Locky, CryptoLocker e altri ransomware: cosa è necessario sapere

Ransomware…che cosa significa? Ransomware è un software maligno che prende in ostaggio i dati di un singolo individuo, di un’azienda o di un’intera organizzazione rendendo le informazioni presenti sul computer attaccato inaccessibili e inutilizzabili. Per poter aver indietro i propri dati la vittima deve pagare un riscatto.

Il primo attacco ransomware registrato nella storia si è verificato nel 1989. Il suo nome era Cyborg Trojan PC.

Una versione più moderna ha iniziato a circolare nuovamente a partire dal 2010 prima in Russia per poi svilupparsi anche in altri Paesi come Australia, Germania e USA. Oggi, con la diffusione di Internet a livello mondiale, tutto il mondo può essere attaccato dai ransomware.

I più noti ransomware sono CryptoLocker, CryptoWall, Reveton e il più recente Locky. Esistono però diverse versioni di ransomware.

È quindi necessario iniziare a porsi diverse domande al riguardo:

• come funziona un ransomware?
• come è in grado di accedere ai nostri computer?
• quali sono i profitti dietro a questi attacchi?
• come possiamo proteggerci?

Ransomware – Qualche informazione in più

Il mezzo di diffusione più comune dei ransomware sono le email. A causa del loro utilizzo in tutte le aziende del mondo, le email sono un target molto interessante per questo genere di attacchi.

L’email infetta contiene un link o un allegato ( un documento in formato .doc, .zip o altri). La modalità di attacco del virus è uguale a quella del cavallo di Troia. Nel caso del  ransomware Petya, ad esempio, l’email conteneva un link ad un curriculum vitae memorizzato su Dropbox. Una volta effettuato l’accesso si scopriva che il file non era editabile e quindi, appena aperto provocava un crash del computer e la crittografia dei dati. 

Nel caso di Locky, il file è scritto in un inglese corretto (diversamente dai vecchi ransomware) e si presenta sotto forma di una fattura urgente da pagare o di una convocazione presso il tribunale. È quindi difficile per gli utenti resistere alla tentazione di cliccare sul link o sull'allegato!

I ransomware più sviluppati come SamSam prendono di mira i server più vulnerabili. SamSam si inserisce in particolare nelle reti interne di molti ospedali verificando le vulnerabilità legata a server non aggiornati. In caso di successo, l’hacker ha poi accesso alla rete e il controllo dei dati chiave presenti sul sistema per procedere con la crittografia. SamSam, operando in maniera quasi inavvertibile, è in grado di provocare danni di grande portata.

Una volta che il file viene lanciato, l’hard disk interno così come i dispositivi ad esso connessi (chiavette USB e/o hard disk esterni) e le connessioni condivise vengono quindi crittografate. Per poterli sbloccare l’utente deve utilizzare una chiave che però solo l’hacker possiede. Questa chiave verrà fornita all'utente in cambio di una determinata somma di denaro spesso richiesta sotto forma di Bitcoin, di modo che il pagamento non possa essere in alcun modo tracciato e garantendo così l’anonimato del ricattatore.

Un tema caldo che non risparmia nessuno

Il numero di versioni di Ransomware, così come le infezioni, sono in costante crescita. Questo genere di malware non risparmia nessuno. Singoli individui, ministeri, agenzie federali, aziende come gli ospedali sono finiti tutti nel mirino di questi attacchi.

Tutto questo può essere spiegato da diversi fattori.

Prima di tutto è molto difficile per antivirus e altri software di protezione bloccare questo genere di malware. Purtroppo le tecnologie per l’individuazione di malware sono generalmente in ritardo rispetto a questo tipo di virus che invece evolve in maniera molto rapida. Questi hanno anche il vantaggio di poter attaccare in modo rapido un grande numero di potenziali vittime che vengono facilmente “intrappolate” e incuriosite dagli oggetti delle email spam che vengono inviate.

I ransomware sono inoltre una fonte di profitto per gli hacker. Se il riscatto richiesto ad un utente varia da qualche centinaio a qualche migliaio di euro quando la vittima è un’organizzazione di grandi dimensioni come aziende o ospedali (come già detto il bersaglio favorito dei malware) il riscatto può variare da diverse migliaia fino a qualche milione di euro per le vittime di maggior importanza. Tutto questo viene fatto grazie all'utilizzo di Bitcoin che impediscono la tracciabilità del pagamento e consentono l’anonimato delle transazioni.

Infine gli hacker possono agire indisturbati grazie anche alla scarsa conoscenza e ai ridotti livelli di protezione adottati dalle potenziali vittime. 

Gli ospedali sono il bersaglio preferito dagli hacker proprio per via dei loro scarsi sistemi di sicurezza e del grande valore dei dati.

Come proteggerci dai ransomware

Ora che abbiamo visto quali sono le modalità di attacco adottate, come possiamo difenderci da questi ransomware?

La prima protezione contro questo genere di attacchi siamo semplicemente noi! Per poter evitare di essere attaccati dai virus contenuti nelle email e che si annidano principalmente negli allegati è sufficiente non aprire questi messaggi. Se non siete clienti di un’azienda, perché mai dovreste riceverne una fattura? Perché dovreste ricevere dei premi o dei regali per concorsi o competizioni a cui non avete mai partecipato? Sono molti gli “incentivi” utilizzati dagli hacker che potete evitare.

Il secondo metodo consiste nel creare con una certa frequenza copie di backup dei vostri file. Il modo migliore per conservare i vostri dati personali e lavorativi è quello di effettuare un backup su chiavetta USB, su un hard disk o su un server. Quindi anche se l’hacker riesce a crittografare i vostri dati avrete ancora accesso alle vostre informazioni. È molto importante non collegare in maniera permanente i vostri hard disk esterni e i vostri server. In questo modo infatti solo il vostro pc verrebbe infettato e non l’intera infrastruttura.

Infine il terzo e ultimo metodo di protezione contro gli attacchi ransomware sta nell’aggiornamento degli antivirus. Si tratta di strumenti fondamentali per la sicurezza del vostro computer. Tuttavia è necessario agire con attenzione poiché i virus evolvono rapidamente e anche se il vostro antivirus è in grado di gestire le versioni precedenti di un ransomware c’è spesso un ritardo tra le tecnologie utilizzate per l’individuazione di virus e le continue mutazioni del malware.

Per ostacolare per tempo questo genere di attacchi dovreste informare tutti i vostri collaboratori indipendentemente dal loro livello di responsabilità circa l’esistenza di questo genere di virus. Ogni singolo dipendente connesso alla rete aziendale potrebbe infatti essere contagiato dai ransomware. È bene anche effettuare un controllo delle tecnologie in uso per valutare il livello di rischio cui le aziende sono esposte. Non c’è niente di meglio che essere a conoscenza di eventuali ondate di attacchi ransomware per aumentare i livelli di vigilanza ed evitare che dati importanti possano cadere nelle mani sbagliate e dover recuperare i dati compromessi da un attacco ransomware.

Di seguito un case history reale in cui i nostri specialisti sono stati in grado di recuperare i dati criptati dal malware CryptoLocker.

Ontrack e NetApp sconfiggono il ransomware CryptoLocker

Lo scontro ha inizio su un singolo laptop di una grande industria farmaceutica che è stato attaccato da CryptoLocker ransomware, un malware che codifica i file e non fornisce la chiave fino a quando l’utente non paga il “riscatto”.

I danni causati del malware CryptoLocker

Il PC era collegato al network aziendale e aveva accesso a un volume CIFS configurato come file share su NetApp FAS. Il virus è stato in grado di entrare nel file share e di codificare la maggior parte dei file. Questo ha impattato l’intero dipartimento in cui lavorava l’utente, poiché il virus ha bloccato le operazioni svolte quotidianamente.

Sfortunatamente il supporto IT del cliente non si è accorto subito dell’infezione di Cryptolocker.

I danni in numeri:

• 46 drive
• 1 aggregato (tenuto offline dopo aver infettato 17 volumi)
• 1 volume attaccato su RAID DP

Ontrack entra in azione

Il cliente ha portato tutti i dispositivi nel laboratorio Ontrack in New Jersey per verificare i danni subiti. I nostri ingegneri hanno subito iniziato a lavorare per individuare l’intervento più adatto a risolvere il problema.

I tecnici hanno ricostruito i gruppi RAID, l’aggregato e il volume su RAID DP. Hanno poi individuato ulteriori danni sull’aggregato dopo aver scoperto che era stato utilizzato per ben due settimane dopo l’attacco del virus e dopo che i dati erano stati sovrascritti.

L’arma segreta di NetApp

Grazie al modo in cui il file system WAFL di NetApp è configurato, gli ingegneri Ontrack sono stati capaci di “tornare indietro nel tempo” e recuperare i dati.

Il data recovery sui sistemi NetApp viene effettuato a livello dello strato dell’aggregato. Dato che WAFL crea dei checkpoint ogni 10 secondi, i nostri ingegneri sono stati in grado di identificare diversi checkpoint e di unire i dati per fornire al cliente un accesso alle copie decodificate originali.

Vittoria: rimozione virus CryptoLocker ransomware e recupero dati

Le competenze di Ontrack nel recupero dati dopo attacco ransomware insieme alla tecnologia NetApp e alla metodologia di scrittura utilizzata dal file system ci hanno permesso di trovare una soluzione per la rimozione del virus CryptoLocker ransomware. Siamo infatti stati in grado di recuperare copie decodificate dei dati che erano stati criptati (e tenuti in ostaggio in attesa di riscatto) e di poterle rendere al cliente.

Live Webinar

Gli ingegneri Ontrack si sono riuniti con NetApp per discutere di questo caso. Guarda la registrazione del webinar e ascolta le opinioni dei nostri esperti su CryptoLocker ransomware.

Risorse aggiuntive: scopri la nostra guida per sapere tutto ciò che serve sui ransomware.