Ransomware: Stati Uniti e Canada lanciano l’allarme

La notevole espansione dei ransomware crittografici è fonte di serie preoccupazioni per numerosi esponenti dei settori più diversi della community di Internet; per tale motivo, le autorità di Stati Uniti e Canada hanno compiuto un passo senza precedenti, provvedendo all’emissione di un bollettino informativo congiunto riguardo a tale minaccia.

I co-autori dell’avviso di sicurezza, pubblicato la scorsa settimana, sono l’US-CERT (il Cyber Emergency Response Team statunitense, organismo adibito alla pronta reazione nei confronti degli incidenti informatici) e l’analogo centro canadese, denominato CCIRC (Canadian Cyber Incident Response Centre). Il bollettino è stato emesso in maniera tempestiva, subito dopo la pubblicazione di una serie di eclatanti notizie riguardo a ripetute infezioni generate dai crypto-ransomware nell’ambito delle reti informatiche ospedaliere.

Il documento riporta, innanzitutto, una descrizione della minaccia IT, per poi illustrare le potenziali conseguenze del ransomware; vengono infine fornite tutte le necessarie raccomandazioni per prevenire le possibili infezioni, sia a livello di utenti corporate, sia a livello di utenti privati. “Gli autori dei programmi ransomware cercano di intimorire e spaventare le loro vittime, inducendo le stesse a cliccare sul link malevolo o pagare il riscatto previsto, – si afferma nella nota congiunta. – Inoltre, i sistemi degli utenti possono risultare sottoposti ad infezioni da parte di ulteriori malware”.

A differenza dell’FBI, che aveva in precedenza consigliato di procedere al pagamento della somma richiesta dagli estorsori, entrambi i CERT sopra menzionati sono convinti che non si tratti della migliore soluzione. “Il pagamento del riscatto non garantisce il ripristino dei file codificati; esso garantisce esclusivamente la ricezione del denaro della vittima da parte dei malintenzionati; in certi casi, poi, i malfattori ottengono anche i dati bancari, – scrivono gli esperti. – Inoltre, la decodifica dei file non significa che il malware stesso venga rimosso dal sistema”.

I recenti attacchi condotti mediante l’utilizzo di cryptoblocker hanno paralizzato le attività di importanti strutture preposte a fornire assistenza sanitaria, tra cui alcune cliniche del network MedStar Health, situate nel District of Columbia, e l’Hollywood Presbyterian Medical Center di Los Angeles. Nella circostanza, non sono stati colpiti soltanto i dati custoditi nei computer collegati in rete; hanno in effetti subito pesanti conseguenze anche gli stessi pazienti, per i quali, nel caso della clinica californiana, si è reso necessario il trasferimento in altre strutture ospedaliere.

Entrambi i CERT mettono bene in guardia nei confronti delle spiacevoli conseguenze che possono essere generate dai temibili crypto-ransomware: perdite finanziarie, seri danni a livello reputazionale, corruzione irreversibile dei file criptati. Allo stesso tempo, si invitano le organizzazioni ad applicare adeguate misure di “igiene informatica”, a partire dall’introduzione di apposite regole per operazioni di backup sicure, per ciò che riguarda, in particolar modo, le informazioni di importanza critica. Gli esperti consigliano ugualmente di ricorrere all’utilizzo del whitelisting delle applicazioni, e di installare in modo tempestivo le patch via via rilasciate; particolare attenzione deve essere poi dedicata all’educazione degli utenti riguardo alle minacce collegate all’attivazione delle macro di Office. Alcuni dei cryptoblocker attualmente in circolazione, quali, ad esempio, Locky, vengono distribuiti attraverso l’utilizzo di documenti Word malevoli, allegati a messaggi e-mail di spam. Al momento dell’apertura del file allegato, viene richiesto all’utente-vittima di attivare la macro, magari con il pretesto di ottenere una corretta visualizzazione del testo; in realtà, questo non fa altro che generare il download del malware crittografico in agguato.

La velocità con la quale si evolvono i programmi malware in questione è davvero impressionante. Nelle ultime due settimane, ad esempio, sono comparsi improvvisamente sulla scena due ransomware “innovatori”: si tratta di PowerWare, malware di tipo fileless recapitato attraverso macro dannose, e Petya, temibile software nocivo in grado di bloccare l’accesso al file system. Come ha dimostrato l’analisi condotta, Petya sostituisce l’MBR del boot drive con un loader maligno, provoca il riavvio di Windows e fa sì che l’utente-vittima visualizzi una sorta di simulazione della procedura di controllo del disco (CHKDSK), mentre, allo stesso tempo, il malware provvede a cifrare la Master File Table.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *