Ransomware

Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro.

Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo.
Nel giugno 2013, la casa software McAfee, specializzata in software di sicurezza, ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250.000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente. CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.
Funzionamento

I ransomware tipicamente si diffondono come i trojan, dei malware worm, penetrando nel sistema attraverso, ad esempio, un file scaricato o una vulnerabilità nel servizio di rete. Il software eseguirà poi un payload, che ad esempio cripterà i file personali sull’hard disk. I ransomware più sofisticati utilizzano sistemi ibridi di criptazione (che non necessitano di condivisione di chiavi fra i due utenti) sui documenti della vittima, adottando una chiave privata casuale e una chiave pubblica fissa. L’autore del malware è l’unico a conoscere la chiave di decriptazione privata. Alcuni ransomware eseguono un payload che non cripta, ma è semplicemente un’applicazione che limita l’interazione col sistema, agendo sulla shell di Windows e rendendola non operativa e controllata dal malware stesso, o addirittura modificando il master boot record e/o la tabella di partizione (il che impedisce l’avvio del sistema operativo finché non viene riparata).

I payload dei ransomware fanno anche uso di scareware per estorcere denaro all’utente del sistema. Il payload potrebbe ad esempio mostrare notifiche che credibilmente potrebbero essere state inviate dalla polizia federale o da varie compagnie, le quali affermano falsamente che il sistema sia stato usato per attività illegali o che contenga materiale illegale, pornografico o piratato. Altri payload imitano le notifiche di attivazione prodotto di Windows XP, affermando che il computer potrebbe montare una distribuzione di Windows contraffatta, che va quindi riattivata. Queste tattiche forzano l’utente a pagare l’autore del malware per rimuovere il ransomware, sia con un programma che decritti i file criptati, sia con un codice di sblocco che elimini le modifiche fatte dal ransomware. Questi pagamenti di solito vengono effettuati tramite bonifico, con sottoscrizione via SMS,, con un pagamento online attraverso un servizio voucher come Ukash o Paysafecard, o, più recentemente, tramite Bitcoin (la valuta digitale).
Ransomware a criptazione

Il primo ransomware noto fu il trojan “AIDS”, noto anche come “PC Cyborg”, scritto nel 1989 dal biologo Joseph Popp, che eseguiva un payload il quale mostrava all’utente un messaggio in cui si diceva che la licenza di un qualche software installato era scaduta, criptava i file dell’hard disk e obbligava l’utente a pagare 189 dollari alla “PC Cyborg Corporation” per sbloccare il sistema. Popp fu dichiarato incapace di intendere e di volere e non venne processato, ma promise di devolvere i proventi del malware alla ricerca per la cura dell’AIDS. L’idea di usare la crittografia a chiave pubblica per tali attacchi fu introdotta nel 1996 da Adam L. Young e Moti Yung. I due credevano che il trojan AIDS fosse poco efficace perché usava la crittografia simmetrica, e per esercizio di stile presentarono un criptovirus per il Macintosh SE/30 che usava algoritmi RSA e TEA. Young e Yung definirono questo attacco un'”estorsione crittovirale”, un attacco virus dichiarato, che appartiene alla classe di attacchi definita crittovirologia e definisce sia gli attacchi manifesti sia quelli nascosti.

Nel maggio 2005, alcuni esempi di estorsioni via ransomware divennero celebri[20], entro metà 2006, worm come Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, e MayArchive cominciarono a usare schemi di criptazione RSA molto più sofisticati, con chiavi di dimensione sempre maggiore. Gpcode.AG, identificato nel giugno 2006, era criptato con una chiave pubblica RSA a 660 bit.[21] Nel giugno 2008, fu scoperta una variante nota come Gpcode.AK. Era ritenuta impossibile da decrittare senza uno sforzo computazionale distribuito combinato, dal momento che utilizzava una chiave RSA a 1024 bit.

I ransomware a criptazione ritornarono famosi verso la fine del 2013 grazie alla diffusione di CryptoLocker, che usava la piattaforma di valuta virtuale Bitcoin per incassare il denaro del riscatto. Nel dicembre 2013, ZDnet stimò (basandosi su informazioni relative alle transazioni su Bitcoin), che tra il 15 ottobre e il 18 dicembre gli operatori di CryptoLocker avevano incassato circa 27 milioni di dollari dagli utenti infetti.A sua volta CryptoLocker ha ispirato una serie di imitatori (che attaccarono nei mesi successivi), tra cui CryptoLocker 2.0, CryptoDefense (quest’ultimo tuttavia, conteneva inizialmente una grossa falla che faceva sì che la chiave privata venisse memorizzata nel sistema infetto in un file modificabile dall’utente, dal momento che usava le API per la criptazione incluse in Windows),[ e un worm prodotto da Synology scoperto nell’agosto 2014, il quale attacca i dispositivi Network Attached Storage.
Altri tipi di ransomware

Nell’agosto 2010, le autorità russe arrestarono dieci individui legati a un worm ransomware noto come WinLock. A differenza dei worm Gpcode precedenti, WinLock non usava meccanismi di criptazione, ma limitava l’accesso al sistema mostrando immagini pornografiche, e chiedeva agli utenti di mandare un SMS di pagamento (che costava circa 10 dollari) per ottenere il codice che permetteva di sbloccare i loro calcolatori. La truffa colpì numerosi utenti in tutta la Russia e nei paesi vicini, fruttando al gruppo più di 16 milioni di dollari.

Nel 2011 apparve un worm ransomware che imitava la notifica di attivazione prodotto di Windows, informando l’utente che l’istallazione del sistema andava riattivata perché “[l’utente era] vittima di frode”. Veniva quindi offerta l’opzione di attivazione online (come accade normalmente nel processo di attivazione di Windows), ma che si rivelava poi non disponibile, e costringeva quindi l’utente a telefonare a uno di sei possibili numeri internazionali per inserire il codice a 6 cifre. Nonostante il malware affermasse che la chiamata fosse gratuita, essa veniva instradata verso un operatore truffa in una nazione con elevate tariffe telefoniche, che metteva la chiamata in attesa, addebitando all’utente elevati costi dovuti a lunghe chiamate internazionali.

Nel febbraio 2013 apparve un worm ransomware basato sull’exploit kit Stamp.EK: il malware venne distribuito attraverso siti internet ospitati da servizi di hosting come SourceForge e GitHub che affermavano di offrire “falsi scatti di nudo” di varie celebrità. Nel luglio 2013 emerse un ransomware specifico per macOS, che mostrava una pagina web che accusava l’utente di aver scaricato materiale pornografico. A differenza dei worm simili che operavano su Windows, non bloccava l’intero computer, ma semplicemente sfruttava alcuni comportamenti del browser stesso (clickjacking) per impedire la normale chiusura delle pagine con un click.

Sempre nel luglio 2013, un uomo di 21 anni della Virginia (il cui computer conteneva effettivamente foto pornografiche di una ragazza minorenne con cui aveva intrattenuto comunicazioni inopportune), si consegnò alla polizia dopo essere stato ingannato da un ransomware che mostrava un falso messaggio dell’FBI che lo accusava di possedere materiale pedopornografico. Un’indagine fece emergere le foto incriminanti e l’uomo fu accusato di abusi su minori e possesso di materiale pedopornografico.
Esempi notevoli
Reveton

Reveton, uno dei più noti worm ransomware, cominciò a diffondersi nel 2012. Basato sul trojan Citadel (che era a sua volta basato sul trojan Zeus), il suo payload mostrava un avviso che sembrava provenire dalla polizia federale (da cui prese il nome “trojan della polizia”), affermando che il computer era stato utilizzato per attività illegali (ad esempio per il download di software pirata o di materiale pedopornografico).[35] L’avviso informava l’utente che per sbloccare il loro sistema avrebbe dovuto pagare una multa usando un voucher di un servizio di credito prepagato anonimo, per esempio Ukash o Paysafecard. Per rendere maggiore l’illusione che il computer fosse sotto controllo della polizia federale, lo schermo mostrava anche l’Indirizzo IP della macchina, e alcune versioni mostravano addirittura dei filmati della webcam del PC per far sembrare che l’utente fosse anche ripreso dalla polizia.

Reveton si diffuse inizialmente in Europa all’inizio del 2012.[1] Alcune varianti localizzate si differenziavano per il logo dell’agenzia federale mostrato, che variava in base alla nazionalità dell’utente: ad esempio le varianti usate nel Regno Unito riportavano il logo del Metropolitan Police Service, o della PRS for Music (una società di gestione collettiva di diritti d’autore), che accusava l’utente di aver scaricato illegalmente dei file musicali, o ancora il logo della Police National E-Crime Unit.In una dichiarazione per avvisare la popolazione riguardo al malware, la Metropolitan Police affermò che non avrebbero mai bloccato un computer in quel modo nel corso di un’indagine.

Nel maggio 2012 i ricercatori della Trend Micro che investigavano su potenziali minacce scoprirono varianti destinate agli Stati Uniti d’America e al Canada, il che fece pensare che gli autori potevano aver pianificato di colpire anche utenti del Nord America.[38] Per l’agosto del 2012 una nuova variante di Reveton comparve negli USA: comunicava il dovuto pagamento di una multa di 200 dollari all’FBI, da effettuare usando una MoneyPak card.Nel febbraio 2013, un cittadino russo fu arrestato a Dubai dalle autorità spagnole per la sua connessione con una cerchia criminale che sfruttava Reveton; dieci altri individui furono arrestati con l’accusa di riciclaggio.

Nell’agosto 2014 Avast! dichiarò che erano state trovate nuove varianti di Reveton che nel loro payload contenevano anche malware per sottrarre le password del sistema.
CryptoLocker
Questo worm ransomware a criptazione apparve nel settembre 2013: generava una coppia di chiavi RSA a 2048 bit, le caricava su un server command-and-control e criptava i file con estensioni contenute in una particolare whitelist. Il malware minacciava poi di cancellare la chiave privata se entro tre giorni dall’infezione non fosse stato versato un pagamento tramite Bitcoin o tramite voucher prepagati.

A causa della dimensione notevole delle chiavi, gli analisti, e tutti coloro colpiti dal worm, ritennero Cryptolocker estremamente difficile da eradicare.Anche dopo la scadenza stabilita, si poteva comunque ottenere la chiave privata utilizzando uno strumento online (il prezzo tuttavia era aumentato di 10 Bitcoins, ovvero circa 2300 dollari).

CryptoLocker fu isolato a seguito dell’annientamento del botnet Gameover ZeuS, annunciato ufficialmente dal dipartimento di Giustizia statunitense il 2 giugno 2014. Il dipartimento iscrisse al registro degli indagati l’hacker russo Evgeniy Bogachev a causa del suo presunto coinvolgimento nella diffusione e sviluppo del botnet.

Si stima che prima della sua rimozione il malware abbia estorto almeno 3 milioni di dollari.
CryptoLocker.F e TorrentLocker

Nel settembre 2014 si sviluppò una nuova ondata di malware nota con il nome di “CryptoWall” e “CryptoLocker” (slegata però dall’originale CryptoLocker, nonostante il nome, come nel caso di CryptoLocker 2.0), che colpì soprattutto utenti in Australia. Il worm si diffondeva attraverso e-mail fraudolenti, che si mostravano come notifiche di mancata consegna di pacchi da parte della ditta postale Australia Post; per evitare di venir identificati dagli scanner automatici che verificano se i link contenuti in una pagina conducono a malware, questa variante prevedeva che l’utente visitasse una pagina e digitasse un codice CAPTCHA prima di scaricare il payload (Symantec ha stabilito che questa nuova variante, nota come “CryptoLocker.F”, sia slegata dal worm CryptoLocker originale, poiché ha un modo diverso di operare). Una vittima illustre di tale worm fu la ABC (Australia); i loro programmi in diretta sul canale di notizie ABC News 24 fu interrotto per mezz’ora e spostato negli studi di Melbourne a causa dell’infezione di CryptoWall nei computer degli studi di Sydney.

Un’altra forma di worm di questa ondata, TorrentLocker, conteneva inizialmente un difetto di progettazione simile a quello di CryptoDefense; usando lo stesso keystream per ogni computer infetto, rendeva facile la risoluzione del problema. Purtroppo questo difetto venne successivamente sistemato. Si stima che prima della fine di novembre 2014, più di 9000 utenti siano stati infettati da TorrentLocker soltanto in Australia (secondi solo alla Turchia, in cui si registrarono 11 700 infezioni).
Riduzione

Come altre forme di malware, i software per la sicurezza potrebbero non rilevare un payload di ransomware, o, specialmente nel caso di payload che producono la criptazione dei dati, riconoscerli mentre la criptazione è già in corso o completata, soprattutto se trattasi di nuove versioni sconosciute.

Se si sospetta che un attacco sia in corso o se esso viene rilevano nelle sue fasi iniziali, dal momento che la criptazione richiede qualche tempo prima di essere eseguita, la rimozione immediata del malware (un processo relativamente semplice) prima che sia del tutto completa potrebbe limitare i danni ai file. Gli esperti di sicurezza hanno suggerito misure precauzionali per tutelarsi dai ransomware, come l’uso di software o di altre procedure di sicurezza per bloccare i payload noti prima della loro esecuzione, o il backup offline dei dati in aree non accessibili al malware.
fonte: it.wikipedia.org/wiki/Ransomware

Questo sito non rappresenta una testata giornalistica e viene aggiornato senza alcuna periodicità, esclusivamente sulla base della disponibilità del materiale. Pertanto, non è un prodotto editoriale sottoposto alla disciplina di cui all’art. 1, comma III della L. n. 62 del 7.03.2001.© Tutto il materiale è di proprietà e il copyright dei rispettivi proprietari.