Anatomia di un attacco ransomware

Il 2016 è stato l’anno dei riscatti ransomware. I dati vengono crittografati attraverso il caricamento di programmi hacker nel sistema che li rendono inutilizzabili. Solo dopo aver pagato un riscatto (‘in inglese ‘ransom’) i dati tornano fruibili.

Questo tipo di ricatto non è nuovo. Nel 1989 il Trojan “AIDS.exe” era in grado di nascondere i file e renderli per questo inutilizzabili. Tuttavia in quel caso il programma cambiava solo il nome del file, lasciando intatto il contenuto. Questo è cambiato nel 2008, quando i programmi hanno iniziato a criptare i contenuti. Senza la chiave d’accesso i dati non potevano più essere recuperati. A quel punto il problema – come con i rapimenti reali – era il pagamento del riscatto. Un aspetto della faccenda che è cambiato a sua volta nel 2013. Usando Bitcoin come metodo di pagamento, i flussi di denaro non risultavano più tracciabili, ed è diventato impossibile fermare questo tipo di attacchi.

Il malware è stato diffuso per mezzo di banner pubblicitari e siti contaminati. Sono stati usati anche allegati email e la classica tattica della chiavetta USB ‘persa’, contenente il programma hacker che avrebbe poi infettato il computer in cui sarebbe stata inserita.

Nel frattempo i programmi stessi sono migliorati, ed è cambiata la selezione delle vittime: mentre in passato si mirava alla quantità – molte vittime con richieste di riscatto basse – ora sono bersagliati i livelli medio-alti del management. A mezzo di una tecnica chiamata Spear-Phishing, vengono sorvegliati e presi di mira gli amministratori delegati. Le email sono formulate in modo tale che il ricevente presume si tratti di una persona conosciuta, spesso della stessa compagnia e in una posizione di rilievo. Quando l’allegato viene aperto, la vittima viene convinta a cliccare su un link che da il via ad un’azione più ampia nel background. A quel punto il malware è caricato ed entra in azione.

Dopo l’installazione, il programma contatta uno o più cosiddetti server di Controllo &Comando (C&C). Da lì gli strumenti più moderni degli hacker vengono caricati sul computer e si annidano nel sistema assicurandosi che anche in caso di disconnessione dalla rete (che per le versioni più vecchie potrebbe ancora impedire la crittografia dei dati) il programma si rimetta in funzione al riavvio del sistema.

Una parte del malware si insinua subdolamente nella cartella di avvio automatico, mentre un’altra si occupa del registro. Dei sottoprogrammi cercano di entrare nella rete aziendale, da cui possono acquisire maggiori diritti di accesso di quelli di un “normale” dipendente. E’ facile immaginare quello che potrebbe accadere se un simile programma fosse in grado di diffondersi nella rete aziendale.

I malware moderni sono particolarmente studiati per attaccare dispositivi di backup: questi sono gli obiettivi primari, visto che un backup regolare potrebbe annullare la maggior parte dei problemi causati dal ‘rapimento’ dei dati.

Quindi il malware fa in modo che anche i dati del backup siano resi inutilizzabili. Tutto ciò avviene dietro le quinte; prima che il processo di infiltrazione sia giunto a termine, quando nessuno potrebbe sospettare del pericolo in agguato. Quando tutto è pronto, i dati vengono crittografati e la richiesta di riscatto viene visualizzata sullo schermo. La somma richiesta è la più alta possibile sulla base di un calcolo che considera i dati fiscali sulle vendite dell’azienda, spesso si tratta di somme a cinque o sei cifre.

Il tasso di successo di questo genere di attacchi è preoccupante.  Un sondaggio condotto da Osterman Research tra Stati Uniti, Canada, Regno Unito e Germania mostra che delle 540 aziende intervistate, che avevano una media di 5400 dipendenti ciascuna, quasi il 40% aveva avuto problemi con ransomware. Oltre un terzo aveva perso profitti, mentre il 20% sono state rovinate dalla perdita di dati!

Chiunque volesse avere un’idea accurata di come si svolge un attacco del più nuovo e pericoloso ransomware –  CryptoWall 3.0 (CW3) – può trovarne una dettagliata descrizione in lingua inglese su sentinelone.com.

L’articolo  potrebbe però essere comprensibile solo per i lettori con una certa preparazione tecnica.