Durante il webinar si è scelto di percorrere brevemente la storia dei virus, dai primi anni ’80 ad oggi, un interessante passaggio che aiuta a comprendere la filosofia che si cela in ogni tipo di attacco. Si passa dunque dai primi virus in grado di avviarsi e replicarsi automaticamente, ai virus polimorfi degli anni ’90 che, già più di vent’anni fa erano in grado di eseguire la cifratura del disco, in maniera analoga a quanto accade oggi con i CryptoVirus. L’ampia diffusione delle email apre la via per numerose varianti, in grado di infettare immediatamente il sistema operativo, sfruttando bug e falle di programmazione degli ambienti lavorativi e domestici. Le evoluzioni più recenti sono state ulteriormente potenziate e mirato al furto di identità, ai dati sensibili degli utenti e ai conti bancari.
Malware come Cryptowall e CTB Locker sono in circolazione dal settembre 2013, sono classificati come Trojan Horse di tipo ransomware e sono in grado di criptare dischi locali, di rete e rimovibili in ambiente Windows. Il metodo di intrusione adottato per “entrare” nel PC degli utenti include la diffusione tramite email di spam o phishing con allegati specifici. La diffusione avviene dunque tramite allegati email, oppure navigando su siti “sospetti” (porno/video streaming/dowload illegale) o su siti ufficiali ma “hackerati” e, perciò, compromessi. Altri pericoli possono arrivare da alcuni plugin per i web browser, dai software free o non ufficiali e, in generale, usando sistemi non aggiornati. Questo porta solitamente al download di codice maligno ed exploit kits. I file con estensioni più comuni (DOC, XLS, PDF, JPG, per esempio) vengono così cifrati adottando la piattaforma RSA 2048 con chiave pubblica asimmetrica. Per sbloccare i file compromessi agli utenti viene richiesto il pagamento di un riscatto (da qui il nome ransomware), solitamente di qualche centinaio di Dollari, pagabile tramite Bitcoin e Moneypack. Adottando dunque un network che include un Command and Control Server virato, i cybercriminali sono in grado di far circolare il codice maligno, detenendo la chiave privata indispensabile per decifrare nuovamente i file. Per l’anno 2015, Achab ha rilevato oltre 4.546 tipi di malware, 1.213 Server di controllo C&C, per un flusso di informazioni che include 56 Paesi.
