Segnalazioni dal mercato /

2015, l’anno di Cryptolocker

2015, l’anno di Cryptolocker

10 Dicembre 2015 Redazione SoloTablet
SoloTablet
Redazione SoloTablet
share
Milano, 15 dicembre 2015. Alla fine del 2013 abbiamo registrato i primi segnali di quelli che sarebbero diventati tra gli attacchi più remunerativi per i cyber criminali. Cryptolocker è il nome della più celebre famiglia di ransomware, nome utilizzato poi per tutte le minacce appartenenti a questa categoria. Il funzionamento è sempre il medesimo: codifica i documenti e richiede un riscatto per la restituzione.

Generalmente geolocalizza l’IP della vittima per mostrare il messaggio contenente le istruzioni per il pagamento del riscatto, sempre fornite nella lingua del paese corrispondente. I pagamenti devono essere effettuati utilizzando Bitcoin e tutti i contatti con i cyber criminali avvengono via Tor, per evitare intercettazioni da parte delle autorità. Questi attacchi sono diventati sempre più comuni nel corso del 2014, inizialmente con episodi isolati rivolti a singoli individui, per poi focalizzarsi verso le aziende, rivelatesi molto più remunerative grazie al valore più elevato delle informazioni rubate e del riscatto (spesso pari a 300 euro), irrisorio per la maggior parte delle organizzazioni.
Nel 2015 abbiamo assistito alla messa a punto degli attacchi per cercare di superare ogni barriera difensiva:

  • Non sono più stati commessi errori di codifica dei file. Queste disattenzioni permettevano alle aziende specializzate in sicurezza di creare tool per il ripristino dei documenti, senza la necessità di pagare riscatti.
  • Nuove famiglie di minacce hanno fatto la loro comparsa e numerosi gruppi di cyber criminali utilizzano Cryptolocker, diventato il codice più famoso al momento.
  • utti i cyber criminali utilizzano Bitcoin come metodo di pagamento, per non essere rintracciati.
  • Si sono focalizzati su due metodi di diffusione:
  • Tramite Exploit Kit
  • Tramite email con un allegato zippato
  • Sono state create nuove forme di attacco e abbiamo assistito all’utilizzo di script PowerShell, attivo di default con Windows 10.
  • Per quanto riguarda i dispositivi mobili sono stati rilevati alcuni attacchi (ad esempio quello che modificava il codice PIN di accesso), ma sono ancora un’eccezione alla regola.

Come proteggersi da Cryptolocker


Per quanto riguarda la protezione, è necessario ricordare che Cryptolocker ha “esigenze” differenti rispetto al malware tradizionale: non è invasivo (una volta codificati i documenti, non ha la necessità di restare sul sistema e, infatti, alcune varianti si cancellano in autonomia) e non si preoccupa di essere rilevato da un antivirus (l’unica preoccupazione è di effettuare l’attacco prima di essere individuato, tutto ciò che accade dopo non ha alcuna influenza).
I metodi tradizionali di identificazione sono ora piuttosto inutili, in quanto prima di realizzare un attacco, il codice verificherà che le tecnologie in atto non siano in grado di individuare l’esemplare e in ogni caso modificherà se stesso per superarle. L’analisi comportamentale nella maggior parte dei casi non è capace di identificare le sue azioni, in quanto spesso si installa nei sistemi di elaborazione per codificare i file come se questa fosse un’operazione abituale.   
Solo un sistema che monitora ogni processo in esecuzione su un computer, come Adaptive Defense 360, rappresenta un metodo efficace per bloccare in tempo questi attacchi prima che mettano a rischio i nostri documenti.




comments powered by Disqus

Sei alla ricerca di uno sviluppatore?

Cerca nel nostro database


Doxinet srl

Doxinet è un’azienda capace di adattarsi alle esigenze del mercato, in grado di...

Vai al profilo

Camagames

We’re the Camagames, founded Matteo Carretti to gather on music, graphic and...

Vai al profilo

gandgapp

Sviluppatore Android

Vai al profilo

Sudformazione srl

Scuola di formazione tecnica specialistica. Ci occupiamo di formazione in materia di...

Vai al profilo