBBE impadronirsi anche della vostra lista indirizzi e-mail, delle vostre password memorizzate nei browsers. Questo servirà per una più ampia diffusione anche all’esterno delle periferiche, contattando per vostro conto i contatti trovati in rubrica attraverso l’invio di collegamenti o files tramite e-mail o messaggi.
È possibile rimediare?
Si, ma anche no. La questione è piuttosto complicata perché il recupero dipende da tanti fattori.
Potrebbe venire immediatamente l’idea di pagare semplicemente il riscatto. Tuttavia nulla ci assicura che dall’altra parte ci forniranno la chiave di cifratura, in molti casi questo non accade affatto ed il pagamento su blockchain è irreversibile, quindi una volta inviato il corrispettivo per avere la chiave di cifratura, non avremo modo di far valere le nostre ragioni, perdendo anche i soldi oltre che i dati.
La scelta migliore è sempre rivolgersi ad esperti del settore.
Per procedere ad una decriptazione, che purtroppo in una gran parte dei casi non avviene con successo, è necessario conoscere da quale ransomware siamo stati colpiti.
Ogni ransomware ha il suo modo di criptare i files e quindi ogni tipo di cifratura richiede uno specifico modo di essere decriptata, capire da quale siamo stati colpiti non è semplicissimo.
Questo tipo di software è in circolazione già dagli anni ’90, tuttavia ha preso il volo solo nell’ultimo decennio grazie a maggiori comunicazioni, scambi e materiale multimediale.
Facciamo una breve lista dei più conosciuti:
- uno dei più anziani e famosi e sicuramente il cryptolocker, dal lontano 2013 ha infettato più di 500.000 macchine;
- Teslascrypt, un ransomware che colpiva principalmente file relativi ai videogiochi, è stato aggiornato diverse volte;
- WannaCry e NotPetya, questi due utilizzano il metodo di diffusione chiamato EternalBlue, un exploit sviluppato dalla NSA;
- SamSam diffuso dal 2015 ed utilizzato principalmente organizzazioni sanitarie;
- Locky e la sua variante Osiris, noti nel 2016, diffusi attraverso campagne di phising;
- Cerber si diffuse sfruttando una vulnerabilità Microsoft nel 2016;
- Leatherlocker, appartiene alla categoria dei blocker. Scoperto nel 2017 in due applicazioni Android;
- Wysiwye scansiona indirizzi IP pubblici per cercare server RDP in ascolto e tentando l’accesso prova diffondersi attraverso il controllo remoto;
- BadRabbit molto diffuso nel 2017 solo nell’Europa dell’est ed in Asia;
- direttamente da “Death Note“, il ransomware Ryuk conosciuto dal 2018, viene utilizzato insieme ad altri software come Trickbot per colpire organizzazioni particolarmente vulnerabili o azienda sanitarie;
- Maze più che un singolo ransomware, è un gruppo di malware di questa categoria;
- RobinHood come i precenti WannaCry e NotPetya, si diffonde tramite EternalBlue, nel 2019;
- GrandCrab uno dei ransomware più redditizi di sempre. Il software è stato venduto a dei pirati informatici dai suoi sviluppatori, rivendicando più di 2 miliardi di dollari pagati come riscatti fino a luglio del 2019;
- Sadinokibi, colpisce sistemi Windows criptando tutti i file. Parente stretto di GrandCrab;
- scoperto nel gennaio del 2020, Thanos è il primo ad usare la tecnica del RIPlace che può rendere inutili molte protezioni anti-ransomware.
In realtà questa è solo una parte della lista, potremmo continuare a lungo.
Esistono ransomware per ogni sistema, che sia per postazioni fisse o mobile, che siano Linux, sistemi Apple, Windows, Android o altro.
Insomma non esiste un confine per questo tipo di attacco.
Per tentare quindi di recuperare i file è necessario sapere con cosa abbiamo a che fare nello specifico, serve per cui il tool per identificare la minaccia e il tool per tentare di decriptare quella specifica cifratura.
Riuscire a decifrare la chiave e recuperare i files non è detto che vi restituisca il materiale, a causa del fatto che sia la cifratura che la decifratura effettuano una scrittura dello stesso file che può risultare corrotto al momento dell’utilizzo, pur non essendo più criptato.
Per rapidità si possono usare strumenti come ShadowFolder che ti permetterebbero di vedere versioni precedenti dei files salvati dal sistema, ammesso che il sistema abbia creato questi files nascosti.
Prevenire è sempre meglio che curare
Come recitava un famoso spot degli anni ’90, prevenire è meglio che curare.
Il primo rimedio in assoluto contro il ransomware è l’educazione e lo studio. Dobbiamo essere pronti a riconoscere le minacce anche quando sono travestite.
L’attacco di un hacker è molto raramente penetrante e aggressivo, ma più comunemente la falla sta in quello che facciamo noi, nel tranello che ci porta a fare il passo falso e ad aprire quel link, quella fattura o quella foto che non ci sembra malevola.
Molto spesso questo genere di trappole non sono riconosciute come pericoli anche dagli antivirus, pertanto quando siamo noi stessi a scegliere cosa deve essere avviato sui nostri dispositivi non c’è antivirus che tenga.
A livello pratico, se i nostri dati sono importanti e magari hanno un valore ben superiore a quello di 500-1500 € del riscatto che solitamente viene richiesto, è buona norma creare dei salvataggi offline del nostro materiale.
Una buona idea è senza dubbio quella di utilizzare un hard disk esterno, magari in doppia copia o piattaforme cloud che possano effettuare la “versionatura” dei files, in modo da poter ripristinare ad un salvataggio precedente.
Per “versionatura” si intende appunto il salvataggio precedente. Il metodo in assoluto più efficace contro questo genere di minaccia per via del fatto che, il ransomware cripta i nostri files, il cloud andrebbe poi a sincronizzare le nostre cartelle sovrascrivendo quelli precedenti, portando i files criptati sul cloud.
Il versioning dei files, ci consente di tornare un passo indietro prima della sovrascrittura.
Semmai ti imbattessi in un ransomware, non andare nel panico e non correre a pagare il riscatto.
È sempre bene valutare a quanto ammonta il danno per la perdita dei dati e ricordare che le forze che spendiamo per il riscatto, non per forza ci restituiranno i nostri files, potremmo sfruttarli per farci aiutare da un esperto senza alimentare le attività illecite di questi criminali.