Luis Corrons, direttore tecnico dei PandaLabs, i laboratori tecnici di Panda Security, fa il punto della situazione e analizza lo sviluppo e le tecniche adottate per generare i ransomware.
Alla fine del 2013 abbiamo registrato i primi segnali di quelli che sarebbero diventati tra gli attacchi più remunerativi per i cyber criminali. Cryptolocker è il nome della più celebre famiglia di ransomware, nome utilizzato poi per tutte le minacce appartenenti a questa categoria. Il funzionamento è sempre il medesimo: codifica i documenti e richiede un riscatto per la restituzione.
Generalmente geolocalizza l’IP della vittima per mostrare il messaggio contenente le istruzioni per il pagamento del riscatto, sempre fornite nella lingua del paese corrispondente. I pagamenti devono essere effettuati utilizzando Bitcoin e tutti i contatti con i cyber criminali avvengono via Tor, per evitare intercettazioni da parte delle autorità. Questi attacchi sono diventati sempre più comuni nel corso del 2014, inizialmente con episodi isolati rivolti a singoli individui, per poi focalizzarsi verso le aziende, rivelatesi molto più remunerative grazie al valore più elevato delle informazioni rubate e del riscatto (spesso pari a 300 Euro), irrisorio per la maggior parte delle organizzazioni.
Nel 2015 abbiamo assistito alla messa a punto degli attacchi per cercare di superare ogni barriera difensiva:
– Non sono più stati commessi errori di codifica dei file. Queste disattenzioni permettevano alle aziende specializzate in sicurezza di creare tool per il ripristino dei documenti, senza la necessità di pagare riscatti.
– Nuove famiglie di minacce hanno fatto la loro comparsa e numerosi gruppi di cyber criminali utilizzano Cryptolocker, diventato il codice più famoso al momento.
– Tutti i cyber criminali utilizzano Bitcoin come metodo di pagamento, per non essere rintracciati.
– Si sono focalizzati su due metodi di diffusione:
o Tramite Exploit Kit
o Tramite email con un allegato zippato
– Sono state create nuove forme di attacco e abbiamo assistito all’utilizzo di script PowerShell, attivo di default con Windows 10.
– Per quanto riguarda i dispositivi mobili sono stati rilevati alcuni attacchi (ad esempio quello che modificava il codice PIN di accesso), ma sono ancora un’eccezione alla regola.
Come proteggersi da Cryptolocker – Per quanto riguarda la protezione, è necessario ricordare che Cryptolocker ha “esigenze” differenti rispetto al malware tradizionale: non è invasivo (una volta codificati i documenti, non ha la necessità di restare sul sistema e, infatti, alcune varianti si cancellano in autonomia) e non si preoccupa di essere rilevato da un antivirus (l’unica preoccupazione è di effettuare l’attacco prima di essere individuato, tutto ciò che accade dopo non ha alcuna influenza).
I metodi tradizionali di identificazione sono ora piuttosto inutili, in quanto prima di realizzare un attacco, il codice verificherà che le tecnologie in atto non siano in grado di individuare l’esemplare e in ogni caso modificherà se stesso per superarle. L’analisi comportamentale nella maggior parte dei casi non è capace di identificare le sue azioni, in quanto spesso si installa nei sistemi di elaborazione per codificare i file come se questa fosse un’operazione abituale.