C’è una costante, nei report di sicurezza e negli allarmi lanciati da tutti gli specialist del settore: la minaccia dei ransomware continua a diventare più insidiosa, costando fastidi, perdite di tempo, di file o di denaro alle sue vittime. Il caso più noto è quello di Cryptolocker, un malware crittografico che, una volta infettato un dispositivo, esegue la cifratura dei file per poi chiedere un riscatto di alcune centinaia di euro. Ma le incarnazioni dei ransomware sono anche altre ed è bene imparare a risconoscerle, come ci racconta David Gubiani, security engineering manager di Check Point Italia. Difendersi o almeno limitare il rischio è possibile: bastano alcuni accorgimenti.
David Gubiani, Security Engineering Manager di Check Point Italia
Negli ultimi anni abbiamo assistito a un’intensa ondata di ransomware, che sembra peggiorare di mese in mese. Il primo caso, Cryptolocker, è stato individuato nel 2013. Da quel momento e fino alla fine del 2015, sono state osservate poche varianti di ransomware attive, alcune delle quali deboli e con una crittografia risolvibile. Molte di queste varianti, infatti, o non continuano a infettare gli utenti o eseguono campagne di basso profilo.
Alcuni autori di ransomware non hanno, infatti, le risorse necessarie per acquisire o sviluppare strumenti e tecniche di distribuzione di alta qualità, quindi si affidano a percorsi alternativi, con metodi di infezione e crittografia particolari, come i creatori di Petya, Mischa, Jigsaw e SamSam. Questi attacchi hanno un ruolo più marginale rispetto ad altri e spesso sono state trovate le chiavi per risolverne la crittografia, ma comunque vengono spesso citati per via della loro unicità.
Cryptolocker e i suoi cloni
Cryptolocker è diventato in breve tempo la minaccia principale della categoria. Dopo aver crittato i file, chiede un riscatto di circa 300 euro ma la cifra può aumentare fino a 10 Bitcoin se non si paga immediatamente. Il ransomware si diffonde attraverso siti infetti e spam. Attualmente non ci sono metodi per accedere ai file crittografati, ma i creatori di Cryptolocker sono stati arrestati.
Rilevato nel novembre 2013, Cryptowall è conosciuto anche come Cryptodef e Cryptobit. Nato come clone di Cryptolocker, dopo il suo smantellamento, è diventato uno dei ransomware più aggressivi. Il pagamento è in Bitcoin, il che rende più complicato da rintracciare per le forze dell’ordine. Ha quattro varianti, la più recente delle quali ha una crittografia più aggiornata e tecniche di evasione anti-sandboxing. Non esistono strumenti per decifrarne la crittografia.
TeslaCrypt è un ransomware molto aggressivo e diffuso con exploit kit come Angler, che in origine colpiva soprattutto gamer di specifici giochi. Gli autori hanno interrotto la campagna e rilasciato una chiave di recupero dati, anche se erano già disponibili diverse chiavi per decifrarlo. I ricercatori denunciano che probabilmente sono passati al ransomware CryptXXX. Tutte le varianti di Teslacrypt possono essere risolte.
I più diffusi oggi
Apparso nel febbraio 2016, Cerber è stato uno dei ransomware di spicco di questi mesi. Inizialmente diffuso attraverso gli exploit kit Neutrino e Nuclear, adesso si serve anche di spam. Invia una richiesta di riscatto audio, utilizza tecniche di evasione, non infetta le macchine in Armenia, Azerbaijan, Bielorussia, Georgia, Kirghizistan, Moldavia, Russia, Turkmenistan, Tagikistan, Ucraina e Uzbekistan, che utilizzano la lingua di questi Paesi, o che si geolocalizzano in questi Paesi.
Affermatosi all’inizio del 2016, Locky è arrivato a infettare da una a cinque macchine al secondo nel suo primo mese. Si diffonde con email di spam che includono un allegato Word infetto. La similitudine con il trojan bancario Dridex lascia pensare che sia firmato dallo stesso autore. Anche Locky evita le macchine che si trovano in Russia. Si è guadagnato la fama paralizzando un intero ospedale.
CryptXXX, avvistato ad aprile, viene distribuito attraverso l’exploit kit Angler e il trojan Bedep. Diversi ricercatori ipotizzano che dietro di lui ci sia lo stesso creatore di Angler, perché il nome originale di quest’ultimo è XXX. Questo ransomware si distingue dagli altri per una sua abilità aggiuntiva: quella di rubare informazioni. La prima versione di CryptXXX infatti ha cercato di accedere al wallet BitCoin utilizzato dall’utente per pagare il riscatto, e ci sono notizie di una nuova variante chiamata Microsoft Decryptor.
L’unione fa la forza
Uno dei lati positivi dell’affermarsi dei ransomware è la collaborazione tra i ricercatori che ormai condividono quotidianamente le proprie scoperte attraverso piattaforme apposite, quali Bleepingcomputer.com o ID-Ransomware. Inoltre, sono disponibili siti Web in cui la vittima di un ransomware può postare la richiesta di riscatto oppure un file crittografato e ricevere informazioni e la soluzione della crittografia, se esiste.
Per difendersi dai ransomware o almeno per attenuarne le conseguenze è consigliabile eseguire il backup dei file più importanti su un dispositivo esterno, utilizzato solo per questo e disconnesso dopo l’operazione, e su servizi online come DropBox o OneDrive. È utile ricordare che la prudenza non è mai troppa: in genere non ci si pensa quando si utilizzano i dispositivi, ma il pericolo c’è. È opportuno non aprire mai email o allegati che non aspettavamo e non autorizzare mai le macro. Un’altra abitudine utile è essere informati sulle campagne malware del momento.