Cybercrime e ransomware: caratteristiche e rischi degli attacchi con riscatto (parte I)
Con ransomware si indica una categoria sofisticata di malware che infetta sistemi fissi e mobili, limitando l’accesso ai legittimi proprietari. Per riacquistare l’accesso ai file è necessario pagare un riscatto (dall’inglese ransom = riscatto).
Esistono principalmente due tipi di ransomware in circolazione:
- i Locker ransomware: sono le prime versioni distribuite: bloccano la vittima fuori dal sistema operativo, rendendo impossibile l’accesso al desktop e ad eventuali app o file. I file non sono crittografati, ma gli hacker chiedono un riscatto per sbloccare il computer infetto. Alcuni esempi includono i ransomware che si spacciano per qualche organizzazione di polizia (es. FBI, Metropolitan British Police e simili) o Winlocker. Alcune versioni dei locker ransomware infettano direttamente il Master Boot Record (MBR), la sezione dell’hard disk che permette al sistema operativo di avviarsi. Quando un ransomware colpisce l’MBR, il processo di boot non si completa e viene visualizzata una schermata di richiesta di riscatto. Alcuni esempi di ransomware di questo tipo sono Satana e Petya;
- gli Encrypting ransomware: incorporano algoritmi di crittografia avanzati e sono progettati per crittografare e quindi bloccare i file presenti nel sistema e richiedere il pagamento del riscatto per fornire alla vittima la chiave in grado di decodificare il contenuto bloccato. Alcuni esempi includono CryptoLocker, Locky, CrytpoWall. WannaCry fa parte di questa categoria ed è particolarmente sofisticato poiché ha sfruttato una vulnerabilità di Windows scoperta dall’NSA americana e rivelata pubblicamente al mondo intero dal gruppo hacker The Shadow Brokers (TSB). WannaCry ha colpito il 12 maggio 2017 infettando nelle prime ore circa 200.000 macchine in tutto il mondo, comprese le grandi organizzazioni.
La diffusione dei ransomware avviene principalmente attraverso e-mail di phishing con allegati nocivi o attraverso link a siti malevoli dai quali viene scaricato il malware senza che l’utente se ne accorga.
Perché gli attacchi ransomware sono in continuo aumento?
Gli attacchi ransomware sono tecnicamente efficaci e fanno leva sulla psicologia delle vittime attraverso la paura alimentata da messaggi intimidatori di distruzione o negazione irreversibile di accesso ai dati o al sistema.
In particolare, le caratteristiche che rendono un attacco ransomware “di successo” sono:
- i ransomware hanno una crittografia robusta, il che significa che non è possibile decodificare i file da soli;
- hanno la capacità di crittografare tutti i tipi di file, da documenti a immagini, video, file audio e altre cose che si possono avere sul PC;
- sono in grado di codificare i nomi dei file, quindi non è possibile sapere quali dati siano stati interessati. Questo è uno dei trucchi di ingegneria sociale usato per confondere e costringere le vittime a pagare il riscatto;
- mostrano una schermata o un messaggio che consente di sapere che i tuoi dati sono stati crittografati e che devi pagare una specifica somma di denaro per recuperarli;
- richiedono i pagamenti in bitcoin perché questa cripto-valuta permette sostanzialmente l’anonimato;
- di solito, i pagamenti di riscatto hanno un limite di tempo, per aggiungere un altro livello di vincolo psicologico all’estorsione. Il superamento della scadenza nella maggior parte dei casi significa che il riscatto aumenterà, ma può anche significare che i dati verranno distrutti e persi per sempre. Solo il 42% delle vittime che ha pagato il riscatto ha recuperato i dati;
- usano un complesso set di tecniche di evasione per passare inosservati agli antivirus tradizionali;
- reclutano spesso i PC infetti in reti bot, in modo che i criminali informatici possano espandere la propria infrastruttura e alimentare futuri attacchi;
- possono diffondersi ad altri PC connessi a una rete locale, creando ulteriori danni;
- dispongono spesso di funzionalità di estrazione dei dati, il che significa che possono anche estrarre dati dal computer interessato (nomi utente, password, indirizzi e-mail, ecc.) e inviarli a un server controllato dai criminali informatici, quindi la crittografia dei file non è sempre l’unico scopo;
- spesso le informazioni per il pagamento sono tradotte nella lingua della vittima, per aumentare le possibilità di pagamento del riscatto.
La seguente immagine non è la mappa della metropolitana di qualche città, ma l’evoluzione delle varianti di ransomware nell’arco di 5 anni dal 2012 al 2017:
Attacchi ransomware: differenze tra computer e dispositivi mobili
Nel mondo mobile non esistono gli encyption ransomware in quanto le app e il sistema operativo effettuano il backup sul cloud. Se gli utenti eseguono il backup dei file, non c’è bisogno di pagare un riscatto, per questo i cybercriminali non hanno interessi ad attaccare gli utenti mobili se non per fini di esfiltrazione dei dati personali contenuti nei dispositivi.
I locker (o blocker), invece, rappresentano il 99% dei ransomware per mobile poiché non fanno altro che sovrapporsi all’interfaccia di qualsiasi app e l’utente non riesce più ad utilizzarle.
Ti è piaciuto questo articolo? Allora non perderti la seconda parte sul approfondimento sul cybercrime e gli attacchi ransomware e come difendersi!
Redatto da Lucia D’Adamo, in collaborazione con Andrea Petriglia, supervisionato da Marco Pirrone