Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

La "Storia" dell'Anno

Contenuti

Introduzione

Nel 2016, il ransomware ha continuato ad imperversare in tutto il mondo, stringendo la sua presa su dati e dispositivi, su singoli utenti ed imprese.

I numeri parlano da soli:

Kaspersky Security Bulletin 2016. La "Storia" dell'Anno

  • Hanno fatto la loro comparsa 62 nuove famiglie di ransomware.
  • Il numero di varianti di ransomware è cresciuto di ben 11 volte: si è infatti passati dalle 2.900 nuove varianti rilevate nel periodo gennaio/marzo, alle 32.091 riscontrate nel periodo luglio/settembre.
  • Gli attacchi alle imprese sono aumentati di tre volte tra gennaio e la fine di settembre: la differenza tra un attacco ogni 2 minuti ed uno ogni 40 secondi.
  • Per i singoli utenti il tasso d’aumento è passato da un attacco ogni 20 secondi ad uno ogni 10 secondi.
  • Ben una su cinque imprese di piccole e medie dimensioni, tra quelle che hanno provveduto a pagare il riscatto richiesto dai cyber criminali, non si è vista restituire in alcun modo i dati in precedenza compromessi.

Il 2016 ha ugualmente visto il ransomware crescere sensibilmente in termini di sofisticatezza e varietà: questa temibile forma di malware si è ad esempio dimostrata capace di cambiare al volo la propria “linea di condotta” nell’incontrare software dedicati alla sfera finanziaria; si è poi rivelata essere persino elaborata in certi linguaggi di scripting; ha sfruttato nuovi metodi per realizzare le infezioni; ha acquisito un carattere sempre più mirato, ed ha infine offerto soluzioni “chiavi in mano” di tipo Ransomware-as-a-Service ai cyber criminali in possesso di minori capacità tecniche, oppure con risorse o tempo a disposizione decisamente limitati. Tutti questi elementi si sono manifestati attraverso un ecosistema “underground” che ha assunto proporzioni sempre maggiori, divenendo, al contempo, sempre più efficiente.

Allo stesso tempo, il 2016 ha visto tutti quanti iniziare ad unirsi per reagire e combattere tale minaccia.

Il progetto No More Ransom, lanciato nello scorso mese di luglio, ha riunito, da parte sua, gli sforzi profusi in tal senso dalla Nationale Politie (polizia nazionale) dei Paesi Bassi, da Europol, Intel Security e Kaspersky Lab. Nel successivo mese di ottobre hanno poi aderito all’iniziativa altre 13 organizzazioni. Tra l’altro, la collaborazione instaurata ha prodotto una nutrita serie di tool di decodifica disponibili gratuitamente online, i quali hanno sinora aiutato migliaia di vittime di ransomware a recuperare i propri dati.

Questa, tuttavia, è solo la punta dell’iceberg: rimane ancora molto da fare. Insieme, però, possiamo ottenere molto di più di quanto ognuno di noi possa realizzare per conto proprio.

Che cos’è il ransomware?

Il ransomware si presenta in due forme distinte. La forma più comune di ransomware è rappresentata dai cryptor. Questi programmi cifrano i dati custoditi sul dispositivo della vittima, per poi richiedere il pagamento di una determinata somma di denaro, in cambio della promessa di ripristinare i dati compromessi. I blocker, per contro, non vanno a colpire i dati memorizzati sul dispositivo preso di mira. Tali malware, in pratica, impediscono alla vittima di accedere al proprio dispositivo. La richiesta di pagamento del riscatto, mostrata sullo schermo, risulta abitualmente mascherata sotto forma di notifica proveniente dalle forze di cyberpolizia, in cui si afferma che la vittima ha effettuato l’accesso a contenuti web illegali, e si sottolinea, inoltre, come il “colpevole” debba immediatamente pagare una cospicua multa. Una sintetica descrizione di entrambe le tipologie di ransomware attualmente esistenti, è disponibile qui.

Ransomware: principali tendenze e scoperte del 2016

“La maggior parte degli attacchi ransomware si basa, di fatto, proprio sull’improbabile rapporto di “fiducia” che si instaura tra la vittima e l’hacker: questo temibile ecosistema cybercriminale poggia, in pratica, sul “principio” che vede il cyber criminale attenersi al rispetto del tacito contratto “stipulato” con la propria vittima, in base al quale, una volta ricevuto il pagamento richiesto, saranno poi restituiti i file sottoposti a riscatto. Incredibilmente, i cyber criminali hanno dato prova di una sorprendente parvenza di professionalità nel mantenere tale promessa”.

GReAT, Previsioni sulle Minacce IT per il 2017

Kaspersky Security Bulletin 2016. La "Storia" dell'Anno

Arrivi e partenze

Arrivi – Nel 2016, il mondo intero (purtroppo!) ha “salutato” l’avvento di Cerber, Locky e CryptXXX, così come l’apparizione di ben 44.287 nuove varianti di ransomware.

Cerber e Locky sono comparsi sulla scena dei malware all’inizio della scorsa primavera. Si tratta, in entrambi i casi, di “specie” di ransomware particolarmente “cattive” e virulente, che si propagano su larga scala, soprattutto tramite gli appositi allegati dannosi inseriti nelle e-mail di spam, e per mezzo dei famigerati kit di exploit. I due programmi ransomware in questione sono rapidamente assurti al ruolo di “attori principali”, prendendo di mira sia gli utenti privati che gli utenti corporate. Poco tempo dopo, è stata la volta di CryptXXX. Tutte e tre le famiglie continuano ad evolversi, e a tenere in ostaggio il mondo intero, assieme a noti “operatori” già presenti sul “mercato”, quali CTB-Locker, CryptoWall e Shade.

Ad ottobre 2016, la situazione relativa alle famiglie di ransomware rilevate con maggiore frequenza dai prodotti Kaspersky Lab risultava essere la seguente:

Denominazione Verdetti* Quota percentuale
di utenti**
1 CTB-Locker Trojan-Ransom.Win32.Onion /
Trojan-Ransom.NSIS.Onion
25,32
2 Locky Trojan-Ransom.Win32.Locky /
Trojan-Dropper.JS.Locky
7,07
3 TeslaCrypt (attivo fino a maggio 2016) Trojan-Ransom.Win32.Bitman 6,54
4 Scatter Trojan-Ransom.Win32.Scatter /
Trojan-Ransom.BAT.Scatter /
Trojan-Downloader.JS.Scatter /
Trojan-Dropper.JS.Scatter
2,85
5 Cryakl Trojan-Ransom.Win32.Cryakl 2,79
6 CryptoWall Trojan-Ransom.Win32.Cryptodef 2,36
7 Shade Trojan-Ransom.Win32.Shade 1,73
8 (verdetto generico) Trojan-Ransom.Win32.Snocry 1,26
9 Crysis Trojan-Ransom.Win32.Crusis 1,15
10 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 0,90

* I dati statistici qui sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai prodotti Kaspersky Lab. Essi sono stati da noi ottenuti tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l’assenso per effettuare la trasmissione di dati statistici ai nostri analisti.
** Quota percentuale di utenti presi di mira da una specifica famiglia di crypto-ransomware, in relazione al numero complessivo di utenti bersagliati dal crypto-ransomware.

Partenze – Addio a TeslaCrypt, Chimera e Wildfire, o almeno così sembrava…

Kaspersky Security Bulletin 2016. La "Storia" dell'Anno

Probabilmente, la sorpresa più grande di tutto il 2016 si è rivelata essere la cessazione delle attività illecite condotte attraverso il famigerato progetto ransomware denominato TeslaCrypt; in seguito, è stata resa addirittura pubblicamente accessibile la relativa master key, ad opera, a quanto pare, degli stessi attori che tenevano le fila di questo temibile malware crittografico.

Encryptor RaaS, uno dei primi Trojan ad offrire un modello Ransomware-as-a-Service ad altri cyber criminali, ha chiuso i battenti dopo che una parte della botnet sulla quale esso si appoggiava è stata sgominata dalla polizia.

In seguito, nel mese di luglio, sono state rese pubblicamente disponibili circa 3.500 chiavi relative al ransomware Chimera, da parte di qualcuno che ha affermato di essere dietro al ransomware Petya/Mischa. Tuttavia, visto che Petya ha fatto uso, per allestire il proprio ransomware, di una parte del codice sorgente di Chimera, potrebbe essersi trattato, di fatto, dello stesso gruppo, intento, semplicemente, ad aggiornare la propria suite di “prodotti”, e che, nella circostanza, ha in qualche modo combinato dei danni.

In maniera simile, Wildfiredopo che gli sforzi congiunti prodotti da Kaspersky Lab, Intel Security e dalla Polizia olandese avevano reso possibile il sequestro dei relativi server e lo sviluppo della chiave di decodifica – adesso sembra essere riemerso, al pari di Hades.

Utilizzo improprio di codice ransomware sviluppato per fini “educativi”

ksb_2016_it_4

Alcuni ricercatori, di certo animati da buone intenzioni, avevano sviluppato un ransomware “educativo”, allo scopo di mettere a disposizione degli amministratori di sistema uno strumento atto a simulare un attacco ransomware, e che permettesse, quindi, di testare a dovere le protezioni allestite. I cyber criminali, però, sono stati lesti a non lasciarsi sfuggire l’opportunità di mettere le mani su simili strumenti, dirottandoli, quindi, verso i propri scopi nocivi.

Lo sviluppatore del ransomware “didattico” Hidden Tear & EDA2, ritenendo di fare una cosa utile, ha postato il relativo codice sorgente su GitHub. Così, inevitabilmente, il 2016 ha visto la comparsa di numerosi Trojan nocivi basati proprio su questo codice. Citiamo, tra questi, il programma ransomware denominato Ded Cryptor, in grado di cambiare lo sfondo presente sullo schermo del computer-vittima, facendo comparire la minacciosa immagine di un Babbo Natale in versione decisamente “malvagia”. Nella circostanza si richiedeva, in qualità di riscatto, il pagamento di una cifra piuttosto considerevole: due Bitcoin, pari a circa 1.300 dollari USD. Un altro di tali programmi si è poi rivelato essere Fantom, il quale simulava una schermata di aggiornamento Windows che, a prima vista, sembrava essere del tutto autentica.

Tipologie di approccio non convenzionali

  • Perché mai perder tempo con i singoli file, quando invece è possibile prendersi tutto il disco?

    Per quel che riguarda gli attacchi ransomware, tra le nuove tipologie di approccio che sono state rilevate, per la prima volta, nel corso del 2016, spicca indubbiamente la codifica completa del disco; tale tecnica nociva prevede, di fatto, che gli hacker blocchino l’accesso a tutti i file – oppure criptino questi ultimi – in una sola volta. Petya rappresenta un “valido” esempio, in tal senso, visto che esso è in grado di cifrare la Master File Table dell’hard disk dell’utente-vittima, rendendo in pratica impossibile il riavvio del computer sottoposto ad attacco. Un altro Trojan, Dcryptor, ugualmente conosciuto con il sinistro appellativo di Mamba, si è spinto ancora oltre, visto che esso è in grado di bloccare l’intero hard drive. Si tratta di un ransomware particolarmente “cattivo” e sgradevole, capace di criptare ogni settore del disco, compreso il sistema operativo, le applicazioni, i file condivisi e tutti i dati personali – mediante l’utilizzo di una copia del software open source DiskCryptor.

  • La tecnica di infezione “manuale”

    L’infezione informatica generata da Dcryptor viene realizzata manualmente; gli hacker, in effetti, eseguono attacchi brute-force diretti alle password, per ottenere l’accesso remoto al computer della vittima. Per quanto non rappresenti un elemento di novità, questo genere di approccio è divenuto sensibilmente più diffuso proprio nel corso del 2016, e viene praticato, spesso, come metodo particolarmente efficace per sottoporre ad attacco i server, ed ottenere in tal modo l’accesso ai sistemi informatici di cui sono dotate le aziende.

    Se l’attacco ha buon esito, il Trojan si installa nel sistema, per poi cifrare i file custoditi nel server, ed eventualmente su tutte le unità di rete condivise, accessibili attraverso quest’ultimo. Abbiamo ad esempio scoperto che il gruppo TeamXRat era solito adottare questo particolare approccio per distribuire il proprio ransomware su server ubicati in Brasile.

  • Due infezioni in una

    Nello scorso mese di agosto è stato da noi scoperto un sample di Shade che presentava una funzionalità malevola del tutto inattesa: in pratica, se fosse risultato che un computer infetto era riconducibile a servizi di natura finanziaria, il malware in causa avrebbe effettuato il download e la successiva installazione di uno spyware, dispiegato con il preciso intento, a più lungo termine, di realizzare il furto di denaro.

Il ransomware elaborato con i linguaggi di scripting

ksb_2016_it_5

Nel 2016, ha attirato in particolar modo la nostra attenzione un’ulteriore, significativa tendenza: il numero crescente di cryptor compilati tramite determinati linguaggi di scripting. Soltanto nel terzo trimestre dell’anno, ci siamo imbattuti in numerose nuove famiglie scritte in Python, tra cui HolyCrypt e CryPy; abbiamo inoltre osservato come Stampado, temibilissimo malware cifratore, fosse scritto nel linguaggio di automazione AutoIt.

Una lunga fila di “dilettanti” e di imitazioni di ogni genere

Molti dei nuovi Trojan ransomware individuati nel corso del 2016 si sono rivelati essere di bassa qualità, per nulla sofisticati, con diverse falle a livello di software, ed errori alquanto grossolani per quel che riguarda le notifiche relative alla richiesta di pagamento del riscatto.

Questo si è manifestato di pari passo con il sensibile aumento del ransomware in cui abbondano imitazioni di ogni tipo. Abbiamo osservato, tra le altre cose, i seguenti elementi:

  • Bart, di fatto, copia la notifica riguardante la richiesta di riscatto e lo stile della pagina web del ransomware Locky riservata alle informazioni relative alle procedure da seguire per effettuare il pagamento.
  • Una vera e propria imitazione di Locky, basata su AutoIt, e denominata AutoLocky, fa uso della stessa estensione, ovvero “.locky”.
  • Crusis (alias Crysis) copia l’estensione “.xtbl”, utilizzata originariamente da Shade.
  • Xorist, da parte sua, copia l’intero schema di denominazione dei file crittografati da Crusis.

Ad ogni caso, l’imitatore più evidente, da noi scoperto nel corso di questo anno, sembra essere, a tutti gli effetti, Polyglot (alias MarsJoke). Esso, in pratica, imita completamente l’aspetto di CTB-Locker, così come il particolare approccio di cui si avvale quest’ultimo a livello di file processing.

È lecito attendersi, per il 2017, un rafforzamento di tutte le tendenze qui sopra descritte.

“Con l’aumentare del livello di popolarità di tale pratica estorsiva, e con la probabile entrata in scena di ulteriori criminali, di “grado” inferiore, andremo probabilmente incontro ad un numero sempre maggiore di attacchi ransomware in cui risulterà di fatto assente l’attuale “garanzia” fornita dai cyber criminali per quel che riguarda l’effettiva capacità, ed intenzione, di mantenere la promessa fatta. Ci attendiamo, pertanto, la comparsa sulla scena del malware di una tipologia di ransomware che potremmo qualificare come ‘skiddie’, volta a bloccare l’accesso ai file o al sistema, o semplicemente ad eliminare i file presi di mira, la quale, tuttavia, dopo aver indotto ingannevolmente le vittime a provvedere al pagamento del riscatto, non fornirà, in cambio, proprio un bel nulla”.

GReAT, Previsioni sulle Minacce IT per il 2017

La fiorente economia del ransomware

ksb_2016_it_6

L’ascesa del modello RaaS

Il cosiddetto “Ransomware-as-a-Service”, come è noto, non costituisce di sicuro una nuova tendenza; lungo tutto l’arco del 2016, tuttavia, questo singolare modello di propagazione ha continuato a svilupparsi sensibilmente, con un numero sempre maggiore di autori di ransomware intenti ad offrire “on demand” il loro prodotto dannoso. Un simile approccio si è dimostrato incredibilmente attraente per quei criminali che non possiedono le necessarie competenze tecniche, o magari non dispongono delle risorse occorrenti, oppure non sono in alcun modo inclini a sviluppare un proprio programma ransomware.

Esempi particolarmente degni di nota, per quel che riguarda il ransomware apparso sulla scena nel 2016, e che fa uso del modello qui sopra menzionato, sono di sicuro Petya/Mischa e Shark, in seguito ribattezzato con il nome di Atom.

Questo singolare modello di “business” si rivela essere sempre più sofisticato:

ksb_2016_it_7

Il sito riservato ai partner del ransomware Petya

Il partner, spesso, sottoscrive un accordo di stampo tradizionale, basato sul semplice riconoscimento di commissioni. Ad esempio, la “tabella di pagamento” riguardante, nello specifico, il ransomware Petya, mostra chiaramente che se un partner realizza, in una settimana, un “guadagno” di 125 Bitcoin, egli potrà intascare, una volta riconosciute le commissioni, ben 106,25 Bitcoin.

ksb_2016_it_8

La “tabella di pagamento” utilizzata per il ransomware Petya

Viene ugualmente prevista, in certi casi, una tariffa iniziale di utilizzo. Chi intende far uso del ransomware Stampado, ad esempio, dovrà mettere assieme la somma, di certo non eccessiva, di 39 dollari.

Con altri criminali che offrono i loro servizi nell’ambito della distribuzione dei messaggi di spam, oppure per ciò che riguarda le notifiche ransomware, non è affatto difficile, per un aspirante hacker, iniziare la propria “carriera”.

Dai network basati sul pagamento di commissioni al servizio di assistenza “clienti” e al branding

Gli hacker più “professionali” hanno spesso offerto alle loro vittime una sorta di help desk e di supporto tecnico, allo scopo di guidare queste ultime attraverso il processo di acquisto dei Bitcoin necessari per pagare il riscatto; talvolta, poi, gli estorsori si sono addirittura dimostrati disposti a negoziare, a condurre trattative. Ogni passo compiuto in tal senso, ha inevitabilmente incoraggiato le vittime del ransomware a procedere al pagamento.

Gli esperti di Kaspersky Lab che hanno provveduto ad analizzare il fenomeno ransomware in Brasile, hanno inoltre rilevato come, in molti attacchi, il branding del programma ransomware utilizzato si rivelava essere una questione di una certa importanza. Coloro che cercavano di suscitare l’attenzione dei media, e di spaventare i propri “clienti”, optavano, in genere, per una condotta di alto profilo, magari sfruttando un tema legato alla celebrità, o una “trovata” particolare; per contro, coloro che si preoccupavano maggiormente di non dare nell’occhio rinunciavano volentieri alla tentazione di divenire “famosi”, lasciando quindi a disposizione delle proprie vittime soltanto un’e-mail per essere poi contattati, ed un indirizzo Bitcoin da utilizzare per il pagamento del riscatto.

È ancora tutta una questione di Bitcoin

Lungo tutto l’arco del 2016, le famiglie di ransomware maggiormente diffuse hanno continuato a favorire il pagamento in Bitcoin. La maggior parte delle richieste di riscatto, tuttavia, non presentava importi eccessivi, visto che si trattava, in media, di circa 300 dollari USD; alcune vittime, però, si sono viste richiedere – ed hanno pagato – somme notevolmente superiori.

Altre operazioni ransomware, invece, condotte su scala regionale, oppure in maniera piuttosto “artigianale”, hanno spesso dato la preferenza ad opzioni che prevedevano forme di pagamento locali, sebbene questo significasse, in pratica, non essere più in grado di passare inosservati, e comportasse, di riflesso, il doversi mescolare al clamore inevitabilmente suscitato dalle campagne ransomware.

Il ransomware ha rivolto le sue armi contro le imprese

ksb_2016_it_9

Nei primi tre mesi del 2016, il 17% degli attacchi ransomware aveva preso di mira gli utenti corporate; questo equivale a dire che, nel primo trimestre dell’anno, in pratica, ogni due minuti, da qualche parte, nel mondo, un’impresa veniva colpita da un attacco ransomwarei. Per la fine del terzo trimestre dell’anno corrente, tale quota percentuale era già salita al 23,9%, ovvero un attacco ogni 40 secondi.

Secondo una ricerca effettuata da Kaspersky Lab, nel 2016 un’azienda su cinque, nel mondo, ha subito un incidente di sicurezza IT a seguito di un attacco ransomware.

  • Negli ultimi 12 mesi è stato colpito dal ransomware il 42% delle imprese di piccole e medie dimensioni.
  • Il 32% di esse ha pagato il riscatto.
  • Una su cinque, tuttavia, anche dopo aver pagato, non ha riavuto i propri file.
  • Il 67% delle imprese bersagliate dal ransomware ha perso una parte dei propri dati aziendali, se non tutti quanti; un’impresa su quattro, infine, ha impiegato varie settimane nel cercare di ripristinare l’accesso ai propri file.

L’ingegneria sociale e l’errore umano continuano ad essere i fattori chiave, per quel che riguarda la vulnerabilità aziendale. Un caso su cinque, tra quelli che hanno comportato significative perdite di dati, è in effetti da imputare all’incuria o alla disattenzione del personale, oppure alla mancanza di una specifica consapevolezza, da parte di quest’ultimo, in termini di sicurezza IT.

“Stiamo osservando un ransomware sempre più mirato, nell’ambito del quale determinati gruppi cyber criminali selezionano con estrema cura i loro target, spesso oggetto di insidiose operazioni di spear-phishing, in ragione dei dati di cui le potenziali vittime sono in possesso e/o per il fatto che queste ultime dispongono, comunque, dell’accesso a tali dati, particolarmente preziosi”.

John Fokker, Digital Team Coordinator presso la National High Tech Crime Unit (NHTCU) olandese

port1

Alcuni settori industriali vengono colpiti più duramente, rispetto ad altri, ma la ricerca da noi condotta dimostra come gli stessi, in pratica, siano tutti quanti a rischio

Settore % di imprese attaccate dal ransomware
1 Istruzione 23
2 IT/Telecomunicazioni 22
3 Intrattenimento/Media 21
4 Servizi Finanziari 21
5 Costruzioni 19
6 Governo/settore pubblico/difesa 18
7 Manifattura 18
8 Trasporti 17
9 Sanità 16
10 Vendita al dettaglio/grande distribuzione/ tempo libero 16

Gli attacchi ransomware da prima pagina

  • Gli ospedali sono divenuti un obiettivo primario, con un impatto potenzialmente devastante. Sono state in effetti annullate numerose operazioni già programmate; inoltre, diversi pazienti sono stati dirottati verso altre strutture ospedaliere, ed altro ancora.

    • L’esempio più noto, in tal senso, è rappresentato da un attacco ransomware che ha avuto luogo nel mese di marzo, nel corso del quale i cyber criminali hanno sostanzialmente bloccato il funzionamento dei computer dell’Hollywood Presbyterian Medical Center di Los Angeles, finché l’ospedale in questione non ha provveduto a pagare la cospicua somma di 17.000 dollari.
    • Nel giro di alcune settimane è stato ugualmente colpito un certo numero di ospedali situati in Germania.
    • Nel Regno Unito, ben 28 trust del National Health Service hanno ammesso di essere stati attaccati nel corso del 2016.
  • VESK, noto provider di soluzioni virtual desktop e servizi cloud ha pagato circa 23.000 dollari di riscatto per ripristinare l’accesso ad uno dei suoi sistemi informatici, a seguito di un attacco subito nello scorso mese di settembre.

  • Alcuni dei più importanti mass media, tra cui New York Times, BBC ed AOL sono stati colpiti, nel mese di marzo del 2016, da malware preposto alla diffusione di programmi ransomware.

  • La University of Calgary, in Canada, importante centro di ricerca, ha riconosciuto di aver pagato circa 16.000 dollari USD per recuperare le proprie e-mail, le quali erano state criptate per un’intera settimana.

  • Una piccola stazione di polizia del Massachusetts ha finito per pagare un riscatto di 500 dollari (tramite Bitcoin) per recuperare dati di essenziale importanza riguardo ad un caso specifico, dopo che un agente aveva inavvertitamente aperto un allegato e-mail dannoso.

  • Sono state colpite persino le corse automobilistiche: un importante team impegnato nel campionato NASCAR ha in effetti dovuto far fronte alla perdita di dati per un valore di milioni di dollari, a seguito di un attacco TeslaCrypt subito in aprile.

Come Reagire e Combattere il Ransomware

ksb_2016_it_10

Attraverso la Tecnologia

Le ultime versioni dei prodotti Kaspersky Lab dedicati alle società di dimensioni più contenute sono state ulteriormente potenziate grazie all’implementazione dell’apposita funzionalità di protezione anti-cryptomalware. In aggiunta a questo, è stato reso disponibile, per tutte le società, un nuovo tool anti-ransomware gratuito, da scaricare ed utilizzare, indipendentemente dalla soluzione di sicurezza di cui le stesse fanno uso.

L’Anti-Ransomware Tool for Business di Kaspersky Lab è una soluzione “leggera”, in grado di funzionare in parallelo ad altri software antivirus. Lo strumento in questione si avvale di due efficaci componenti, necessarie per rilevare tempestivamente i temibili Trojan: la rete globale di sicurezza Kaspersky Security Network (KSN) e la funzionalità System Watcher, preposta a monitorare le attività svolte dalle applicazioni.

Kaspersky Security Network, attraverso il cloud, controlla rapidamente la reputazione di file e URL di siti web, mentre System Watcher monitora il comportamento dei programmi, fornendo un’efficace protezione proattiva nei confronti delle versioni dei Trojan ancora sconosciute. Sottolineiamo, inoltre, un ulteriore elemento di massima importanza: il tool qui descritto è in grado di eseguire il backup dei file aperti dalle applicazioni sospette, così come di effettuare l’operazione di rollback in relazione alle modifiche apportate, qualora le azioni intraprese dai programmi si dimostrino, di fatto, dannose.

Attraverso la Collaborazione: L’Iniziativa No More Ransom

Il 25 luglio 2016, la Nationale Politie (polizia nazionale) olandese, Europol, Intel Security e Kaspersky Lab annunciavano il lancio del progetto No More Ransom, un’iniziativa congiunta condotta a fini non commerciali, la quale riunisce organizzazioni pubbliche e private, e si prefigge, oltre ad informare le persone riguardo ai pericoli generati dal ransomware, di aiutare gli utenti-vittima a recuperare i loro dati.

Il relativo portale online conta, attualmente, ben otto tool di decodifica, cinque dei quali sono stati realizzati da Kaspersky Lab. Tali preziosi strumenti possono aiutare a ripristinare i file in precedenza cifrati da oltre 20 diversi tipi di cryptomalware. Ad oggi, più di 4.400 vittime hanno riottenuto i propri dati, mentre sono state evitate spese, relative al pagamento del riscatto, per oltre 1,5 milioni di dollari.

Nello scorso mese di ottobre, hanno aderito al progetto in questione le forze dell’ordine di ulteriori 13 Paesi, ovvero: Bosnia ed Erzegovina, Bulgaria, Colombia, Francia, Irlanda, Italia, Lettonia, Lituania, Portogallo, Regno Unito, Spagna, Svizzera ed Ungheria.

Gli obiettivi che si prefigge il progetto vengono ugualmente supportati dall’agenzia UE Eurojust e dalla Commissione Europea; dovrebbero essere inoltre annunciati a breve ulteriori partner, provenienti sia dal settore privato che dall’ambito delle forze dell’ordine.

“Le partnership Pubblico/Privato costituiscono l’essenza stessa e l’innegabile punto di forza dell’iniziativa NMR. Esse si rivelano davvero essenziali per poter affrontare il problema in maniera efficace ed efficiente, visto che, in tal modo, possiamo disporre di capacità e conoscenze ben più estese, rispetto a quelle che le forze dell’ordine possiedono singolarmente”.

Steven Wilson, Responsabile dello European Cybercrime Centre (EC3) di Europol

port2

Tener testa al ransomware: ecco come rimanere al sicuro

  1. Eseguire regolarmente il backup dei dati.
  2. Utilizzare una soluzione di sicurezza affidabile, ricordandosi di mantenere abilitate le funzionalità chiave, quali, ad esempio, System Watcher.
  3. Mantenere il software sempre aggiornato, su tutti i dispositivi di cui si fa uso.
  4. Trattare con estrema cautela gli allegati presenti nelle e-mail, ed in genere tutti i messaggi di posta elettronica provenienti da persone sconosciute. In caso di dubbio, non aprire l’allegato.
  5. Se siete utenti corporate, dovreste ugualmente istruire in maniera adeguata ed efficace il personale dell’impresa, così come il team che si occupa delle questioni informatiche in seno all’azienda. Occorre inoltre custodire separatamente i dati sensibili, così come limitare gli accessi; eseguire, infine, appositi backup di tutto quanto, sempre.
  6. Se, sfortunatamente, siete caduti vittima di un encryptor, non fatevi comunque prendere dal panico. Utilizzate quindi un sistema informatico “pulito” per recarvi sul sito web del progetto No More Ransom; controllate bene: potreste facilmente trovare un tool di decodifica che vi aiuterà a ripristinare i vostri file.
  7. Infine, ultimo elemento, ma non di minore importanza: ricordatevi che il ransomware è un crimine, e rientra nella categoria dei reati penali. Segnalate quindi ogni singolo episodio alle vostre forze dell’ordine locali.

“Invitiamo le persone a segnalare gli attacchi subiti. Ogni vittima rappresenta, se vogliamo, una “porzione” essenziale per la costituzione di prove in merito, ed è in grado di fornire indizi di valore inestimabile. In cambio, abbiamo l’effettiva possibilità di mantenere informati gli utenti, e di proteggere gli stessi da eventuali “offerte” avanzate da terze parti, ben poco raccomandabili, riguardo alla decodifica dei dati compromessi. Dobbiamo tuttavia fare in modo che un numero ancor maggiore di organi ed uffici di cyberpolizia sappia come fronteggiare a dovere il crimine digitale”.

Ton Maas, Digital Team Coordinator della National High Tech Crime Unit dei Paesi Bassi

port3

Ecco perché non si dovrebbe pagare: alcuni preziosi consigli da parte della National High Tech Crime Unit olandese

  1. Diverreste, automaticamente, un target ancor più “appetibile” ed evidente.
  2. Non potete in alcun modo fidarvi dei cyber criminali: anche se pagate, potreste facilmente non riavere più indietro i vostri dati.
  3. Il prossimo riscatto che dovrete pagare, sarà di sicuro una cifra ancor più elevata.
  4. Pagando, incoraggiate i criminali.

Potremo mai vincere la lotta contro il ransomware?

Riteniamo di sì, ma solo lavorando assieme. Il ransomware è un business cybercriminale particolarmente redditizio. Per fermarlo, abbiamo bisogno di unirci tutti quanti, per cercare di interrompere la subdola “kill chain” messa in atto dai cyber criminali, e rendere quindi sempre più difficile la realizzazione degli attacchi ransomware, così come l’ottenimento di cospicui profitti illeciti grazie agli stessi.


i Stime basate sui seguenti valori: il 17% su un totale complessivo di 372.602 utenti unici sottoposti ad attacchi ransomware bloccati dai prodotti Kaspersky Lab nel corso del 1° trimestre del 2016, ed il 23,9% su un volume totale di 821.865 utenti unici presi di mira da attacchi ransomware respinti dai prodotti Kaspersky Lab nel corso del 3° trimestre del 2016.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *