Cosa sono i ransomware
Da “Ransom” (riscatto) si tratta di malware (virus sostanzialmente) che in qualche modo prendono possesso del computer della vittima o dei file in esso contenuti, impedendone l’accesso e l’utilizzo. Il “rilascio” dei file o del computer avviene esclusivamente dopo aver pagato un riscatto al malintenzionato che ha generato il virus e lo ha diffuso in rete. Il pagamento è sempre richiesto in Bitcoin (moneta che prevede transazioni anonime e protette), mettendo a riparo il criminale dall’identificazione da parte delle forze di polizia internazionali (confermando il Bitcoin e le altre cryptovalute come “valute degli illeciti”).
I primi ransomware risalgono al 2012 (si stima che i primi esemplari siano stati creati da alcuni programmatori Russi) e, a distanza di diversi anni dai primi esemplari e, malgrado i tentativi delle aziende di cyber-sicurezza e delle polizie informatiche di tutto il mondo di arginare il fenomeno, non si è riuscito a costruire un limite effettivo al proliferare dei cryptolocker).
Esistono oltre 200 tipologie di ransomware, dal Crypt0l0cker (il più diffuso ma al momento decifrabile dall’azienda italiana OpenFile), al Cerber 5.0 (lasciate ogni speranza voi ch’intrate), al momento non decifrabile se non pagando il riscatto.
Va detto che, il pagamento del riscatto, non necessariamente risolve il problema, poiché capita spesso che dopo il pagamento, non venga rilasciata la chiave per decifrare i file infetti.
Panoramica
Se la difesa ransomware e il recupero non è sulla vostra lista delle priorità relative alla sicurezza della vostra azienda, è il momento di inserirvelo. Secondo McAfee Labs, nel 1 ° trimestre del 2015, le organizzazioni hanno registrato un aumento del 165% delle infezioni da ransomware.
A causa della sua natura furtiva e gli effetti disastrosi (vale a dire, perdere i dati per sempre, o peggio, avendo è trapelato al pubblico) ransomware è percepito da molti come un attacco, difficile da evitare sofisticata.
Tuttavia, l’ultimo studio della Northeastern University di ricerca ransomware, Cutting the Gordian Knot: A Look Under the Hood of Ransomware Attacks, offre una prospettiva diversa. Tra il 2006 e il 2014, questo gruppo di ricerca ha analizzato 1.359 campioni di virus e ha scoperto che un “approfondimento sulle attività del file system su più campioni ransomware suggerisce che proteggendo Master File Table (MFT) nel file system NTFS, è possibile prevenire un numero significativo di attacchi ransomware”
Alla fine, come in tutte le sfide, lo studio e l’analisi rappresentano la chiave di interpretazione del fenomeno e delle sue modalità di attacco. Tuttavia, la difesa preventiva (backup quotidiani dei dati) è spesso l’unica soluzione certa, poiché pur esistendo aziende in grado di decifrare i file (come la OpenFile in Italia), in alcuni casi non è possibile decriptare i file, neanche pagando il riscatto.
In questa guida, vi aiuteremo a capire meglio il ruolo che gioca il Bitcoin nei ransomware, i vari tipi di ransomware, le varianti specifiche, e scoprire alcuni metodi di mitigazione del rischio.
Cosa c’entra il Bitcoin con i virus ransomware
Bitcoin è la moneta digitale che permette in modalità completamente anonima di aacquistare o vendere beni e servizi. È possibile inviare Bitcoin digitalmente utilizzando una semplice applicazione per smarphone o computer. Il processo di acquisto è più semplice che strisciare una carta di credito.
I Bitcoins sono memorizzati in un portafoglio digitale, che risiede nella nuvola (in modalità decentrata sui pc di più utenti) e il cui database transazionale risiede, anziché nei mainframe delle banche, interamente in modo distribuito sui computer degli utenti della rete internet.
Come negli altri sistemi di calcolo distribuito, l’archivio transazioni dei Bitcoin è distribuito in modalità cifrata ed anonima sui computer della rete internet.
I conti correnti Bitcoin sono simili a un conto bancario tradizionale, ma non sono assicurati dalla FDIC. Inoltre, i Bitcoin, pur essendo quotati in borsa e scambiati con le contro valute nazionali, non sono legati ad alcun paese, né soggetti a regolamentazione alcuna.
Ogni transazione Bitcoin è in un registro pubblico mentre i nomi degli attori della transazione sono completamente anonimi. Solo i loro ID di portafoglio sono pubblici. Questo sistema consente a due utenti della rete di transare senza tenere traccia fisica dei dati privati (indirizzi IP ecc…) e quindi ogni transazione non è riconducibile ad alcun utente. Per questo motivo il Bitcoin è la moneta scelta dai criminali informatici i quali, per non rischiare, limitano il numero di transazioni svolte con lo stesso conto ID, cambiando spesso numero di conto ed eliminando i precedenti dopo pochi utilizzi.
Per effettuare un pagamento Bitcoin, alle vittime viene spesso consigliato di scaricare i browser anonimi, come tor2web o Torproject, per visitare un URL ospitato su server anonimi. Tor (The Onion Router) rende difficile rintracciare la posizione del server o l’identità dei suoi operatori, garantendo ai criminali un ulteriore livello di protezione nella transazione.
E’ giusto pagare?
Nel mese di ottobre, in un vertice di sicurezza informatica, Giuseppe Bonavolonta, l’assistente agente speciale del CYBER del FBI e del programma di controspionaggio, ha detto, “A dire il vero, spesso consigliamo alle persone di pagare il riscatto.”
Continua, “Il successo del ransomware e la sua distribuzione ampia finisce per andare a vantaggio delle vittime: con il fatto che molte persone pagano, gli autori del malware sono meno inclini ad alzare il prezzo del riscatto e si accontentano di un profitto realizzato con costi modici per grande quantità di clienti. Va detto anche che la maggior parte truffatori ransomware mantengono la loro parola, anche se capita anche che dopo il pagamento non vi sia alcun file liberato dalla cifratura.
L’FBI ha dichiarato che la maggior parte dei pagamenti ransomware sono in genere tra $ 200 e $ 10,000. In alcuni casi viene denunciato dalla vittima la richiesta di riscatto per volumi molto più elevati.
Nel 2014, i file del Comune di Detroit sono stati criptati e gli attaccanti chiesto un riscatto di 2.000 bitcoin, del valore di circa 800.000 dollari.
Purtroppo oltre al danno economico del riscatto spesso le aziende si trovano a dover sanare anche costi da danni generati ai propri Clienti per l’inefficienza dell’infrastruttura informatica danneggiata dai cryptolocker.
Ci possono essere momenti in cui si è di fronte ad altre considerazioni. Nel mese di novembre 2014, l’ufficio del Tennessee Dickson dello sceriffo della contea ha pagato 622 dollari in Bitcoin per ricevere indietro i file crittografati relativi alla causa penale del dipartimento, che erano stati resi inaccessibili agli investigatori.
Il detective Jeff McCliss ha detto, “E’ stato costretto a scegliere tra spendere 622 dollari e perdere tutti i dati necessari a fornire i servizi vitali alla comunità.”
Alcuni esperti di sicurezza non sono d’accordo con le osservazioni del signor Bonavolontà e esortano a non pagare il riscatto, perché non c’è alcuna garanzia che si otterrà i file indietro ma soprattutto, smettendo di pagare il mercato dei ransomware collasserebbe all’istante.
Anche il “Department of Homeland Security” consiglia alle vittime di non negoziare con gli hacker.
In un’intervista del novembre del Wall Street Journal, il portavoce dell’FBI Kristen Setera ha rifiutato di confermare il consiglio dei funzionari dell’FBI di pagare il riscatto, come invece consiglia il signor Bonavolonta.
La realtà è che prima di pagare sarebbe utile ricercare in rete soluzioni alternative per non foraggiare gli hacker produttori di questo genere di disgrazie. Alcune aziende sono in grado di decriptare i file infetti dai locker e restituire i file alle aziende senza fare intascare un centesimo agli hackers. Questa è la soluzione da preferire per evitare di finanziare chi ha per primo attaccato la serenità delle vittime.
A volte, quando gli esperti di polizia e di sicurezza indagano su attività criminali informatiche, possono potenzialmente reperire le chiavi di decrittazione (violando i server degli hacker). In questi casi, la procedura utilizzata dalla polizia è quella di condividere i codici di decifratura on-line, come con il caso del CoinVault, TeslaCrypt, o il popolare cryptolocker.
Tra l’altro, secondo un sondaggio condotto dal Centro Interdisciplinare di Ricerca in sicurezza informatica presso l’Università di Kent, nel febbraio 2014, oltre il 40 per cento delle vittime cryptolocker accettato di pagare il riscatto. Si stima che prima che il Dipartimento FBI e di giustizia americani abbiano interrotto l’operazione cryptolocker, i criminali informatici siano riusciti ad estorcere oltre 30 milioni di dollari soltanto nei primi 100 giorni di operatività del virus.
Un altro caso in cui è bene non pagare è il caso del virus Power Worm, un virus male programmato che finisce per distruggere i file rendendoli NON recuperabili. Motivo in più per non pagare il riscatto per questo virus, visto che non riceverete mai alcun file indietro.
E’ quini FONDAMENTALE analizzare in rete il tipo di virus da cui si è infettati per capire se abbia senso o meno pagare il riscatto.
I principali tipi di ransomware
I ricercatori hanno identificato tre tipi principali di ransomware:
- quelli che operano con crittografia (oramai i più diffusi, con oltre il 99,9% di share);
- quelli che operano la cancellazione del file;
- quelli che operano il blocco della macchina.
In questo nostro approfondimento analizzeremo esclusivamente i virus che criptano i file dell’ospite, quindi la prima categoria.
Crittografia (cryptovirus a cifratura dei file)
Cryptolocker e CryptoWall hanno la reputazione di essere tra i più forti virus crittografici. La crittografia è il processo di applicazione di un algoritmo (noto anche come cifrario) a un testo (o un dato). Fin dall’antichità i codici di cifratura hanno rivestito ruolo cruciale nella protezione delle informazioni nell’esito di strategie militari. Noto è il primo cifrario conosciuto, il “cifrario di Cesare”, fino ai metodi più evoluti, dal codice dell’Alberti alla cifratura della macchina Enigma utilizzato dai nazisti durante la seconda guerra mondiale, fino all’era dell’informatica e alla cifratura RSA.
Per cifrare e decifrare i dati, il virus (o il decrittatore) ha bisogno di scoprire la chiave con cui vengono cifrati i file del computer.
Va detto che: tutti i ransomware criptano i file dello stesso computer, con la stessa chiave, per permettere, una volta pagato il riscatto, all’hacker, di rilasciare un piccolo anti-virus (tool o crypto remover), che libera tutti i file usando la stessa chiave.
NB: ricordiamo inoltre, al fine di meglio comprendere quanto segue, che non sempre gli hacker, dopo aver pagato il riscatto, rilasciano la chiave di decifratura. Capita spesso (oltre il 30% dei casi) che pagando si buttano soldi per ottenere nulla indietro. Se ci pensiamo bene, una volta che si è tanto cattivi da inventare un virus simile, perché fare del bene dopo aver preso il riscatto? Sia rilasciando il tool di rimozione che non facendolo, l’hacker rimarrebbe comunque anonimo e protetto.
Ci sono due tipi di cifrature: a chiave simmetrica e a chiave pubblica.
Cifrature a chiavi simmetriche
La cifratura AES (Advanced Encryption Standard), la “Rivest Cipher 4” (RC4), e la DES (Data Encryption Standard) sono esempi di un algoritmo a chiave simmetrica. Con questo tipo di cifratura, la stessa chiave viene utilizzata sia per la cifratura che per la decrittazione. Questa cifratura è efficace solo quando la chiave simmetrica è nota solo a chi cifra e decifra (nell’interscambio dati tra il soggetto A e B, è nota solo al soggetto A e B).
Cifratura a chiavi asimmetriche
Questo tipo di logica, presente anche nella cifratura RSA prevede una chiave pubblica e una chiave privata, eseguendo la cifratura tramite la chiave pubblica e la decifratura tramite la chiave privata.
E’ alla base delle logiche SSL (nel web evidente come protocollo HTTPS) e della cifratura delle carte di credito i cui numeri vengono inviati nella rete internet dai PC degli utenti ai siti web delle banche su cui vengono operate le transazioni (PayPal ecc…).
Differenza tra cifratura simmetrica e asimmetrica in termini di velocità computazionale nella decifrazione
Per comprendere la forza di un sistema di cifratura e quindi anche la complessità della decrittazione, è fondamentale prendere in considerazione, per entrambe le due tipologie (simmetrica e asimmetrica) la lunghezza della chiave.
E’ fondamentale tenere a mente che:
- maggiore è la lunghezza della chiave e maggiore la protezione nella cifratura;
- la lunghezza della chiave si esprime in BITS
Complessità della decodifica di una cifratura.
Per un algoritmo simmetrico, sono necessarie:
- un paio di ore di un computer per una chiave di circa 20 bit
- anni per una chiave a 128 bit (dove per 128 bit sta a significare che il numero di possibili chiavi da decifrare è di 2128 ossia 340.282.366.920.938.463.463.374.607.431.768.211.456 possibili chiavi.
Per un algoritmo asimmetrico, sono “sufficienti”:
- 232 combinazioni da analizzare per una chiave a 32 bit.
La cifratura asimmetrica, anche con una chiave da 512-bit può essere decrittata facilmente con uno sforzo di pochi mesi, mentre la cifratura 2,048-bit richiederebbe comunque anni.
Come è possibile che sia più semplice “bucare” una cifratura asimmetrica, se sopra abbiamo detto che è più sicura della simmetrica?
La differenza è che nel rompere una cifratura RSA (asimmetrica) è necessario fattorizzare grandi numeri nei primi di cui è composta la chiave pubblica, operazione ancora oggi impossibile per qualsiasi calcolatore.
Vediamo ora come il ransomware opera la cifratura del file
La prima variante di ransomware utilizzava una chiave simmetrica ed è stato poi aggiornato e migliorato con l’impiego della chiave pubblica.
I più moderni ransomware utilizzano una chiave pubblica mista a una chiave simmetrica, tanto per complicare di più la questione.
Molti criminali informatici probabilmente non utilizzano la chiave pubblica per codificare grandi file poiché il sistema sarebbe molto lento nell’operazione di cifratura di molteplici file (spesso i ransomware tendono a cifrare tutto il disco rigido).
Cifrare in RSA ogni file potrebbe quindi portare il virus a diventare ineffettivo in tempi rapidi o a essere bloccato da eventuali antivirus o manualmente dall’utente che si accorgesse del processo in opera (arrestando il computer ad esempio).
L’idea migliore si è quindi rivelata quella di encodare i file con la chiave simmetrica, ma di grandi dimensioni.
Il ransomware CryptoLocker, ad esempio, utilizza la logica AES (simmetrica) e la logica RSA (public) solo per encodare la chiave AES.
Esattamente come avviene per l’utilizzo della cifratura RSA quando dal browser internet si vuole pagare on-line con carta di credito: il computer ed il server della banca si scambiano tramite RSA solo una nuova chiave da utilizzare per le comunicazioni dei minuti successivi. RSA richiede grande calcolo computativo (che rallenta l’uso del computer) e quindi viene utilizzata solo per cifrare il primo contatto in cui i due dispositivi si scambiano la chiave simmetrica da usare nelle comunicazioni a seguire (chiave usa e getta che spesso scade dopo pochi minuti).
Eliminazione (ransomware deletion type).
In quesa variante gli attaccanti vengono informati, dopo l’infezione, del fatto che, sia tentando di decifrare i file infetti in proprio, o aspettando troppo tempo, i file saranno automaticamente eliminati, con “un’irrevocabile perdita di dati”. Un esempio di ransomware con eliminazione sono i Gpcode e i ransomware FileCoder.
Per fortuna, come avviene per l’eliminazione dei file da parte del proprietario del PC, quando si elimina un file, lo stesso è eliminato solo “visivamente” dal computer, mentre lo stesso rimane sull’hard disk del computer fino a quando il computer non ha bisogno di sovrascrivere lo spazio occupato da quel file. Solo in quel momento il file viene fisicamente sovrascritto e quindi perso. Molti tool, come il Rescue (o similari) riescono a recuperare i file eliminati dai ransomware deletion (eliminazione), a patto che non siano stati sovrascritti. E’ quindi bene spegnere il computer non appena ci si accorge di aver preso un ransomware di questo tipo, per evitare che l’operatività quotidiana di un pc connesso ad internet sovrascriva la porzione di disco che il computer considera ora come “libera” (avendo eliminato i file dal cestino) e pronta per ricevere nuove scritture. Il sistema operativo infatti scrive continuamente informazioni sulle porzioni di disco libero, come ad esempio download di aggiornamenti (di diverse centinaia di megabyte), e-mail con allegati, e altre operazioni che richiedono scrittura su disco e potenzialmente possono portare alla sovrascrittura dei file eliminati.
Locking ransomware (blocco)
Con questo tipo di ransomware l’attaccante crea una nuova schermata di login o pagina html che fa sembrare che ci sia una un blocco da agenzia delle dogane o della finanza o delle forze dell’ordine, o più esplicitamente la richiesta di un riscatto sotto falsa minaccia di rivelare alle forze dell’ordine che il computer è pieno di materiale illegale, pedo-pornografico o di altra natura che mette a rischio la vita dell’attaccato.
Di norma questi malware disattivano la tastiera impedendo di switchare ad altre applicazioni con il classico ALT+TAB.
I ransomware del futuro
A causa del fatto che questi malware sono diventati così remunerativi e grazie alla protezione scudo dal mondo del bitcoin, gli hacker si concentrano per rendere sempre più performante il loro virus. Ci si aspetta dal futuro ulteriori evoluzioni e creazioni malefiche che psicologicamente avranno una presa ancora maggiore sulle vittime. Alcuni progetti stanno andando già nella direzione dell’aumento dei ricavi, come il Ransom32 RAAS (Ransomware as a service), un malware “rivendibile” da terzi. L’hacker infatti rivende a terzi il software garantendogli una percentuale sui riscatti operati dall’invio dello stesso ai propri contatti o alle proprie liste e-mail a cui ha accesso per operare spam.
Che fare, una volta che si viene infettati?
Molte persone non realizzano di aver subito un’infezione da cryptovirus finché non visualizzano la nota del riscatto che notifica che i file sono stati cifrati.
La prima cosa da fare è disconnettere il computer da internet e spegnerlo non appena si percepisce che qualcosa non va o si notano i primi file cifrati. In questo modo si arresta il processo di cifratura dei restanti file.
Se, come sarebbe corretto fare, hai deciso di non cedere al riscatto, utilizza un antivirus o anti-malware e assicurati che rimuova tutto ciò che troa. Successivamente puoi utilizzare PowerShell o altri strumenti simili per identificare tutti i file encodati. Va detto che, a causa della grande varietà di ransomware e della continua immissione nella rete internet di nuovi virus, non vi è modo per le case che producono antivirus o software di mitigazione, di fornire sempre strumenti aggiornati in grado di rimuovere ogni tipo di minaccia.
Per questo motivo prevenire è fondamentale con un backup periodico dei dati ESTERNO al computer o alla rete locale aziendale o domestica. I cryptovirus infatti riescono a cifrare tutti i file dei vari pc connessi alla medesima rete, partizioni di dropox ecc… E’ quindi fondamentale eseguire backup su rete esterna (come ad esempio su server remoti FTP).