La ricerca è stata condotta da McAfee Labs mettendo sotto osservazione la minaccia di ransomware e analizzando i moduli software da essi usati per infettare I sistemi attaccati e I loto firmware. Dalla indagine svolta emerge un vero e proprio allarme che nasce dall’evidenza di una crescita del 165% degli attacchi ransomware nel solo primo trimestre 2015.
Gli attacchi ransomware si basano sul ricatto a cui viene sottoposta la vittima. I suoi dati vengono criptati in modo da impedirne l’uso, fino a quando non sia stato pagato un riscatto in denaro o bitcoin. L’impennata di ransomware è dovuta principalmentee alla proliferazione di attacchi della famiglia ransomware nota come CTB-Locker e a nuove versioni di software noti come Teslascrypt, Cryptowall, TorrentLocker e BandaChor.
Il senso della vita
Un mezzo sempre più usato dai cyber-criminali ransomware per penetrare nei sistemi degli utenti è Adobe Flash. Il fatto di essere praticamente installato su tutte le piattaforme e di essere caratterizzato da numerose vulnerabilità, lo rende il varco ideale per attacchi ransomware che possano avere successo. Solo nel primo trimestre 2015 gli attacchi individuati da MacAfee Labs su Adobe Flash sono saliti alla cifra stellare di 200.000, un +317% rispetto ai 47000 attacchi individuati nell’ultimo trimestre 2014.
Il report si sofferma in particolare sul ransomware noto come Equation Group, capace di riprogrammare il firmware degli hard disk in modo da ricaricare il malware ogni volta che il disco viene attivato. Il malware rimane attivo anche e il disco viene riformattato o se il sistema operativo viene re-installato. La pericolosità del malware sta nella sofisticatezza degli algoritmi usati e nella loro invisibilità anche ai software per la sicurezza installati sul sistema.
Equation Group è un insieme di moduli software diversi, alcuni risalenti al 2001, che possono attivarsi su piattaforme a 32 o 64 bit, principalmente con sistemi operativi Windows ma, secondo alcune indicazioni, anche su sistemi iOS e OS X. L’azione di questi moduli software è di riprogrammare il firmware HDD/SDD con codice customizzato sul tipo di sistema (marca) e modello usato e di predisporre una apposita API in un’area nascosta del disco e del firmware per utilizzi futuri. Attreverso questa API (Application Programming Interface) il criminale digitale sarà in grado in futuro di riprogrammare il firmware a piacimento, caricare codici e risorse da usare per portare a compimento l’attacco e il ricatto. Il tutto nella più assoluta invisibilità al sistema operativo
I metodi usati per infettare i sistemi variano a seconda dei moduli Equation Group ma tutti hanno alcune consistenze e similitudini di comportamento nel modo con cui installano il software modificando il firmware. Spesso il vettore dell’attacco è un sito web, attaccato e infettato dal malware in modo da creare una vulnerabilità da sfruttare per l’attacco all’utente identificato come vittima che visiterà il sito. Quando l’utente visita il sito il malware scarica il modulo DoubleFantasy che dopo avere raccolto informazioni varie sul sistema attaccato passa alla seconda fase dell’infezioe scaricando i moduli EquationDrug e GrayFish che provvedono a riprogrammare il firmware.
La pericolosità di Equation Group suggerisce a tutti gli utenti ma in particolare alle aziende di proteggersi con cura per evitare che i BIOS dei sistemi vengano attaccati e infettati. Gli investimenti sulla sicurezza dovrebbero riguardare prima di tutto ciò che permette di individuare per tempo le modalità di attacco del malware come phishing, CD, USB ecc. e poi la implementazione di sistemi di protezione per individuare e combattere il ransomware.
Difendersi dai ransomware attuali è complicato per la loto capacità di evolvere, di cambiare algoritmi e target. La prevenzione è diventata una necessità, soprattutto se si usano software come Adobe Flash che nel primo trimestre 2015 ha visto aggiungere 42 nuoive vulnerabilità al ransomware da parte dell’istituzione (National Institute of
Standards and Technology) preposta a cercare e studiare le vulnerabilità del software. L’aumento delle vulnerabilità di Adobe Flash è stata del 50% rispetto all’ultimo trimestre 2014, una percentuale elevata che dovrebbe mettere in guardia qualsiasi tipologia di utenza. La sceltya di Adobe da parte dei cybercriminali è legata all’elevato numero di vulnerabilità ma anche al ritardo con cui Adobe interviene per fornire soluzioni e alla diffusione dei dispositivi mobili e di tecnologie da essi usate per eseguire file di tipo .swf.
Per chi volesse approfondire l'argomento può scaricare il Report di McAfee in formato PDF.