Prevenire le infezioni Ransomware
Indice
Introduzione
Sono passati circa 10 anni dall'inizio degli attacchi di ransomware. Da allora sono diventati uno dei casi, se non il più importante, per estorcere denaro dalle vittime. In questi dieci anni essi sono diventati sempre più complessi e avanzati e sono sicuramente più fastidiosi di prima. Gli attacchi di Ransomware sono aumentati esponenzialmente fin dalla loro nascita e sono ora parte del nostro lessico moderno. Recenti campagne di attacchi di ransomware come WannaCry li hanno portati sulle prime pagine delle maggiori testate internazionali, spesso questi titoli e gli articoli successivi hanno affrontato il costo e gli inconvenienti causati. Poco si è prestato attenzione a ciò che è il ransomware, come viene distribuito, e forse più importante come evitare di diventare vittima di un tale attacco. L'intento di questo articolo è quello di coprire in modo più dettagliato questi aspetti.
Cos'è un Ransomware?
Per dare una definizione di base di ransomware è importante guardare a ciò che il programma dannoso cerca di raggiungere, oltre al cyber-criminale che distribuisce il programma. Essenzialmente il programma dannoso sembra crittografare i dati dell'utente in modo da non poter accedere ai propri file. Spesso i file che vengono crittografati sono tipi di file essenziali per le informazioni aziendali o personali che possono distruggere la reputazione o mettere in pericolo le norme di conformità. Una volta che i file vengono crittografati, viene resa disponibile una nota di riscatto per l'utente che indica come il pagamento deve essere effettuato per decrittografare i dati. In sintesi, i dati dell'utente vengono effettivamente sottratti da loro per far pagare un riscatto. Molto spessosi chiede di pagare in Bitcoin o in un'altra criptatura. Questi metodi vengono utilizzati in quanto consentono a colui che richiede il pagamento un certo grado di anonimato.
Il Ransomware, storicamente è stato di due tipologie. Uno dei primi tipi di ransomware rilasciato sembrava bloccare la schermata degli utenti in modo che l'utente non potesse più accedere al proprio computer, a volte chiamato come ransomware. La popolarità di questo tipo di ransomware sembra essere in declino. Il secondo tipo, più spesso utilizzato, è una variante che crittografa alcuni file, generalmente permettendo all'utente l'accesso limitato al proprio computer. Questo accesso limitato è destinato a consentire all'utente di effettuare il pagamento in maniera più facile ed in modo tempestivo. Questi sono chiamati crypto-ransomware. Nel corso degli anni ci sono stati numerosi termini per descrivere i ransomware aggiungendo ulteriore confusione. Termini come crypto-ransomwares, cryptoviruses e CryptoLockers sono stati usati per descrivere il ransomware. Per non aggiungere ulteriori confusioni, il termine ransomware viene utilizzato in questo articolo per descrivere un programma dannoso che crittografa o limita l'uso dell'utente del proprio computer con l'intento di estorcere un riscatto.
Screenshots di 4 fra i ransomware più diffusi, Cerber, Locky, CryptXXX e Jaff:
Metodologia di attacco
Mentre gli attacchi di ransomware sono in aumento, i dati del 2016 mostrano che tali attacchi sono aumentati di tre volte in quell'anno, è essenziale sapere come viene eseguito un tale attacco. Ecco come viene distribuito, istallato ed eseguito il programma dannoso. Come viene inviato il ransomware al sistema verrà analizzato in dettaglio più avanti, e verrà trattato brevemente in questa sezione. Il motivo per cui la consegna viene trattata in modo più dettagliato è perché se è possibile arrestare la consegna del ransomware si arresta la sua distribuzione. Il seguente può essere visto come un riepilogo dell'attacco:
- Consegna: Il ransomware viene inserito nel sistema in due modi. Per email o tramite exploit kit collegati a un sito compromesso. (Questo sarà trattato più dettagliatamente di seguito.)
- Esecuione e Criptatura: Spesso i creatori del programma includeranno numerose misure per evitare il rilevamento da parte dei programmi anti-virus. Un metodo sempre più popolare è l'iniezione di codice, che inietta il codice in servizi autentici utilizzati dal sistema operativo. Una volta che i virus evitano anti-virus e firewall, il ransomware inizierà a cercare i file da crittografare. Spesso questi possono essere .docx .xlxs, o alcuni tipi di file di immagine. Varianti di ransomware più avanzate possono anche essere diffusi in unità di rete nel tentativo di infettare altri computer e sistemi collegati al target iniziale. Una volta trovati i file, il programma avvierà il processo di crittografia. Questo può richiedere minuti o secondi. La variante Chimera cripta i file in 18 secondi. Spesso i protocolli di crittografia a 128 bit vengono utilizzati per rendere la decrittura eccezionalmente difficile e praticamente impossibile per qualcuno senza la conoscenza richiesta.
- Il Riscatto: Una volta completata la crittografia, verrà mostrata una nota di riscatto o una schermata di blocco che indichi l'utente che i propri file sono stati crittografati e che dispone di una certa quantità di tempo per effettuare il pagamento, in caso contrario i file verranno crittografati in modo permanente. In teoria una volta ricevuto il pagamento, il cybercriminale invierà il codice di decrittografia. Ci sono stati casi in cui è stato effettuato il pagamento ma non è stato ricevuto alcun codice per decrittografare i file. È importante ricordare che se si è disposti a pagare, spesso si tratta di un'impresa criminale, non di persone con principi morali che guidano la loro attività immorali. Come sempre non vi è alcuna garanzia che una volta che il pagamento viene effettuato riceverai il codice di decrittografia. Esistono attività che sviluppano guide di rimozione e decrittografia, come il nostro sito web, queste possono aiutare nel caso si venga infettati.
Anche se il summenzionato riepilogo è una sintesi semplificata di come l'attacco si verifichi in pratica, fornisce una visione unica sul modo in cui il ransomware viene consegnato, distribuito e come crittografa i file della vittima. A seguito proponiamo una spiegazioni di come questi programmi dannosi vengono consegnati o distribuiti, e quindi come questi attacchi possono essere prevenuti.
Come viene distribuito il Ransomware
Come è stato detto, il ransomware viene fornito tramite due metodi principali. Gli exploit kit ed i messaggi di posta elettronica. Se gli utenti sono consapevoli di come vengono consegnati questi programmi dannosi, la prevenzione è una prospettiva molto più facile. Ogni metodo sarà esaminato in dettaglio:
- Email: L'email è diventata il metodo preferito per la distribuzione di ransomware e malware. Uno dei motivi per cui è favorita è perché può essere affidabile, oltre ad essere un metodo di distribuzione facile. Questo metodo di utilizzo delle email è spesso chiamato phishing. Un'email che sembra un'email legittima che potrebbe apparire da un'azienda legittima viene inviata con allegati che contengono il ransomware, spesso anche con altri tipi di malware. Una volta aperti questi allegati, il ransomware verrà automaticamente installato sul sistema degli utenti. I creatori del ransomware possono anche collegare siti web compromessi, piuttosto che utilizzare allegati compromessi. Il phishing è risultato di grande successo; è stato stimato da Verizon che il 30% delle email di phishing è stato aperto nel 2016. Quindi il tasso di successo è quasi un terzo di tutte le email. È stato adottato dagli sviluppatori di ransomware come un importante metodo di distribuzione per questo motivo.
- Exploit kits: Fondamentalmente un exploit kit consente allo sviluppatore di ransomware di caricare il codice dannoso su qualsiasi sito web a cui ha accesso. Il codice è stato progettato per sfruttare le vulnerabilità del software che l'utente potrebbe eseguire. In passato Adobe Flash Player è stato sfruttato per fornire ransomware e varie altre forme di malware. Purtroppo, questo non è limitato ai siti web sconnessi. Al fine di aumentare il tasso di infezione, gli sviluppatori utilizzeranno siti legittimi e popolari per distribuire ransomware. Anche se questo è minaccioso, non è una ragione per impedire agli utenti di godere di molti dei vantaggi che Internet offre. La migliore protezione contro tali attacchi è semplicemente mantenere aggiornato il software. Gli sviluppatori di software spesso utilizzano aggiornamenti per eliminare le vulnerabilità nel loro software, limitando così le vulnerabilità a cui gli utenti sono esposti. Come vedremo l'aggiornamento del software è uno dei modi principali per prevenire l'infezione.
Screenshots di messaggi email utilizzati per distribuire il ransomware:
Screenshots di allegati dannosi - documenti dannosi che contengono macro che, una volta abilitate installano il ransomware sul computer della vittima:
Nonosttante tutto ciò che è stato detto finora può sembrare molto disonesto ci sono modi per prevenire le infezioni. Come dice il vecchio adagio "prevenire è meglio che curare", lo stesso vale per il ransomware e molti dei metodi per prevenire l'attacco sono incredibilmente facili da eseguire. Spesso richiedono solo una piccola disciplina. Quando si considera che spesso ci voglioni una media di 500 dollari per decifrare i file crittografati, la prevenzione è qualcosa che il tuo portafoglio apprezzerà.
Come prevenire le infezioni
Di seguito si può vedere cosa fare per aumentare la propria sicurezza. Questi passi sono facili da implementare e spesso non richiedono perdite di capitale, anzi rendono consapevoli delle minacce a cui si va incontro quotidianamente usando un computer collegato a Internet. Ecco quattro metodi per aiutare a prevenire l'infezione del ransomware:
- Assicurarsi che il software sia aggiornato regolarmente: gli sviluppatori di software stanno aggiornando costantemente il software con uno degli obiettivi principali di ridurre la quantità di vulnerabilità che possono essere sfruttate dai cybercriminali. La maggior parte dei software ti informerà quando è necessario un aggiornamento o verrà automaticamente aggiornato se non si disattiva questa funzione. Può essere visto come una perdita di tempo aggiornare costantemente il sistema e il software, ma quando si considera che cosa può andare male un piccolo disagio è sempre preferibile ad un grosso danno. La recente infezione di WannaCry ha evidenziato uno dei motivi principali per cui l'attacco è stato così diffuso perché la gente non aveva scaricato e installato aggiornamenti di sicurezza importanti. In molti casi in cui la gente accusava Microsoft, anziché i cybercriminali in alcuni casi, Microsoft aveva già realizzato aggiornamenti per impedire lo sfruttamento delle vulnerabilità che WannaCry, attraverso DoublePulsar, aveva sfruttato.
- Installazione del software antivirus: non solo impedisce gli attacchi di ransomware ma impedisce anche numerosi altri attacchi di malware. Ci sono numerosi prodotti sul mercato e richiedono alcune ricerche di mercato da parte tua su quali aziende sono affidabili. Lo stesso vale per altri software anche se è necessario mantenere aggiornato il software antivirus. Ciò è fatto in modo che il software possa bloccare le ultime varianti di malware. Questo metodo di prevenzione richiede di spendere soldi guadagnati, ma nel lungo periodo può salvarti dall'attacco e dover spendere soldi a finanziare un sindacato di criminalità organizzata piuttosto che un'impresa incaricata di proteggere il computer.
- Fai attenzione all'apertura di messaggi di posta elettronica ed ai pop-up minacciosi: Esistono ottimi prodotti di filtraggio email disponibili sul mercato per aumentare ulteriormente la tua posizione di sicurezza. Si consiglia di acquistare un tale prodotto, molte varianti di ransomware possono essere impedite adottando il giusto processo di filtraggio. In primo luogo, quando si aprono le e-mail, guardare per vedere se viene inviata da una fonte legittima, questo può essere facilmente visto quando si guarda l'indirizzo del mittente. Se sembra sospetto non aprire uno degli allegati. Nel corpo dell'e-mail esegui rapidamente la scansione per errori di ortografia evidenti e errori di battitura grammaticali. È improbabile che le aziende inviino messaggi di posta elettronica contenenti errori evidenti in quanto presenterebbero male l'azienda. Ricorda inoltre che le banche e le altre istituzioni finanziarie non ti chiederanno mai informazioni sensibili quali le password per accedere a Internet banking tramite posta elettronica. Alcune varianti di ransomware distribuiscono il ransomware quando si fa clic su un pop-up. Non fare clic sui pop-up ma chiudili in modo sicuro per prevenire l'infezione.
- Prendi l'abitudine di creare un backup: questo la prevenzione non basta più, se ad esempio il sistema è infettato, questo permetterà all'utente di eliminare e ripristinare tutti i dati eseguiti su una data precedente. Creando backup periodici è possibile attenuare i potenziali risultati disastrosi di una infezione da ransomware. La creazione di backup non è solo consigliata per combattere le minacce informatiche, ma anche nel caso in cui un computer non riesca a partire. Un backup extra precauzione può essere eseguito su un disco rigido rimovibile che può essere scollegato dal computer e posizionato in un luogo sicuro.
Semplicemente impiegando le misure appena descritte ci si può difendere o impedire con successo un attacco di ransomware. Altre imprese e grandi aziende possono istituire politiche di sicurezza più severe che limitano l'accesso privilegiato a coloro che sono istruiti sulle minacce che l'organizzazione deve affrontare. Politiche come contattare il reparto IT se un dipendente riceve un'email sospetta può far salvare alla società letteralmente milioni di dollari in caso di attacchi di malware o violazione di dati.
Conclusione
Uno dei componenti fondamentali nella lotta contro le minacce informatiche è sempre stata l'informazione. A questo punto si spera che questo articolo dia maggiore consapevolezza su cosa sia un ransomware, come sia distribuito e su come difendersi contro l'attacco o come impedire un attacco. Utilizzando i metodi elencati in precedenza, si aumenterà la propria sicurezza e si faranno grandi passi per prevenire l'attacco. Ad esempio, solo eseguendo il backup, si limiteranno i danni causati dall'attacco di un ransomware se si è stati infettati. Speriamo di avervi dato delle informazioni utili ed illuminanti.