Situazione attuale
Oggi le reti aziendali sono generalmente protette da sistemi firewall ed antivirus:
- I firewall rilevano il traffico tra rete aziendale ed Internet e bloccano connessioni se non esplicitamente autorizzate;
- Gli antivirus sono servizi che bloccano l’esecuzione di programmi contenenti precise sequenze di codice. Queste “sequenze di codice” vengono periodicamente aggiornate e sono la firma che permette di distinguere un normale file da un virus.
Cos’è un virus informatico
I virus sono programmi per calcolatore. Dal punto di vista strettamente tecnico, sono programmi estremamente efficienti, in grado di svolgere il loro compito con pochissime risorse. L’obbiettivo di un virus è modificare il normale funzionamento di un sistema di elaborazione. Queste modifiche possono portare, nei casi più gravi, alla perdita di dati e/o al malfunzionamento di una parte del sistema informativo.
Cosa sono i ransomware
Negli ultimi mesi si è diffuso un nuovo tipo di virus : i cosiddetti ransomware o “virus del riscatto”. Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare del sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro. Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo. Nel giugno 2013, la casa software McAfee, specializzata in software di sicurezza, ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250.000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente.
CryptoLocker
Questo worm ransomware a criptazione apparve nel settembre 2013: minacciava di cancellare la chiave di criptazione se entro tre giorni dall’infezione non fosse stato versato un pagamento tramite Bitcoin o tramite voucher prepagati. A causa della dimensione notevole delle chiavi, gli analisti e tutti coloro colpiti dal worm ritengono Cryptolocker estremamente difficile da eradicare. Anche dopo la scadenza stabilita, si poteva comunque ottenere la chiave privata utilizzando uno strumento online, ma il prezzo era aumentato di 10 Bitcoins, ovvero circa 2300 dollari.
CryptoLocker.F e TorrentLocker
Nel settembre 2014 si sviluppo una nuova ondata di malware nota con il nome di “CryptoWall” e “CryptoLocker” (slegata però dall’originale CryptoLocker, nonostante il nome, come nel caso di CryptoLocker 2.0), che colpì soprattutto utenti in Australia. Il worm si diffondeva attraverso e-mail fraudolente, che si mostravano come notifiche di mancata consegna di pacchi da parte della ditta postale Australia Post; per evitare di venir identificati dagli scanner automatici che verificano se i link contenuti in una pagina conducono a malware, questa variante prevedeva che l’utente visitasse una pagina e digitasse un codice CAPTCHA prima di scaricare il payload. Symantec ha stabilito che questa nuova variante, nota come “CryptoLocker.F”, sia slegata dal worm CryptoLocker originale, poiché ha un modo diverso di operare. Una vittima illustre di tale worm fu la ABC (Australia); i loro programmi in diretta sul canale di notizie ABC News 24 fu interrotto per mezzora e spostato negli studi di Melbourne a causa dell’infezione di CryptoWall nei computer degli studi di Sydney. Si stima che prima della fine di novembre 2014 più di 9000 utenti siano stati infettati da TorrentLocker soltanto in Australia, secondi solo alla Turchia, in cui si registrarono 11 700 infezioni.[53]
Come si presenta in Italia e come si attivano i ransomware
I casi riportati da alcune aziende che ci hanno interpellato, citavano mail provenienti da fonti conosciute come SDA, Enel o Equitalia. Ovviamente le aziende che apparentemente avevano inviato queste mail, nulla sapevano e non erano minimamente coinvolte in questo tipo di attività.
Ecco alcuni esempi di mail ricevute:
Leggendo bene il testo, si notano alcuni errori grammaticali, dati errati ( come la data 31 settembre nella fattura Telecom o Risossione nella comunicazione di Equitalia ) o formattazione del testo imprecise che l’autore non commetterebbe mai, ma è comprensibile che una mail di questo tipo, ricevuta da un ufficio durante una giornata lavorativa, possa essere tranquillamente scambiata per una normale comunicazione di servizio del vettore ed aperta senza nessuna precauzione.
Cosa succede se una mail come questa viene aperta ?
Nel caso delle mail precedenti, il virus si attiva se l’operatore clicca sul link “Scarica etichetta di spedizione” o “Clicca qui per scaricare” ( quelli degli esempi sopra non sono pericolosi perché sono solo “fotografie” delle mail reali ). Cliccando sui link, il programma inizia a comprimere e criptare tutti i file e le cartelle che riesce a raggiungere dal PC, comprese quindi cartelle condivise sui server ed altri PC in rete. La fase di compressione è rapidissima e normalmente l’utente non si accorge di nulla. L’utente riceve poi un messaggio come quello che segue che comunica che i dati sono stati criptati ed è possibile recuperare tutto, inviando un pagamento in Bitcoin ad un indirizzo che viene comunicato. Il pagamento in Bitcoin non è ovviamente tracciabile.
Cosa fare in questi casi ?
- Se vi siete accorti tempestivamente di quello che succede, spegnete senza perdere tempo il PC ed il server della vostra rete
- Non pagate nulla e non fate nulla
- Avvisateci tempestivamente e richiedete un nostro intervento
- Sporgete denuncia presso il Commissariato di Polizia Postale della propria provincia.
Il nostro intervento
Durante l’intervento rimuoviamo il programma che ha scatenato l’attacco. Messo in sicurezza il sistema, procediamo a ripristinare i dati. E’ di fondamentale importanza un backup aggiornato del sistema. In alternativa tentiamo di recuperare parte dei dati con strumenti specifici : in questo caso però non è possibile garantire il recupero completo delle informazioni danneggiate.
Precauzioni
Anche se possono sembrare ovvie, esistono alcune buone pratiche da seguire per limitare il più possibile questi attacchi.
- Utilizzate password complesse e cambiatele periodicamente. La password “prova123” non va bene …
- Se cambiano le persone che in azienda possono avere accesso al sistema, cambiate subito le password.
- Evitate il più possibile di dare accesso al sistema dall’esterno. Non è necessario chiudere tutto ma solo ciò che non viene utilizzato.
- Non installate programmi che non conoscete o che vi siete procurati da canali non ufficiali.
- Evitate di lasciare utilizzare il vostro sistema informativo a personale tecnico non qualificato (no agli smanettoni …).
Le soluzioni
I normali firewall ed antivirus non sono in grado di prevenire questo tipo di attacchi. Questo tipo di virus si modifica continuamente proprio per non essere riconoscibile dai normali sistemi di protezione. Inoltre, l’azione che scatena l’attacco, parte dall’interno della rete (è l’operatore che clicca sul link) ed è molto difficile discriminare un’azione voluta da un operatore interno alla rete da una indesiderata. Per fortuna ora esistono soluzioni che rendono sicure le reti prevenendo anche questo tipo di rischi. Le appliance WatchGuard serie XTM 30 e superiori offrono un nuovo livello di sicurezza.
Documentazione