I ransomware e i loro molteplici aspetti
ransomware
Ransom malware o ransomware è un tipo di malware che impedisce agli utenti l’accesso al proprio sistema o ai file in esso contenuti e li rende di nuovo disponibili in cambio di un riscatto, normalmente pagabile in criptovaluta in quanto non tracciabile. Di fatto, quindi, se rapportato alla triade CIA e cioè Confidenzialità, Integrità, Disponibilità (Availability), si tratta di un attacco alla Disponibilità.
Nel caso in cui si sia stati attaccati occorre prima di tutto isolare il sistema colpito dal resto della rete per impedire che il malware si propaghi. Successivamente, si dovrà cercare di capire quale malware sia esattamente all’opera ed augurarsi che ci siano già delle contromisure specifiche.
In particolare esistono tre tipi di ransomware
- locker ransomware – in questo caso viene bloccato l’accesso al sistema ma i file non vengono cifrati;
- crypto ransomware – questo tipo di ransomware nega l’accesso ai file. Di solito lo fa attraverso un algoritmo di cifratura avanzato ed è dotato di scadenza temporale, nel senso che l’utente deve pagare il riscatto entro un tempo ben preciso a partire dalla visualizzazione del messaggio di richiesta o i file resteranno per sempre indisponibili;
- scare ware ransomware – è il più semplice da eliminare. Durante la visualizzazione di un sito appare un popup contenente un messaggio falso da parte dell’antivirus o del sistema in cui si invita l’utente a cliccare sul popup e a scaricare un software (ad es. una patch o un aggiornamento) che successivamente cifrerà i file. In qualche caso addirittura viene usato Javascript per impedire all’utente di cambiare tab sul browser mentre viene mostrato un avviso fake in cui è richiesto il pagamento di una multa ad esempio per aver navigato siti porno illegalmente.
I problemi creati possono essere risolti in due modi
- backup/restore – si tratta di una misura di tipo preventivo, nel senso che deve essere applicata ben prima del riconoscimento dei sintomi dell’attacco. In questo caso, basterà sanificare il sistema, ad esempio reinstallandolo da zero o eradicandolo con l’antivirus e successivamente fare il restore dei dati compromessi usando il backup fatto in precedenza. Occorre fare attenzione però a una cosa: a priori non si sa da quanto tempo il malware era presente sul sistema. Il rischio, quindi, è che possa essere presente anche nel backup, nel qual caso il problema certamente si ripresenterà;
- uso di un decrittatore – questa potrebbe essere una soluzione non facilmente o velocemente percorribile in quanto non è detto che, al momento dell’attacco, gli analisti di sicurezza siano già riusciti a trovare la “cura”.
OWASP ha pubblicato nel 2018 una Anti-Ransomware guide molto dettagliata contenente misure preventive. In realtà, a ben guardare, non esistono indicazioni specifiche per ransomware, se non, al limite, il backup stesso, dato che la maggior parte delle indicazioni che si danno in questi casi sono in realtà valide per qualsiasi tipo di malware.
Il progetto No More Ransom è nato a luglio 2016, l’annus horribilis del ransomware, per aiutare chi è colpito da questo tipo di malware. Sul sito è anche presente una pagina di aiuto in cui caricare due file cifrati e il messaggio di richiesta riscatto o gli indirizzi cui indirizzare i soldi: sulla base delle informazioni fornite si riceverà aiuto sul tipo di ransomware e l’eventuale strumento per recuperare i file cifrati.
Su Github, inoltre, sono anche disponibili i cosiddetti ransomware formativi utilizzati dagli amministratori di sistema per verificare la risposta dei propri sistemi di sicurezza o come studio.
Per una macchina Windows, l’infezione inizia con il supporto dell’utente tramite l’allegato a una e-mail o un software scaricato da un sito web. Una volta eseguito, come nel caso di FuckUnicorn, il malware contatta il server C2 a cui invia la chiave di cifratura o in altri casi condivide le informazioni sulla macchina ricevendo in cambio una chiave di cifratura random. A questo punto, comincerà a cercare tutti i file e le directory sulla macchina e li cifrerà. Altre tipologie di ransomware andranno anche in cerca delle condivisioni di rete e dei drive rimovibili. Contemporaneamente distruggerà tutti i punti di restore, i backup e le copie shadow volume.
Appena il processo di cifratura sarà terminato, l’utente riceverà il messaggio classico con la richiesta di riscatto.