Allarme Cryptovirus: prevenire per non pagare il riscatto!

739

Recentemente si è riscontrato un aumento dei casi di PC infettati dai cosiddetti cryptovirus, con le ultime versioni che si rivelano sempre più difficili da intercettare per gli antivirus, anche aggiornati, e il sistema operativo. Abbiamo sentito in proposito due esperti, Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG e membro del consiglio direttivo del CLUSIT, e Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes.

Quasi sicuramente negli ultimi giorni avrete sentito parlare di ransomware o cryptovirus. Non che sia un fenomeno proprio recente, visto che i nostri sistemi informatici sono esposti a rischi di questo tipo ormai da diverso tempo, ma le più recenti varianti di ransomware si sono rivelate particolarmente efficaci ad aggirare antivirus e protezioni dei sistemi operativi, andando a colpire un notevole numero di computer. I ransomware sono diventati così il pericolo numero uno: insomma, se il vostro PC non è stato infettato è particolarmente probabile che lo sarà a breve.

Stiamo forse esagerando, ma usiamo dei toni allarmistici per trasmettere la gravità del problema alla luce di uno scenario in cui, purtroppo, la maggior parte della popolazione ignora o sottovaluta l’esistenza di un problema di tale entità. I cryptovirus, infatti, vanno a crittografare i file che trovano sul disco rigido e non li rendono più disponibili a meno di usare una chiave di crittografia unica che viene generata specificamente per il PC infettato. Dopo aver completato la lunga operazione di crittografia dei dati appare una pagina web con i dettagli per il riscatto: bisogna pagare cifre importanti, anche di 500 euro, tramite metodi di pagamento senza tracciabilità come BitCoin o Money Pack. Ritrovarsi con file molto importanti, come lo possono essere delle foto o dei documenti, definitivamente inaccessibili, infatti, potrebbe mandare nel panico e addirittura indurre a pagare il riscatto, come è accaduto nel famoso caso dell’Hollywood Presbyterian Medical Center.

Il virus è inoltre particolarmente abile a diffondersi a macchia d’olio in tutta la rete aziendale, infettando altri computer della rete. Gli autori, infatti, nell’ottica di massimizzare gli introiti, puntano soprattutto a quelle realtà professionali la cui disponibilità dei file sensibili è fondamentale nel proseguimento delle loro tradizionali mansioni lavorative. Solitamente il virus viene trasmesso tramite allegato di posta elettronica contenente un JavaScript che va a scaricare un eseguibile da uno spazio web e lo lancia a insaputa dell’utente. Ma questa è solamente una modalità di propagazione, perché ce ne sono molte altre come ci spiegano i tecnici che abbiamo interpellato.

Di solito alla base della propagazione del virus c’è un hacker che compromette un PC, un server o rete di PC (botnet) diventando un C&C server (Command&Control). A quel punto si spamma nella casella di posta di utenti ignari che cliccano sui famigerati link facendo incosapevolmente richiesta ai server di Command & Control e il virus che cifra i dati va in esecuzione.

I virus del tipo crypto di solito sono basati su una cifratura costruita tramite RSA a 2048 bit con un meccanismo a chiave pubblica asimmetrica particolarmente difficile da decriptare. Gli antivirus, come ci spiegano meglio i nostri tecnici, sono in difficoltà perché impiegano il modello tradizionale passivo che ormai sta diventando obsoleto di fronte a minacce di questo tipo. Per proteggere un computer da una nuova minaccia, infatti, bisogna aggiornare prima l’antivirus, fargli sapere che esiste un nuovo virus e quindi fornirgli gli strumenti per difendersi. In futuro, invece, i sistemi di protezione devono essere sempre più attivi, ovvero devono essere in grado di individuare autonomamente le minacce.

L’antivirus basato su firme ha bisogno di campioni del virus, che devono essere studiati nei laboratori per trovare un antidoto. Inoltre, i virus sono molto evoluti rispetto a una volta e decisamente più sofisticati: ad esempio, riescono a sfruttare quelli che vengono definiti exploit zero-day, ovvero le eventuali vulnerabilità dei software o del sistema operativo. Inoltre, oggi si trovano nell’underground del web dei software che consentono di generare dei virus ad-hoc anche senza essere dei programmatori molto bravi.

Gli antivirus arrancano nel caso della famiglia di virus crypto perché continuano a essere basati sul principio della ricerca del campione. Principio che non funziona più con le infezioni moderne perché questi ultimi eseguono azioni diverse in base alla location, il che rende più difficile la vita del produttore di antivirus. I virus di oggi attivano, infatti, componenti in maniera casuale, cioè si comportano in maniera diversa da installazione a installazione; oppure rimangono dormienti fino al verificarsi di un determinato evento. Ma riescono anche a individuare il tipo di antivirus installato sulla macchina, ovvero il virus capisce chi sta cercando di contrastarlo e si comporta di conseguenza. Possono poi infettare dei processi regolari di Windows in modo da nascondersi all’interno di questi processi e non essere così individuati dall’antivirus. In questi casi non è associato un preciso file al virus, ma quest’ultimo va a utilizzare un file o un processo di Windows modificato, procedura che viene chiamata negli ambienti informatici hijack.

“Le aziende sono bersagliate di continuo e le ultime sofisticate varianti di questi ransomware sono in grado di entrare nella rete e di criptare i dati archiviati nei server in pochi minuti”, si legge in un resoconto di IKS, azienda di consulenza specializzata nell’ambito della sicurezza informatica. Nell’ultimo mese IKS ha analizzato più di venti milioni tra siti internet visitati ed email ricevute dai propri clienti, scoprendo come di quest’ultime ben il 65% fosse spam e il 20% contenesse stringhe malevole o rimandasse a siti ad alto rischio. Nell’ultimo anno inoltre, su decine di milioni di messaggi analizzati, IKS ha rilevato la stessa tendenza: il 40% delle email sono risultate essere spam, delle quali l’1.7% conteneva malware di tipo ransomware-Cryptolocker. Si rimarca come a due anni dalle prime segnalazioni di questo tristemente famigerato malware il pericolo è tutt’altro che debellato e sembra che la maggior parte delle aziende non abbia ancora trovato le giuste contromisure, continuando ad infettarsi e propagando le infezioni orizzontalmente a tutti i reparti.

Abbiamo deciso di mostrare attraverso un video cosa succede nel caso il proprio PC venga infettato da un ransomware, nello specifico nella variante Cryptowall. I virus di questo tipo sono molto efficaci nell’espandersi nell’intera rete aziendale, quindi per evitare contaminazioni di questo tipo abbiamo installato una Virtual Machine e provveduto al collegamento tramite un dongle 4G. Abbiamo procurato un eseguibile contenente il cryptovirus e abbiamo provato a lanciarlo in presenza di Avira Antivirus e Windows Defender. In queste condizioni l’antivirus ha subito rilevato la presenza del cryptovirus e bloccato l’esecuzione, per cui, in modo da infettare il computer, abbiamo dovuto provvedere a rimuovere la protezione Real-Time di Avira e disabilitare Windows Defender.

In caso di assenza della connessione a internet, inoltre, il virus rimane dormiente e colloca un processo in “esecuzione automatica”. Al primo avvio del sistema con connessione a internet ecco che il processo viene attivato e la crittografia parte.

Subito dopo l’esecuzione del virus abbiamo notato come un processo senza nome occupasse il processore in maniera importante, mentre il disco venisse utilizzato estensivamente. Il virus, infatti, è andato a crittografare tutti i file presenti sul disco rigido. Per questa operazione si è connesso a internet, ha generato una chiave di decodifica unica per la nostra operazione, e ha iniziato la fase di crittografia. Aveva circa 1 GB di file a disposizione e ha impiegato circa 5 minuti per completare l’operazione. Alla fine del processo i nostri file erano tutti crittografati, a prescindere dal loro formato originale.

Inoltre, lanciava una pagina web con un testo in cui ci si congratulava con noi per “aver aderito” al programma Cryptowall e illustrandoci le modalità per pagare il riscatto tramite i metodi di pagamento senza tracciabilità. Sul desktop di Windows veniva posizionata una pagina HTML, qualora volessimo in un secondo momento accedere alle informazioni sul pagamento, con il nome HELP_YOUR_FILES.

Una piaga che può colpire chiunque

Può essere interessante cercare di capire in che modo questa minaccia si abbatta sul pubblico, osservandone le dinamiche di diffusione e i meccanismi di funzionamento. Per cercare di delineare un quadro esaustivo della situazione abbiamo contattato due esperti italiani nel campo della sicurezza informatica, Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG e membro del consiglio direttivo del CLUSIT, e Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes.

Anzitutto è utile sapere che i ransomware sono un pericolo che riguarda tutti e non vi è un bersaglio preferenziale. Come ci spiega Manzoni, “il modello di business del ransomware non ha particolari preferenze per privati o aziende. La stessa modalità di diffusione di questi malware (il phishing su larga scala) determina il fatto che si tratta di “pesca a strascico”. I margini importanti che i criminali riescono a fare con questo genere di reati (di estorsione) dipendono principalmente da ragioni statistiche. Ci sono stati tentativi di “profilare” le vittime da parte dei criminali ma non hanno dato loro particolari vantaggi. Quello che piuttosto si sta determinando è che gli importi chiesti dal malware per decifrare i file delle vittime tendono inesorabilmente a salire. Questo è un segno che il modello di business sottostante funziona, e purtroppo che le vittime pagano”.

batman

Ovviamente nel caso in cui un ransomware vada a colpire i sistemi informatici di un’azienda o di un libero professionista il danno che ne può scaturire è indubbiamente di più ampia portata rispetto a quanto possa accadere ad un singolo utente. Progetti, contabilità, contratti e quant’altro potrebbero andare irrimediabilmente perduti o recuperati con grande difficoltà, mettendo quindi a rischio l’operatività e la sopravvivenza di un’attività. “Ci sono aziende italiane che hanno chiuso i battenti a causa di un ransomware, altre hanno subito danni importanti. In alcuni casi, pur avendo pagato il “riscatto”, non è stato possibile recuperare i file cifrati dal malware. In generale, chiunque non abbia procedure ed infrastrutture dedicate alla business continuity rischia il blocco dell’attività, perdita di informazioni, ed eventuali richieste di risarcimento da parte di terzi danneggiati. Va segnalato che la “litigiosità” su questi argomenti sta iniziando a crescere rapidamente” ha evidenziato Manzoni.

Trattandosi quindi di una minaccia a 360 gradi è bene osservare che anche i suoi meccanismi di diffusione sono molteplici e variegati: la formula del ransomware, sottolinea Manzoni, fa leva in maniera opportunistica su tutte le debolezze e le le falle del sistema, sia culturali che tecnologiche. In maniera particolare sfrutta le abitudini della gran parte degli utenti, specie quelli meno accorti, a “cliccare senza pensare”, a non tenere un backup periodico, al fatto che non vi sia nessuno che si accolli l’onere di monitorare seriamente la rete e, sul versante tecnico, all’inefficacia degli antivirus basati su signature.

Ovviamente le buone norme di comportamento in materia di sicurezza informatica aiutano a ridurre la probabilità di contrarre l’infezione da ransomware ma non la annullano. Vi sono alcuni casi di infezione tramite social network che può essere difficile se non impossibile evitare anche usando il web in maniera appropriata e responsabile. “E’ il motivo per il quale consiglio sempre di non mettersi nella posizione di dover pagare, conservando al sicuro backup aggiornati” osserva Manzoni.

Per quanto riguarda le modalità e i veicoli di infezione anche Giuliani sottolinea quanto queste minacce facciano leva sulle naturali debolezze dell’essere umano: “I principali veicoli di infezione rimangono quelli di sempre: social engineering attraverso e-mail finte e siti web apparentemente leciti ma compromessi con codici exploit capaci di sfruttare vulnerabilità di browser e software non aggiornati per installarsi automaticamente all’interno del PC della vittima. Nella maggior parte dei casi gioca un ruolo critico l’esperienza dell’utente, che spesso deve capire quando un’e-mail è finta e quando no. Per fare un esempio, molte aziende usano quotidianamente corrieri espresso: quando la segretaria riceve una finta e-mail del corriere espresso con link ad una fattura è molto facile che venga tratta in inganno e vada ad aprire il finto documento presente al link della pagina web fittizia. Nei restanti casi si tratta invece di una azione involontaria, dove l’utente – che, anche qui, tuttavia, ha un ruolo fondamentale perché ha il dovere di tenere aggiornati i programmi che utilizza nel proprio PC – si trova a navigare su siti web apparentemente leciti ma che sono stati compromessi da pirati informatici con dei codici capaci di sfruttare le falle dei programmi non aggiornati (Java, Flash, Adobe Acrobat per citarne alcuni). Nel tal caso effettivamente l’utente non ha cliccato su nulla in particolare, ma è rimasto comunque infetto”.

Ransomware, come funzionano?

Vengono abitualmente chiamati con il nome di “Cryptolocker”, ma in realtà questi è il nome di una delle prime famiglie di queste minacce che sono più propriamente indicate con il termine ransomware, dall’inglese “ransom”, riscatto, poiché prendono letteralmente in ostaggio i documenti dell’utente e chiedono un esborso in denaro per la loro restituzione.

Ci spiega Giuliani: “Ad oggi ne esistono diverse varianti (Teslacyrpt, TorrentLocker, Cryptowall per citarne alcuni), principalmente per Windows ma senza disdegnare altri sistemi operativi quali Linux e OS X. Questo genere di infezioni, una volta eseguite nel sistema, partono alla ricerca di varie tipologie di documenti presenti all’interno del computer vittima – documenti Office, PDF, foto e video, archivi ZIP, file di progetti tecnici quali Autocad, sono tra le tipologie più attaccate – criptandoli mediante differenti tipologie di algoritmi di crittografia e rendendoli così inutilizzabili. La crittografia più comune applicata è AES 256 bit con password generata casualmente su ogni PC, e poi questa password random viene a sua volta crittografata utilizzando algoritmi RSA a chiave pubblica/privata, e la privata è ovviamente in mano all’autore del ransomware solitamente nascosto dietro rete TOR.”

desktop

Quando i primi esempi di ransomware hanno iniziato a circolare “in the wild” operavano in maniera leggermente differente rispetto ad ora e prevedevano la cancellazione dei file e la loro sostituzione con una copia crittografata. Questo modus operandi lasciava spazio alla possibilità di recuperare almeno una parte delle informazioni cancellate, contenendo quindi il danno causato dal malware. Con il passare del tempo, però, queste minacce si sono evolute e sono passate a sovrascrivere direttamente i file con una versione crittografata, operazione che lascia ben poco spazio a possibilità di recupero. E’ bene osservare che praticamente tutti i ransomware in circolazione non fanno alcuna distinzione tra dischi locali e dischi di rete. Ciò significa che il ransomware tenterà di sovrascrivere e cifrare anche i file presenti sulle unità di rete presenti e mappati nel sistema.

A livello di sistema operativo possono esistere alcune funzioni, dette di shadow copy, che permettono di mantenere una copia/revisione dei file presenti nel sistema, così che sia possibile ripristinare copie precedenti dei file crittografati. L’evoluzione dei ransomware, però, non fa sconti: alcune recenti versioni di questi malware prendono di mira le shadow copy cancellandole dal sistema prima di procedere alla crittografia e sovrascrittura dei file.

Una volta che il ransomware ha terminato il suo improbo lavoro, comunica all’utente un indirizzo web dove potersi collegare per recuperare le istruzioni necessarie al pagamento del riscatto, che di norma viene richiesto in criptovaluta non tracciabile, generalmente Bitcoin, rendendo quindi complicata l’eventuale operazione di pagamento per il pubblico meno avvezzo al mezzo tecnologico. L’ammontare del riscatto si aggira, di norma, su un controvalore compreso tra 200 e 700 euro.

“Nell’ultimo periodo si assiste ad un picco di casi. Il numero di malware (e di gruppi che li producono e ci lucrano, in alcuni casi in modalità ” malware as-a-service”) sta aumentando perché la formula ha successo ed i vantaggi per i criminali superano di ordini di grandezza i rischi. Il vero problema infatti è che non c’è ad oggi alcun meccanismo di dissuasione efficace contro questo genere di reati online” osserva laconicamente Manzoni.

Come prevenire

L’efficacia vandalica del ransomware espressa nella pagina precedente spiega per quale motivo questo genere di minacce sia così letale anche solamente con un passo falso dell’antivirus: per ridurre al minimo questa possibilità vale ovviamente la solita vecchia regola di tenere aggiornato con estrema frequenza il proprio strumento di protezione e di associarlo ad una soluzione anti-exploit che possa ulteriormente mitigare l’azione delle minacce informatiche.

Le società che si occupano di sicurezza informatica si stanno muovendo in maniera attiva nei confronti dei ransomware con lo sviluppo di strumenti capaci di identificare il comportamento di questi malware in tempo reale e di adottare immediatamente contromisure che possano consentire di salvare il sistema magari con il sacrificio di appena poche decine di documenti.

Tra i software al momento disponibili è possibile citare Malwarebytes Anti-Ransomware (in beta), Hitman Pro Alert con CryptoGuard e CryptoPrevent

confronto

Ma il consiglio migliore che si possa elargire in ottica di prevenzione è quello di procedere ad un regolare backup dei propri dati, che sia conservato su un supporto sicuro. La pratica del backup è da sempre una di quelle più suggerite e meno attese nell’arsenale delle misure di prevenzione per la sicurezza informatica, per la quale si avverte realmente l’esigenza solamente dopo il verificarsi di situazioni dalle quali è difficile, se non impossibile, tornare indietro.

Sottolinea Giuliani: “Esistono soluzioni di backup che permettono di mantenere revisioni dei file salvati, così da poter eventualmente mantenere più copie degli stessi dati. Risulta inutile, ai fini ransomware, fare backup su un altro hard disk removibile costantemente collegato al PC, visto che sarebbe identificato dal sistema operativo come un disco aggiuntivo e come tale accessibile anche dal ransomware stesso. Il consiglio più semplice è quello di disconnettere l’unità su cui vengono salvati i backup regolari ogni volta che l’operazione è stata completata, così da mantenere una copia dei dati salvata e al sicuro da eventuali attacchi di ransomware. Esistono anche soluzioni più avanzate, quali sistemi di NAS con copie shadow dei dati salvati. In quel caso, anche se il ransomware riuscisse ad accedere al disco aggiuntivo visto dal sistema operativo, comunque non potrebbe cancellare le vecchie copie shadow dei file criptati, poiché sono gestiti in maniera autonoma dal NAS e non accessibili da remoto”. Rimane valido, inoltre, un ulteriore consiglio di vecchia data: utilizzare un account limitato e non disabilitare l’User Account Control nei sistemi operativi da Windows Vista in poi.

Il suggerimento di Manzoni abbraccia anche una modifica comportamentale sia rivolta all’utente finale, sia al pubblico aziendale e dei professionisti: “In astratto è già possibile neutralizzare questo genere di minacce. Basterebbe cambiare l’approccio nell’uso delle tecnologie, applicare il precetto “trust-no-one” ad ogni attività in rete, investire in cyber security, business continuity, disaster recovery e formazione, e come già detto precedentemente, non mettersi nella condizione di dover pagare. I criminali sono pragmatici, puntando esclusivamente a fare soldi, tanti e facili, senza rischi. Se la maggior parte delle vittime non pagassero (perché hanno i loro dati al sicuro) il fenomeno ransomware tramonterebbe in un batter d’occhio”.

Come curare, per quanto possibile

Veniamo alla domanda più calda quando si parla di ransomware: cosa è possibile fare quando, nonostante le dovute attenzioni, il proprio sistema viene colpito da uno di questi malware? Estinguiamo subito le speranze sottolineando che tutti i casi in cui le società di sicurezza sono state in grado di recuperare i file criptati si riconducono a poche circostanze: sequestro dei server che ospitano le chiavi di cifratura, infiltrazione di ricercatori di sicurezza nei sistemi degli attaccanti o implementazione non corretta dei sistemi di crittografia. Un ransomware correttamente programmato e le cui chiavi di cifratura siano adeguatamente protette lascia pochissimo se non nullo spazio alla possibilità di recuperare i dati senza la giusta chiave, per la quale è richiesto il riscatto.

congratulazioni

Riscatto che sconsigliamo nella maniera più assoluta di corrispondere: non vi è infatti alcuna garanzia che l’attaccante fornisca la chiave corretta, non vi è nessuna assicurazione che il problema non si ripresenti e, in ultima istanza, si alimenterebbe il giro criminale cui Manzoni faceva riferimento nella pagina precedente. E’ interessante osservare, a tal proposito, che molti servizi di cambio bitcoin stanno approntando un sistema di monitoraggio per individuare quelle somme che più frequentemente sono state chieste come riscatto, allo scopo di ostacolare il fenomeno.

Chiarito ciò, quali eventuali contromisure immediate è possibile adottare non appena ci si accorge di essere stati colpiti da un ransomware? Suggerisce Giuliani: “Molti ransomware necessitano di una connessione ad Internet. Un primo trucco banale ma efficace contro qualche variante di ransomware è quello di interrompere appena possibile la connessione al web. In questo modo per alcune versioni la routine di crittografia dei dati viene interrotta, permettendo di limitare i danni. In alternativa si può spegnere il computer il prima possibile, per poter recuperare in un secondo momento ciò che ancora non è stato compromesso”. Successivamente si può tentare di avviare il sistema tramite un antivirus con boot da CD (ad esempio Kaspersky Rescue Disk, Windows Defender Offline, BitDefender bootable CD, Dr.Web Live Disk) o da altra unità per trattare l’infezione: è consigliabile in questo caso non eliminarla ma confinarla in quarantena poiché rivolgendosi ad una società di sicurezza è possibile far analizzare la minaccia e tentare un recupero dei dati.