La … preistoria
Il Dottor Joseph Popp aveva appena finito di impacchettare il suo ultimo lotto di dischetti, floppy disk da 5’ ¼ per la precisione, quando si soffermò con soddisfazione a contemplare il risultato del suo impegno. Ogni floppy era stato imbustato con cura, ogni busta era stata diligentemente corredata del francobollo di ordinanza affinché il servizio postale potesse svolgere il proprio compito e consegnare quelle missive per concludere la spedizione di un totale di 20000 esemplari di un programma molto particolare: il primo ransomware della storia. Era il 1989.
Il programma scritto dal Dr. Joseph Popp si presentava come un software divulgativo sull’AIDS preparato da una fantomatica software house, la “PC Cyborg Corporation”. In effetti il programma forniva davvero informazioni riguardanti la malattia, ma portava con sé un “trojan” che dopo un certo numero di boot dal dischetto effettuava la crittografia dei file del computer vittima, chiedendo come contropartita per la restituzione dei file originali l’invio di 189 dollari a una casella postale di Panama (all’epoca i bitcoin erano ancora lontani!).
L’inviolabilità della crittografia (simmetrica) di questo ransomware non era di certo paragonabile a quella degli esemplari attuali (che sfruttano anche la crittografia asimmetrica) e probabilmente il virus non alterava nemmeno il contenuto dei file, ma solamente il nome degli stessi, tuttavia lo schema di estorsione era lo stesso dei malware moderni.
Di cosa si tratta
Un ransomware in sostanza è un malware che aggredisce la disponibilità dei dati. Questa aggressione può avvenire in due modi: crittografando il contenuto di un disco (di parte di esso o dei file memorizzati) oppure impedendo all’utente l’utilizzo del PC. In ogni caso, a fronte dell’indisponibilità dei dati, l’utente viene costretto a pagare un riscatto (ransom) all’estorsore che ha infettato il PC vittima. In caso contrario il malcapitato si troverà ad aver perso tutti o parte dei propri dati!
È inutile sottolineare come questa situazione di perdita di dati possa tradursi in ambito aziendale in una consistente consistente perdita di denaro, in taluni casi potrebbe voler dire mettere a repentaglio la propria continuità di business. Molte volte i criminali si servono di botnet per la propagazione del ransomware, il “payload” malevolo può esser contenuto in un allegato di posta, oppure ci si può infettare cliccando su un URL contenuto in una email che i criminali ci inducono a visitare sfruttando tecniche di “social engineering”.
Tanto rumore per…
Agli albori, ogni ideatore e diffusore di “virus” perseguiva narcisisticamente la notorietà, anche se la propria identità rimaneva celata dietro un “nickname”: insomma i primi virus facevano molto “rumore”, non passavano inosservati. Col trascorrere del tempo, lo scopo del malware ha assunto tante altre connotazioni (da quelle economiche a quelle spionistiche) ed una delle caratteristiche assunte da questi malevoli software è quella di cercare di sfuggire al rilevamento per quanto più tempo possibile, per poter agire indisturbato. E’ interessante notare che probabilmente l’unica categoria di malware che ha mantenuto (per ovvie ragioni) la sua caratteristica di invadenza e visibilità è proprio il ransomware.
Alcuni famigerati esempi
Uno dei ransomware più conosciuti è senza dubbio Cryptolocker, la sua origine risale presumibilmente al settembre del 2013, si propaga tipicamente attraverso l’allegato di una email solitamente ben “costruita” e molte volte abbastanza convincente da indurre la vittima ad aprire l’allegato. Una volta installato ed attivo, il virus procede crittografando una parte dei file contenuti nel PC vittima e, sfruttando le condivisioni di rete, si propaga su queste ultime eventualmente crittografando i file in esse contenuti. Ai malcapitati vengono quindi concesse 72 ore per procedere al pagamento, solitamente in Bitcoin (la criptovaluta più diffusa), di un riscatto per vedersi restituiti i propri file allo stato originale. La crittografia dei file è di tipo asimmetrico e la chiave privata è memorizzata sui server che si trovano sotto il controllo degli estorsori.
Un altro esempio è Cryptowall che secondo stime recenti ha fruttato ai criminali una somma superiore ai 18 milioni di dollari, anche se è bisogna tenere presente che le perdite globali in denaro delle vittime infette da questo virus particolarmente pericoloso sono senza dubbio molto più ingenti.
Non si pensi tuttavia che, nonostante molte aziende siano cadute vittima del problema, queste ultime non si siano dotate delle necessarie misure di sicurezza. Aderire ai dettami della difesa in profondità e utilizzare diversi livelli di protezione (antivirus, web filtering, antispam, ecc.) può in certi casi essere reso uno sforzo vano dall’imprudenza dell’utente finale o, detto in altri termini, dall’imponderabilità del fattore umano. Un nuovo virus può sfuggire alle maglie della protezione, ma a quel punto deve entrare in gioco la prudenza e il sospetto quando ci si trova di fronte ad allegati di posta di incerta origine.
Come difendersi
È necessario rassegnarsi all’inevitabile e sperare solamente di non cadere mai nella trappola di un ransomware? Pagare il riscatto è l’unica soluzione?
Dal punto di vista etico pagare il riscatto non è certo la scelta migliore: si inducono i criminali a proseguire nella loro attività. In certi casi, però, rimane l’unica strada possibile considerata l’inviolabilità della crittografia usata e il valore dei dati contenuti nei file la cui disponibilità ci viene sottratta. I consigli in questo caso seguono due differenti direzioni: non rinunciare alla prevenzione, includendo sempre e comunque una serie di adeguate misure di sicurezza all’interno della propria infrastruttura, ed effettuare in maniera costante il backup dei dati. Una efficiente politica di backup dei dati metterà al riparo qualsiasi azienda dalla necessità di pagare un riscatto, il danno in quel caso sarà senz’altro più limitato e quindi recuperabile ad un minor costo.
Facebook Comments