Ransomware: definizione, modalità di attacco e il caso Wannacry

Probabilmente si tratta del malware più pericoloso in cui un utente medio può imbattersi, ma cosa sono nello specifico i ransomware? È possibile iniziare a dare una definizione a partire dal termine inglese “ransom” che in italiano sta per “riscatto”. In breve, si tratta di un virus in grado di bloccare tutti i dati presenti sul computer – o su altri dispositivi infetti – fino al pagamento di un riscatto. Esistono ormai da molti anni, ma nell’arco di una decade si sono notevolmente evoluti: le prime versioni, infatti, erano classificabili come dei semplici malware di tipo trojan, ma le più recenti lo hanno portato ad essere uno dei malware più temuti. Il primo ransomware a scopo di estorsione è stato creato nel 2005, ma solo a partire dal 2014 se ne è parlato diffusamente, complici i numerosi attacchi ad utenti, PMI ed enti governativi.

COME AVVIENE UN ATTACCO?

Fonte: bbc.com

Un attacco ransomware è pressoché identico ad altri tipi di attacchi malware: l’apertura di file eseguibili, immagini e documenti allegati ad un’email possono immediatamente infettare il computer. Un altro metodo, molto utilizzato quando si tratta di infettare dispositivi mobile come smartphone e tablet, è quello che prevede l’infezione durante la navigazione web: l’utente non si accorge subito di essere stato infettato, fino a quando il meccanismo di blocco del ransomware, che colpisce direttamente i dati o il sistema, non viene abilitato. Una volta attivo, l’utente viene reindirizzato ad una finestra in cui si avvisa che tutti i suoi dati e documenti sono stati bloccati e che per sbloccarli è necessario pagare un riscatto di poche centinaia di dollari o, come accade sempre più spesso, in bitcoin .

RANSOMWARE E DISPOSITIVI IOT

Il 2017 è stato definito da molti come l’anno dei dispositivi relativi all’ internet of things . Come spesso accade nell’ambiente informatico, maggiore è la diffusione di un prodotto maggiore è la possibilità che vengano generati dei virus in grado di infettarli. Il boom dei gadget IOT non è passato inosservato: infatti, già durante il 2016 si sono verificati diversi attacchi definiti Ransomware of Things, cioè malware attraverso i quali i malintenzionati possono violare una rete domestica attraverso un dispositivo vulnerabile, fino ad arrivare a tutti i dispositivi ad essa collegati. Con questo tipo di malware è possibile ricevere una richiesta di riscatto per far sì che ogni dispositivo che ha subito l’attacco funzioni normalmente.

Fonte: Twitter @DW_3DPrinting

IL CASO WANNACRY

Ha creato molto scalpore, oltre a generare panico, l’attacco ransomware avvenuto venerdì 12 maggio 2017 che ha colpito circa 10mila organizzazioni e 200mila persone in 150 paesi, secondo i dati forniti dalle autorità europee. Fortunatamente il giorno successivo l’attacco è cessato grazie ad un “eroe per caso” che con un colpo di genio è riuscito a fermare il ransomware acquistando il dominio da cui partiva l’offensiva. I primi ad essere infettati da Wannacry, il nome del malware, sono stati i servizi sanitari britannici e gli stabilimenti Renault in Francia che hanno dovuto cessare la produzione di automobili. Gli esperti di sicurezza informatica hanno scoperto nel corso della settimana successiva ben due nuove varianti del ransomware: una è stata bloccata grazie all’acquisizione del dominio, mentre l’altra, invece, risulta ancora attiva in quanto non è ancora possibile registrare quell’indirizzo.

Il sistema operativo più colpito da questo malware è Windows XP: il malware, infatti, sfrutta una falla del sistema di protezione del software infettando il computer; completata l’infezione, poi, il virus cripta i file presenti sul disco fisso per poi richiedere un riscatto di 300 dollari in Bitcoin per la decriptazione. Nonostante i numerosi sistemi infettati dal ransomware, i responsabili dell’attacco hanno raccolto solo 20mila dollari, una cifra davvero esigua considerando il numero elevato di utenti colpiti.

Il ransomware Wannacry. Fonte: The Verge

IL PARERE DELL’ESPERTO

Mauro Papini, Country Manager Acronis

Per avere una panoramica migliore sui ransomware e, nello specifico, su Wannacry abbiamo chiesto a Mauro Papini, Country Manager di Acronis, di rispondere ad alcune domande per approfondire meglio alcuni temi riguardanti la sicurezza informatica.

NUMEROSE PMI STANNO MIGRANDO VERSO LE PIATTAFORME CLOUD. QUALI I VANTAGGI DAL PUNTO DI VISTA DELLA SICUREZZA?

«Dipende da che tipo di utilizzo del cloud si vuole fare. Se si parla di SaaS, ovvero dell’utilizzo di software applicativi erogati via Internet come servizio da provider specializzati, allora possiamo ragionevolmente aspettarci che questi abbiano un livello di servizio adeguato e quindi sistemi di controllo e sicurezza in grado di proteggere propri utenti. Diverso è se si parla di IaaS, ovvero di acquisto di servizi infrastrutturali. Se io sposto la mia server farm in un data center ma mantengo la gestione, è possibile che commetta degli errori come li commetterei se queste macchine fossero in casa mia. C’è da dire che quanto accaduto ha impattato soprattutto i client, che raramente sono cloud based. Una buona cosa sarebbe valutare l’utilizzo di sistemi di storage basati su cloud, cioè mettendo i propri dati non su una macchina locale ma su una che sia nel cloud. Tra l’ufficio e il cloud c’è sempre una password e questa, insieme ad altri elementi relativi ai protocolli di comunicazione, è già una garanzia che tali dati non possano essere raggiunti. Noi proponiamo sistemi di backup e DR e possiamo dire che se un tempo i backup online erano poco efficienti per via dalla mancanza di banda, ora non è più così e sempre più clienti si stanno orientando all’utilizzo di cloud storage»

WANNACRY, IL RANSOMWARE CHE HA INFETTATO 50MILA COMPUTER IN TUTTO IL MONDO, HA SICURAMENTE SOLLEVATO UNA QUESTIONE IMPORTANTE IN MERITO ALLA PREVENZIONE. QUALI I CONSIGLI PER EVITARE UN ATTACCO COME QUELLO DEL 12 MAGGIO?

«Prima di tutto è necessario che le aziende mettano in piedi delle policy di prevenzione adeguate. Ciò è già sicuramente realtà nelle imprese più grandi e strutturate, ma non bisogna sottovalutare un punto importante: basta una sola macchina fuori controllo e tutta l’organizzazione può essere compromessa. Non bisogna, però, estremizzare: poiché è inverosimile credere che ogni macchina possa essere sotto il più completo controllo, il migliore approccio è quello di adottare delle policy ragionevoli che evitino di compromettere la produttività. Altro approccio consigliato è quello di pianificare degli assessment periodici delle macchine e di aggiornare i sistemi con una frequenza congrua: non parlo di aggiornamenti giornalieri, ma di check mensili che sono indispensabili per garantire un livello di sicurezza adeguato. È poi indispensabile dotarsi dei giusti strumenti: ovviamente in prima battuta gli antivirus che però, come abbiamo visto, potrebbero non essere efficaci. L’unica soluzione possibile, che garantisce una protezione efficace, quindi, è dotarsi di un sistema di backup anche a livello dei client.
E, come sottolineato in precedenza, cominciare a prendere in considerazione il cloud come destinazione dei backup alternativa ai file server che abbiamo visto essere i primi a essere impattati dai virus».

IN CASO DI UN ATTACCO RANSOMWARE, COME DEVE COMPORTARSI UNA PMI O UN SEMPLICE UTENTE? PAGARE IL RISCATTO È UNA BUONA SOLUZIONE?

«Le aziende impattate o i singoli utenti devo immediatamente bloccare la connessione ad Internet e isolare le macchine compromesse. Per le imprese, invece, è indispensabile un check strutturato delle proprie macchine, in modo da assicurare l’aggiornamento di quelle Windows che sono ancora vulnerabili. Pagare il riscatto non è la soluzione: non solo si va ad alimentare questo genere di business, ma anche e soprattutto non c’è nessuna garanzia che lo sblocco del sistema avvenga davvero, anzi, è praticamente certo che ciò non avvenga. Non c’è nessuna ragione per cui dovremmo aspettarci il rispetto di questo genere di “contratto” da coloro che hanno propagato il virus. E non si tratta soltanto di una questione morale: questo ransomware sembra non essere dotato di meccanismi che permettano al criminale di riconoscere la macchina dell’utente che decide di pagare; è dunque alquanto improbabile, se non impossibile, che questi possa quindi ricevere una chiave di sblocco».