Ransomware: il malware che rapisce i pc, gli smartphone e i dati e poi chiede il riscatto

di  CorradoAaron Visaggio.

 

Un “ransomware” è un malware che “rapisce” pc, smartphone o dati, nel senso che, dopo aver infettato un dispositivo, ne impedisce l’accesso all’utente legittimo. Li rilascia al legittimo proprietario, o almeno promette di farlo, solo dietro il pagamento di un riscatto. Vi sono diversi tipi di ransomware, che variano sia per modalità di infezione che per effetto prodotto. Alcuni ransomware semplicemente impediscono all’utente di utilizzare il pc o lo smartphone, inibendone tutte le funzionalità. Altri ransomware, come TorrentLocker, cifrano tutti i dati che sono presenti nel pc o nello smartphone, rendendoli inutilizzabili. Al pagamento del riscatto o vengono consegnate le chiavi con cui poter decifrare i dati oppure viene sbloccato il pc o lo smartphone, a seconda del tipo di ransomware. Di solito, sul dispositivo infettato viene lasciato in chiaro un file che illustra le procedure da seguire per pagare il riscatto e quelle per sbloccare il computer o decifrare i dati criptati.

In alcuni casi viene fornita una mail a cui poter scrivere in caso di assistenza dopo che il riscatto è stato pagato e le chiavi sono state consegnate! C’è, quindi, una sorta di “centro di assistenza clienti” per le vittime. Il pagamento viene realizzato in bitcoin, una moneta elettronica creata nel 2009 che consente il possesso ed il trasferimento anonimo di denaro. E qui non è necessario dare ulteriori spiegazioni. I costi del riscatto in genere oscillano dai 300$ ai 2.500$, cioè sono relativamente bassi. E questa è sicuramente una “forza” del meccanismo di funzionamento del malware, perché diverse vittime, tutto sommato, sono disposte a pagare una cifra del genere per riavere indietro i propri dati. I metodi di distribuzione variano molto. Tra i più diffusi vi sono mail di phishing che inducono la vittima ad aprire un documento che contiene al suo interno lo script per l’installazione del ransomware (metodo utilizzato da Torrentlocker, TeslaCrypt, Locker), in forma di .zip, .doc,.pdf. Oppure è possibile essere infettati dai ransomware attraverso la navigazione su siti malevoli (TeslaCrypt) o cliccando su link che vengono passati alla vittima attraverso una mail di phishing, una chat o un qualche elemento grafico (immagine o banner) su un sito. Alcuni malware, come TeslaCrypt, sono racchiusi all’interno di versioni alterate di giochi famosi per pc o smartphone. Locker, per esempio, veniva installato attraverso un trojan innestato in una versione alterata del celebre gioco Minecraft.

Molti ransomware effettuano una scansione su tutti i dischi presenti sulla macchina vittima, sui supporti di memoria esterni, sui dischi condivisi e nelle directory dropbox. Purtroppo non è sempre possibile rompere la cifratura, e sicuramente non è possibile farlo con un attacco di brute force, in quanto si parla di cifratura AES. In alcuni casi è però possibile applicare alcuni tool per la rimozione del ransomware. Questi tool potrebbero funzionare per vari motivi:

1. In alcune versioni primitive dei ransomware le chiavi erano hardcoded, cioè scritte nel codice del ransomware oppure depositate all’interno di file a bordo del dispositivo infettato e quindi molte di queste sono state individuate dai produttori di antimalware;

2. oppure utilizzavano algoritmi di cifratura deboli, cioè basati su XOR encryption. I ransomware più recenti utilizzano cifratura AES molto robusta e le chiavi vengono individualmente prodotte per ogni dispositivo e questo rende praticamente impossibile riuscire a decifrare i dati criptati.

 

Cosa fare se si viene infettati:

1. Esistono dei produttori di antivirus che hanno realizzato diverse soluzioni per rimuovere i ransomware, come Lavasoft, Norton e McAfee, a prezzi tra i 50$ ed i 100$. Non sono però efficaci con tutti i tipi di ransomware, per i motivi descritti precedentemente.

2. Esistono delle società che invece forniscono un servizio remoto per ripulire il computer e ripristinarlo alla condizione pre-infezione. In questo caso i prezzi oscillano tra i $100 e i $250. Ma non è detto che possano riuscirci.

3. Pagare il riscatto non è mai conveniente per due motivi: innanzitutto non vi è garanzia che dopo il pagamento del riscatto la vittima sia in grado di ripristinare la macchina ed i dati. Ed inoltre il pagamento del riscatto potrebbe richiedere dati personali che potrebbero essere utilizzati poi per un furto di identità.

4. In linea di massima bisognerebbe avere sempre un back up dei dati più preziosi o sensibili in un luogo fisicamente diverso da quello dove si opera quotidianamente, sufficientemente protetto da accessi indesiderati, e possibilmente non direttamente collegato alla rete.

5. Sicuramente l’unica possibilità che rimane per ripulire un dispositivo infettato da un ransomware è la formattazione, ma questo, ovviamente, significa perdere comunque i dati che ci sono sopra, in assenza di un backup (funzionante).

 

Quale è la dimensione del mercato dei ransomware? Nel 2012 Symantec riuscì ad ottenere l’accesso al server di Command&Control usato da CryptoDefense (un altro malware, evoluzione di Cryptolocker, di cui si parlerà in seguito) e ottenne una stima dei volumi d’affari dalle transazioni registrate. Di 5.700 computer infettati con il malware in un solo giorno, circa il 3% delle vittime ha pagato il riscatto di $200 per un ricavo totale di 34.000$ in un solo giorno! Facendo un rapido calcolo si parla di circa 400.000$ al mese.

L’FBI ha stimato che lo scorso anno gli estorsori hanno totalizzato circa 27 Milioni di dollari. Cosa si osserva:

1. La pratica del back up spesso o non viene fatta o viene fatta con procedure errate. Storage Magazine ha segnalato che il 34% delle aziende non testano regolarmente i loro backup. Secondo Microsoft il 42% dei ripristini da back up su nastro falliscono.

2. Non vi è preparazione da parte degli utenti a premunirsi contro la social engineering, che è poi la tecnica che i ransomware utilizzano più massicciamente per diffondersi. Vi è ancora molta ingenuità nella navigazione su siti “di dubbia liceità”, nell’apertura di allegati o nel cliccare su link inviati per mail o su chat. Per esempio Porn Dorid app è un’app per guardare video porno su smartphone ed è stata utilizzata per veicolare un ransomware che bloccava lo smartphone e cambiava il PIN, richiedendo un riscatto di 500 $.

3. L’utente medio non adotta le pratiche più basilari di sicurezza e c’è in genere scarsa informazione sui rischi che si corre quando, per l’appunto si apre un file oppure si clicca su un banner o su un link.

4. Il Ransomware fa intuire quali siano gli investimenti della criminalità organizzata nel cybercrime: un ransomware oltre a necessitare di un know-how sia tecnico che giuridico elevato per essere sviluppato e gestito, richiede costi organizzativi e strutturali non banali. Di fronte ad una tale forza di fuoco di chi attacca, chi si difende mostra lentezza ed inerzia nell’organizzare dei meccanismi di difesa e protezione realmente efficaci.

 

Un po’ di storia

Secondo Symantec il primo ransomware fu diffuso in Russia e consisteva in un’immagine pornografica che non poteva essere rimossa dal video della vittima. Il pagamento avveniva attraverso l’invio di un sms o una telefonata a numeri di telefono a tariffe premium. Negli Stati Uniti il Reveton, invece, avvertiva gli utenti che sulla loro macchina era stato intercettato un traffico di immagini pedo-pornografiche dall’FBI e che fino a che non si pagava una multa, in bitcoin, naturalmente, non veniva ripristinato l’accesso alla macchina. La multa era di circa $500 (si consideri qui l’ingenuità delle vittime che credevano ad un meccanismo così fantasioso: è chiaro che nessun magistrato, chiuderebbe un’indagine sul commercio di materiale pedo-pornografico con una multina).Fra l’altro le vittime avevano a disposizione un indirizzo fines@fbi.gov, per richiedere informazioni! Questo malware si distribuiva attraverso banner pubblicitari su siti pornografici ed è anche probabile che alcune delle vittime pagavano proprio perché forse qualche immagine illegale ce l’avevano davvero sul computer.

Symantec ha stimato che almeno 500.000 persone hanno cliccato su questi banner in un periodo di 18 giorni. Nell’agosto 2013 fa la sua comparsa Cryptolocker, che utilizzava la cifratura a chiave pubblica e privata per cifrare i dati. Fu’ creato da Slavik, probabilmente la stessa mente che ha creato il trojan Zeus, un botnet che colpiva i software bancari e che ha mietuto un numero notevolissimo di vittime e ha prodotto diversi milioni di sterline di ricavi per gli attacker solo nel Regno Unito. Cryptolocker veniva inizialmente distribuito attraverso una botnet di trojan per i software bancari dal nome evocativo “Gameover Zeus”. Successivamente Cryptolocker ha iniziato a diffondersi attraverso mail di phishing di FedEx e UPS. Già in questa versione il ransomware forniva una scadenza, oltre la quale, se il pagamento non veniva effettuato, le chiavi sarebbero state cancellate. Molti ransomware utilizzano il sistema della scadenza delle chiavi per stimolare la vittima a pagare il riscatto velocemente e a non temporeggiare, magari riflettendo o esplorando soluzioni alternative. C’è evidenza che il riscatto rimane valido anche dopo la scadenza dei termini, ovviamente. In soli sei mesi dal settembre 2013 al maggio 2014 più di mezzo milione di vittime sono state infettate con Cryptolocker, ma solo l’1,3% delle vittime pagava effettivamente il riscatto.

 

Oggi che cosa ci aspetta

Attualmente le più grandi famiglie di ransomware sono CryptoWall, CTB-Locker e TorrentLocker. CryptoWall utilizza una cifratura simmetrica AES e una chiave RSA-2048 per cifrare le chiavi AES, più la rete TOR per anonimizzare le transazioni.

Gli autori di CryptoWall hanno sviluppato un programma di “condivisione degli utili” a tutti coloro che aiutano a diffondere CryptoWall. Quindi, si sta proprio sviluppando un modello di business efficace sui ransomware. Sebbene, fino ad ora, la maggior parte dei ransomware ha colpito sistemi Windows, un ricercatore brasiliano ha dimostrato come si può scrivere un Ransomware anche per Mac OSX ed i sistemi linux, sfruttando una vulnerabilità di Magento CMS. E’ ragionevole aspettarsi, dato l’enorme successo del modello sia di infezione che di diffusione del Ransomware, che nell’immediato futuro questo tipo di malware evolva in forme sempre più aggressive e sempre più remunerative per chi lo diffonde. Le armi che abbiamo a disposizione per limitarlo più che tecnologiche sono comportamentali: essere più accorti e critici verso i siti in cui navighiamo, i link sui quali clicchiamo, i documenti che apriamo, le mail che riceviamo. E se abbiamo dati preziosi, custodiamoli in posti sicuri.

Leave a Reply