MISCELLANEA /

Ricatto ransomware, un termine e un pericolo con cui è meglio familiarizzare

Ricatto ransomware, un termine e un pericolo con cui è meglio familiarizzare

23 Gennaio 2015 Redazione SoloTablet
SoloTablet
Redazione SoloTablet
share
Se i danni causati dal malware e dagli attacchi criminali online aumentano la colpa è in molti casi di utenti poco avveduti e attenti nell’uso delle tecnologie e nella protezione delle loro credenziali di accesso alle risorse online. Gli attacchi malevoli sono però sempre più insidiosi, violenti e ricattatori. Come nel caso dei ransomware, software che restringono l’accesso alle risorse di un computer e le liberano solo dietro il pagamento di somme di denaro o in bitcoin.

Premessa

Dei pericoli della Rete non si parla mai abbastanza, soprattutto quando per farlo bisognerebbe distaccarsi per un attimo dalla ubriacatura tecnologica e digitale di cui tutti, più o meno, smaltiamo gli effetti. E' una ubriacatura che evidenzia un rapporto malato o superficiale con la tecnologia e che espone molti a rischi elevati, anche di tipo economico. E' il caso dei cosiddetti malware o virus ransomware. Se ne parla in rete ogni qualvolta arriva all'onore della cronaca qualche caso eclatante che fa notizia. Non se ne parla mai a sufficienza per permettere agli utilizzatori 'incoscienti' della rete di correre ai ripari e di adottare nuovi comportamenti virtuosi in grado di proteggerli megiio e di prevenire gli eventuali attacchi che sicuramente arriveranno o sono già stati sferrati. Non fare nulla per prevenire garantisce esperienze di panico certe con risvolti psicologici ed economici imprevedibili! La prevenzione è però possibile....

I RANSOMWARE, malware ricattatori e pericolosi

Ransomware è un tipo di malware usato per infettare un computer e che agisce limitando l’accesso alle risorse dello stesso fino al pagamento di una somma di denaro al creatore del software. Alcuni ransomware si limitano a bloccare l’accesso ai file e a viasulizzare sullo schermo messaggi che invitano a pagare per riottenere il controllo delle proprie risorse. Altri eseguono la criptografia dei file rendendoli illeggibili e inutiulizzabili ai loro proprietari.

Il nuovo tipo di malware sembra avere avuto origine in Russia ma è ora diventato una pratica internazionale. McAfee ha raccolto i dati relativi ai ransomware in circolazione identificandone 250.000 solo nella prima metà dell’anno 2013, un numero doppio rispetto all’anno precedente. Ognuno di questi malware  come Cryptolocher o Cryptowall, sono capaci di estorcere milioni di dollari prima di essere individuati e debellati.

Il nuovo malware (che poi nuovissimo non è) si propaga come un semplice cavallo di troia o un virus che penetra nel computer attraverso il download di un file o una falla nel sistema di protezione del sistema. La sua prima azione è di sequestrare tutti i contenuti del computer e di criptarli in modo che solo chi ha costruito il virus sia in grado di usare le chiavi adeguate alla loro decrittazione. L’azione successiva è di visualizzare sullo schermo della vittima o di inviare un messaggio per annunciare l’avvenuto sequestro e per chiedere un riscatto immediato. Il pagamento del riscatto è previsto oggi quasi sempre in bitcoin e il valore della somma richiesta varia molto da virus a virus. Scartati quindi gli euro perché forse più facili da tracciare e più seplice monitorare le tracce dei pagamenti.

La scelta di Bitcoin non è casuale. Le transazioni di pagamento con Bitcoin cono le uniche che non possono essere annullate ma solo rimborsate da chi ha ricevuto il pagamento. Ricorrendo a Bitcoin i creatori dei ransomware sono certi che nessun tipo di revoca del pagamento possa essere fatta. Il ricorso a Bitcoin poi funziona perfettamente per pulire denaro proveniente da attività illegali. Il processo transazionale inoltre è gestito all'interno di contesti volutamente complessi per offuscare destinatari dei pagamenti e pagatori.

La somma richiesta non è mai elevatissima, ma può cambiare a seconda delle vittime incastrate. Un cittadino privato e singolo utente della rete può ricevere richieste di pagamento nell’ordine di centinaia di euro, le aziende molto di più. Il pagamento in bitcoin può però far aumentare di molto il valore del riscatto essendo legato al tasso di conversione del momento.

La richiesta di pagamento segue le logiche più dure del riscatto: paga o muori! A determinare la decisione del ricattato è l’urgenza impressa dal ricattatore all’intero processo e alla paura del ricattato di perdere tutto il suo patrimonio personale in termini di file, fotografie personali, posta elettronica, ecc.  Il termine del riscatto ha un limite limitato di tempo (60-70 ore) alla cui scadenza scatterebbe la minaccia temuta e in alcuni casi è già scattata con danni consistenti e irreparabili.

Un esempio delle minacce usate può aiutare a comprendere il tipo di pressione psicologica che viene usata:

  • “Il tuo computer è stato infettato da un virus. Clicca qui per risolvere il problema"
  • “Il tuo computer è stato usato per visitare un sito web con contenuti illegali. Per sbloccare ora il tuo computer devi pagare una multa di 100 dollari"
  • “Tutti i file del tuo computer sono stati criptati. Per rientrare in possesso dei tuoi dati devi pagare quanto richiesto entro 72 ore"

Il nuovo malware sembra essere stato inventato da uno sceneggiatore di film e di racconti dell’orrore ma le realtà in cui coinvolge le sue vittime sono molto reali e poco virtuali e fanno vivere ai malcapitati colpiti user experience che non vorranno mai più ripetere. Non solo per il danno economico ma per la pressione nella quale sono stati precipitati emotivamente in situazioni di panico e vero e proprio terrore.

Secondo molti analisti di mercato specialisti in sicurezza malware come questi, già molto diffusi, diventeranno un fenomeno allarmante durante il corso del 2015. Meglio che gli utenti lo sappiano e si attrezzino adeguatamente sia con strumenti tecnologici per la protezione dei loro dispositivi tecnologici sia per essere preparati a gestire situazioni di stress e di panico nel caso in cui venissero colpiti. Sotto mira ci sono computer di casa e laptop ma in primo luogo smartphone e tablet, dispositivi mobili sempre più diffusi e diventati il vero target e l’eldorado di tutti malintenzionati del mondo, non solo russi ma forse anche vicini di casa.

I nomi con cui i nuovi virus si sono presentati sono Cryptolocker, TorrentLocker, Cryptowall. Il loro modo di agire è simile, entrano di nascosto nei dispositivi hardware eludendo i controlli antivirus e facendosi aiutare da utenti sbadati o poco attenti alla sicurezza e che si lasciano trascinare dalla curiosità o dalle abitudini caratterizzate da click e interazioni tecnologiche fatte di corsa e in velocità. Superate le difese e installati sul computer criptano i file e danno modo al loro autore di far partire la minaccia e il ricatto.

I primi virus di questo tipo vengono fatti risalire a esperti di computer russi ma oggi sono strumenti potenti e molto pericolo di di un numero grande di malintenzionati che operano da e in ogni parte del mondo. Il fatturato è impressionante, si parla di 30 milioni di riscatti incassati in pochi giorni. Il valore è ancor più preoccupante se è vero è che è composto da numerosissimi micropagamenti. Se fosse così il numero di persone coinvolte è già oggi molto elevato a riprova della pericolosità dei virus ransomware.

Per conoscere i danni che questi malware stano facendo non c’è ce da scorrere le notizie della rete. Si scoprirà che nessuno è al sicuro e che la loro diffusione è ormai globale. Si scoprirà anche che loro è la causa dei blackout di molti comuni italiani, alcuni dei quali hanno deciso di sottomettersi al ricatto con un pagamento.

Le ultime versioni di questo tipo di virus colpiscono i dispositivi mobili usando link di Facebook o Twitter o applicazioni mobili scaricate sullo smartphone o tablet. Le statistiche indicano in milioni i dispositivi che sarebbero già stati colpiti.

Ciò che deve preoccupare non è il ricatto in sé ma è la sua evoluzione come processo. I curatori di questi virus lavorano sul software ma soprattutto sulla psicologia delle persone. Sanno quali contesti di ricatto utilizzare, ad esempio quelli porno visitati da numerosi maschi, e quali intimidazioni usare per fare pressione e forzare un rapido pagamento.

 

Le tipologie di ransomware in circolazione

In base alle informazioni finora disponibili i virus ransomware apparsi nel periodo 2013-2014 (il primo virus di ruesto tipo è fatto risalire al 2005) sono raggruppati in alcune famiglie:

  1. Dirty Decrypt
  2. CryptoLocker
  3. CryptoWall / Cryptodefense
  4. Critroni / CTB Locker
  5. TorrentLocker
  6. Cryptographic Locke

I tipi di file solitamente interessati dagli attacchi di queste tipologie di virus erano inizialmente solo quelli testuali e i fogli elettronici. Con l'arrivo di Cryptolocker quasi tutte le tipologie di file si sono trovate esposte e sotto attacco delle attività di crttografia dei virus. Oggi sono più di settanta le esetnsioni di file sotto attaccco, file contenenti immagini, video, database, codice sorgente, musica, presentazioni, pdf e molto altro. I TorrentLocker interessano 200 tipologie di file, alcune con estensioni sconosciute ai più come .djvu, .blend, ,ycbcra.

 

    I ransomware fanno parte delle più recenti famiglie di malware in circolazione. Sono malware di tipo crittografico che operano a viso scoperto  e sono usati per veicolare un ricatto ed estorcere denaro alla vittima. Alcuni di questi come Cryptolocker e CryptoWall sono molto efficaci perchè criptano i documenti degli utenti chiedendo in cambio della chiave per la decrittazione un riscatto.

    CONSIGLIATO PER TE:

    Il senso della vita

    Un altro ransomware molto più pericoloso è Onion (noto anche come Onion Encryptor, Onion Locker o CTB-Locker). E' un malware che agisce silenziosamente sul computer della vittina fino a quando tutti i docuemnti e i contenuti sono stati criptati, poi parte il ricatto con la visualizzazione di un timer che indica in 72 il tempo massimo utile al pagamento. La sua pericolosità coniste nell'agire dal Deep Web usando le reti anonime di TOR (The Onion Router) e per farsi pagare attraverso Bitcoin. In questo modo i produttorid dell virus sono in grado di proteggere meglio il loro anonimato, i loro fondi estorti con il riscatto e le chiavi per la decrittazione. Essendo basati su TOR la loro attività è più difficile da tracciare e i loro server sono difficilmente conquistabili.

    Un altro virus noto per gli attacchi di cui è stato portatore è Synolocker, un malware simile a al ransomware Cryptolocker perchè adotta lo stesso approccio di criptare i file per organizzare il ricatto e di permettere al suo ideatore di chiedere un riscatto per ottenere la chiave di decrittazione.

    Il sito della Microsoft di supporto agli utenti sui rischi alla sicurezza causati dal malware ransomware indica alcune tipologie di virus da cui proteggersi e di cui conviene sapere di più. La lista non è aggiornatissima ma fornisce comunque utili informazioni.

    Un altro virus o malware ransomware che ha rivelato le sue potenzialità è Oleg Pliss, responsabile di un attacco a utenti dell'iCloud di Apple e che ha impedito a migliaia di possessori di iPhone, iPad e iPod touch, negli Stati Uniti e in Australia di usare il loro dispositivo. Il blocco è stato vincolato ad una richiesta economica di 100 dollari. La pericolosità del virus è legato all'uso al contrario della funzione Trova il mio iPhone (iPad o iPpod Touch). La funzione era stata prevista da Apple per aiutare gli utenti che smarriscono il loro dispositivo in modo che potessero ritrovarlo o bloccarlo. Oleg Pliss ha trovato il modo di attivare questa funzionalità  violando gli account iCloud degli utenti)e di bloccare il dispositivo imponendo un costo per entrare in possesso di un codice di sblocco.

    Un virus ransomware apparso sui sistemi Android da ottobre 2014 si chiama KOLER, un virus insidioso e virale che ha colpito in modo particolare gli Stati Uniti. Koler è un cavallo di troia che blocca l'accesso al dispositivo visualizzando sul display una finestra con un messaggio minaccioso. La finestra impedisce di accedere e usare le informazioni e le funzionalità del dispositivo. E' una variante pericolosa e virale di malware, viene distribuito attraverso siti porno e altri siti illegali attarevrso il click di semplici e normali, all'apparenza, APP Android. Il virus accusa l'utente di avere visitato siti pedo-pornografici e di pagare una multa per averlo fatto usando una carta prepagata MoneyPak.

    E' stato segnalato come attivo in 30 nazioni diverse assumendo in ognuna di esse il ruolo di qualche istituzione poliziesca (in USA della FBI). Il suggerimento dato a tutti coloro che sono state vittime del virus è di non pagare alcuna somma di denaro, anche perchè il pagamento non garantisce di poter tornare in possesso complesto del proprio dispositivo. Il virus poi è facilmente rimovibile e non lascia danni perchè non applica nessuna forma di crittografia dei dati. Per riprendere il controllo del dispositivo serve una ripartenza in 'Safe Mode' e poi rimuovere le APP (ad esempio PhotoViewer) portatrici del virus. Fatto questo meglio procedere a definire meglio tutte le configurazioni del dispositivo per prevenire attacchi futuri.

    Il successo finanziario che i virus ransomware garantiscono ( fino a 35000 dollari in un giorno dopo aver infettato 5700 computer e il 2,9% di utenti che hanno deciso di pagare - i dati di una indagine Symantec nel 2012) facilita la proliferazione di varianti diverse dei virus principali. Alcune di queste varianti, distruttive e altrettanto profittevoli sono apparse nel 2013 con i nomi di Xorist, Cryptobit e Cryptolocker e nel 2014 di CryptoDefense e Cryptowall. Alcune varianti sono particolarmente pericolose perchè in grado di criptare i contenuti di dischi in rete. In alcuni casi è stato rilevato che gli utenti vittime di un virus ransomeware sono anche vittime di altri virus e malware come GameOver Zeus.

     

    Come evitare Onion Locker e altri tipi di malware simile

    La miglior difesa è la prevenzione. Prima ancora di ricorrere a dotare il computer di software antivirus adeguato a tenere lontani anche i malware ransomware, conviene apprendere alcune buone pratiche e cambiare modo di interagire con la tecnologia. Una reazione calma e guidata dalla lentezza potrebbe ad esempio impedire un click di troppo o troppo veloce e proteggere un dispositivo e i dati meglio di un antivirus.

    La prevenzione prevede comunauq anche l'installazione e l'aggiornamento continuo e periodico di software antivirus appropriati e di ultima generazione come  Kaspersky Internet Security. Bisogna sempre aggiornare tutti i programmi ma in particolare i componenti più critici: il sistema operativo, il browser e tutti gli add-on (media player, Java, lettori PDF, ecc.). Inoltre, è fondamentale usare una soluzione antivirus di ultima generazione.

    Per prevenire grossi danni, sia nel caso di attacchi ransomware che di semplici furti di dati, consigliamo sempre di realizzare backup regolari e salvare i dati su dispositivi removibili sicuri.

     

    Per evitare di essere vittime di virus ransomware è meglio praticare alcune sane abitudini:

    • evitare download di documenti allegati alle email o da siti web di cui non si hanno informazioni sufficienti a garntirne l'affidabilità
    • fare attenzione, nella navigazione in rete, a imbattersi e navigare siti compromessi e poco sicuri o non facilemente identificabili
    • usare software antivirus adeguati ma solo di fornitori noti e affidabil
    • frequentare la rete all'intero di circuiti conosciuti e già visitati
    • se si ha il dubbio che un sito possa essere un cavallo di troia per eventuali virus guardarsi bene da qualsiasi click o link
    • fare attezione allo spam spesso portatore di link malevoli che puntano a file contenenti il virus
    • mantieni sempre aggiornato il software antivirus
    • tenere attivo il firewall
    • se si usa un dispositivo Microsoft scaricare Microsoft Security Essentials, un software gratuito, non necessario per Windows 8
    • aggiornare frequentemente sistema operativo e applicazioni
    • adotta password e credenziali di accesso sempre più complicate e sicure
    • fai il backup frequente e completo (non solo parziale) dei dati e delle applicazioni
    • manetenere il backup in posti protetti e sicuri e disconnessi dalla rete

         

        Cosa fare quando si scopre di essere stati incastrati!

        Se si ha il sospetto di essere caduti nella trappola del virus ransomware, anche se comprensibile, meglio non farsi prendere dal panico, mantenere tutta la freddezza possibile per poter agire nel modo più razionale possibile:

        • non pagare e non cedere al ricatto pur sapendo che in questo modo il contenuto del dispositivo posseduto può essere perduto per sempe: al criminale interessa portare a casa il riscatto e se non ci riesce difficilmente eviterà di mettere in atto la sua minaccia
        • se si ha la percezione di una infezione in corso conviene eseguire urgentemente una scansione dei contenuti usando gli strumenti antivurus disponibili e in uso sul computer
        • se il problema persiste spegnere il dispositivo e riaccenderlo in modalità SAFE per poi lanciare nuovamente l'antivirus
        • se l'azione non ha portato a risultati concreti si possono usare funzionalità come quelle di Norton Power Eraser per rimuovere i virus particolarmente cattivi e pericolosi
        • su un sistema Windows si possono usare i software di Microsoft Windows Defender (built into Windows 8), Microsoft Safety Scanner, Windows Defender Offline, Microsoft Security Essentials
        • avvertire le autorità o la polizia

         

        Segnalazioni di attacchi portati a termine nel mondo

         

         

        Alcune referenze web

        comments powered by Disqus

        Sei alla ricerca di uno sviluppatore?

        Cerca nel nostro database