Digital ForensicsFabio MassaII_MMXVI

Anatomia di un attacco ransomware

di Fabio Massa

Come previsto in passato da numerosi esperti di sicurezza, oggi per la prima volta nel genere umano, un numero impressionante di persone sono sottoposte quotidianamente ad estorsioni digitali che prendono in ostaggio i dati, tramite ransomware e crittografia. L’uso dei personal computer e dei dispositivi digitali connessi alla rete, presenti oramai in tutte le attività quotidiane degli utenti, ha prodotto indirettamente un numero esponenziale di potenziali vittime di crimini informatici, amplificata dalle numerose campagne quotidiane di infezione. Ormai la già vasta gamma di ransomware è ulteriormente in crescita.
La stragrande maggioranza di questi malware vengono generati per estorcere direttamente o indirettamente denaro alle vittime, a tal punto da essere considerati oggi una grave minaccia a livello globale.

 


 

1.     Cosa sono i ransomware
I ransomware sono fondamentalmente malware che possono assumere diverse forme, ma che nella loro essenza negano l’accesso ad un dispositivo o ai file di un utente, con vari mezzi, fino a quando non è stato pagato un riscatto. La richiesta di riscatto generalmente parte dai 300$ ai 500$ e arriva anche oltre 1000$ nel caso non si provveda a pagare entro i tempi richiesti. Per ragioni logiche di anonimato, il riscatto deve essere pagato inevitabilmente tramite BitCoin (cryptovaluta) seguendo le istruzioni fornite dagli stessi cyber criminali, che consegneranno al termine della procedura di pagamento il “decryptor” tool utile all’arduo processo di decrittazione dei file compromessi.
Alcune varianti di questo malware utilizzano tecniche per bloccare l’accesso al computer o negare l’accesso ai file (ad esempio modificando ACL e disabilitando l’accesso a strumenti di sistema, desktop, ecc), mentre le varianti più recenti cifrano con algoritmi di crittografia forte (ad esempio AES, RSA, ecc) i file utente.

I ransomware si dedicano generalmente ai file degli utenti, evitando di danneggiare i file di sistema. Questa tecnica viene utilizzata sia per garantire all’utente la possibilità di visualizzare i messaggi che indicano le modalità di pagamento del riscatto, sia per ottenere uno strumento efficace per decifrare i propri file ottenuta la chiave di decrittazione. Generalmente terminata l’azione crittografica dei file, il malware si auto elimina lasciando sulla macchina documenti che contengono le istruzioni per la vittima su come effettuare il pagamento e riguadagnare l’accesso ai propri file. Alcune varianti mostrano alla vittima un conto alla rovescia con un messaggio che minaccia l’eliminazione dello strumento utile alla decrittazione dei file se non venisse pagato il riscatto entro il termine del counter, aumentando invece il prezzo del riscatto.
I criminali informatici generalmente utilizzano vettori di infezione che possono facilmente trarre in inganno gli utenti meno esperti, quali: kit exploit, phishing emails, web sites compromessi, software gratuiti e banner pubblicitari infetti. Le possibilità di guadagno, che superano di gran lunga le precedenti tecniche di attacco, hanno modificato il trend anche nell’utilizzo fraudolento delle email di phishing; attualmente quasi il 93% delle email di phishing non mirano al furto delle informazioni personali o bancarie, bensì sono diventate vettori di infezioni di crypto-malware.

Uno degli aspetti più preoccupanti di questo tipo di minacce è il comportamento vermiforme di propagazione che può interessare sia unità logiche che dischi rimovibili e unità di rete, difatti sono abbastanza intelligenti da viaggiare attraverso la rete e cifrare i file che si trovano su unità mappate e unità non mappate.

2.     Esempio di un attacco ransomware: Cryptolocker
Cryptolocker infetta tutte le versioni di Windows, compreso Windows XP, Windows Vista, Windows 7, Windows 8 e Windows 10. Utilizza metodi di crittografia avanzati come ad esempio AES-265 e RSA al fine di garantire che la vittima abbia l’unica scelta di acquistare la chiave privata.

Un metodo di infezione classico avviene attraverso email di spam di varia natura, false fatture, reclami, falsi procedimenti penali e tante altre tecniche di social engineering che richiamano l’attenzione della vittima a scaricare l’allegato in formato zip o cab della stessa email. Scaricato e aperto l’allegato inizia il vero e proprio processo di infezione. All’avvio il malware elimina tutte le copie shadow del volume sul sistema per assicurare l’impossibilità di un recovery successivo dello stesso. Si perde così la possibilità di ripristinare il proprio sistema.

…continua su EDICOLeA 

 


Articoli pubblicati da Fabio Massa

 

Show More

Related Articles