Ormai da un po’ di tempo sul web imperversa il noto virus Cryptolocker. Tanti gli utenti che ogni giorno vi cadono vittima. E, nonostante gli sforzi investigativi abbiano già consentito di individuare diversi individui e gruppi organizzati, la estesa diffusione del fenomeno ha spinto ad aumentare le misure di prevenzione attraverso ogni strumento utile a garantire la sicurezza di chi naviga in Rete. Abbiamo intervistato un esperto del settore, Alessandro Scoscia, Project Manager dell’azienda di sicurezza informatica Tiger Security.
Cosa sono i crypto-ransomware e perché sono così diffusi?
Quel che normalmente viene definito genericamente “virus”, in ambito tecnico, è inserito in una categorizzazione ben delineata che si articola in differenti tipologie di “programmi malevoli”. I crypto-ransomware, nello specifico, sono un tipo di malware -abbreviazione dell’inglese “malicious software”- che permette a chi lo ha realizzato di rendere illegibili i file ai legittimi proprietari, e di chiedere loro quindi un riscatto per poterli riutilizzare. I più famosi di questi malware sono “Cryptolocker”, “CTB Locker”, “Cryptowall”, “Locky”. Sono nomi diventati piuttosto noti perché moltissimi utenti, indifferentemente privati, aziende ed istituzioni pubbliche, hanno avuto a che fare con loro. Il fenomeno si espande molto rapidamente perché economicamente è molto remunerativo per gli attaccanti che sono particolarmente incentivati ad escogitare metodi sempre più evoluti per aumentare l’efficacia di questi sistemi.
Quali sono i vettori di infezione?
Nella maggioranza dei casi l’attacco inizia via mail: arriva una mail di phishing, che sono sempre più credibili, magari da un mittente che appare affidabile, o addirittura un conoscente diretto; l’utente che la riceve commette la leggerezza di cliccare sui link presenti o apre l’allegato al messaggio; il gioco è già fatto! Non succede così raramente: si stima che il 30% delle email di questo tipo vengano aperte e che il link o l’allegato vengano cliccati più del 10% delle volte. In altri casi, la voglia di risparmiare su una licenza è un incentivo sufficiente a convincere gli utenti ad installare software pirata. In questi casi è bene riflettere sul fatto che l’uso gratuito di un software a pagamento, non trattandosi di programmi opensource o gratuiti, espone evidentemente a dei rischi: chi rimuove loro la licenza gli inserisce poi dei malware che l’utente quindi si installa da solo. Un altro efficace metodo di diffusione di malware sono le campagne pubblicitarie dei siti internet: l’attaccante compromette siti internet, più noti sono e meglio, e vi inietta il codice necessario a compromettere gli utenti che visitano quel sito; per l’utente finale, dunque, è sufficiente visualizzare quel sito per rischiare di infettarsi automaticamente.
Cosa possiamo fare per difenderci?
Le raccomandazioni sono sempre le stesse: fare attenzione ai messaggi sospetti e controllarne sia il mittente, sia se il contenuto è coerente col mittente e gli allegati; fare attenzione a siti che offrono applicazioni, musica o film gratuitamente; tenere i propri sistemi sempre aggiornati, sia il sistema operativo che i programmi che vengono installati. E’ chiaro che se già all’acquisto sono stati installati Windows ed Office craccati, il rischio lo abbiamo corso all’origine. Spesso per questi software non possono essere aggiornati perché altrimenti smetterebbero di funzionare; questo costituisce un rischio aggiuntivo che, nel tempo, aumenta poichè non consente di chiudere le falle che vengono via via scoperte. L’antivirus sempre aggiornato è un must; ovviamente non è uno strumento che garantisce la sicurezza totale, ma è una “misura minima” fondamentale.
Altrettanto fondamentale è fare copie di sicurezza; un ulteriore consiglio è di farle multiple e non tenerle sempre online, ma di eseguirle su dispositivi che si possano staccare dai computer o dalla rete, perché non siano sempre disponibili. Se l’unità di backup è sempre raggiungibile da un computer, lo sarà anche dal software infetto che si può installare su quel computer.
Quanto finora suggerito costituisce una difesa preventiva dal problema. Riprendersi dopo essere stati colpiti è un’attività piuttosto onerosa che obbliga a ripristinare completamente i propri sistemi e recuperare i dati dalle copie di sicurezza disponibili. Ovviamente sono molte le società ed i singoli ricercatori che stanno collaborando, in molti casi con successo, per mettere a punto tecniche che consentano di riappropriarsi dei propri dati senza cedere al ricatto. Sono stati infatti realizzate alcune procedure e alcuni strumenti software, spesso gratuiti, in grado di recuperare i file cifrati da specifiche tipologie di malware.
Quali sono i rischi per gli utenti?
Questo tipo di minaccia consente agli attaccanti di rendere inutilizzabili sistemi e dati. L’impatto di un simile approccio dipende, ovviamente, dalla tipologia di utente che viene colpita. Molti utenti “casalinghi” pensano che, in fondo, l’impatto per loro sarebbe limitato. E’ curioso che spesso ci si senta dire “al limite formatto e reinstallo, mica ci lavoro”. Quando però il problema si concretizza, ci si rende conto che nel computer c’erano dati che in realtà erano più importanti di quanto si credesse: documenti, foto e filmati, in primis. Questo tipo di utente, inoltre, non è ancora molto abituato a fare copie di sicurezza, oppure utilizza metodi di backup continuo ed automatico che mantengono i file sempre raggiungibili dai computer e quindi a rischio costante di perdita definitiva. L’uso degli strumenti informatici in ambito aziendale è questione ancora più delicata. I dati sono spesso un vero e proprio “valore” e la loro perdita implicata la perdita di ore di lavoro, del vantaggio competitivo raggiunto e di tempo per il ripristino. In questo scenario infatti perdere file significa subire una perdita economica tanto è vero che molti utenti decidono di pagare pur di riavere accesso ai propri dati. E’ spesso difficile immaginare le conseguenze di questo tipo di problematica nel caso in cui fossero colpiti i sistemi delle cosiddette “infrastrutture critiche”, che possono includere istituzioni, sistemi con dati ospedalieri, centrali elettriche e così via. Lo scorso anno, ad esempio, una delle vittime più note è stato il Dipartimento di Polizia del Massachusetts che si dice abbia dovuto pagare un riscatto di 500$. Notizia di queste ore, invece, è che anche alcuni sistemi della “American Public Utility Lansing Board of Water & Light” siano stati colpiti da un ransomware.
Ha senso pagare per riavere accesso al proprio computer o ai propri dati?
Questa è la domanda più complessa perché le implicazioni non sono soltanto tecniche. Intanto va detto che pagare, di sicuro, aumenta il guadagno delle attività criminali con tutto ciò che ne consegue. Si stima che il creatore del ransomware “CryptoWall” abbia raccolto, in un solo anno, 325 milioni di dollari e, per rendere i pagamenti “appetibili”, ha tenuto i costi piuttosto bassi -si calcola una media di circa 300$ ma si conoscono casi “mirati” di migliaia di dollari ad utente. Pagare è quindi una questione etica ed è come chiedersi se abbia un senso pagare il pizzo per continuare a lavorare. C’è da ricordare, inoltre, che non esiste alcuna garanzia che a seguito del pagamento i dati siano effettivamente resi di nuovo accessibili. Un ulteriore rischio del pagamento è di essere schedati come “buoni pagatori” e quindi di essere di nuovo attaccati nei mesi successivi, soprattutto se non si è del tutto sicuri di aver ripristinato correttamente i sistemi.
E’ così difficile rintracciare i criminali informatici a partire dai pagamenti?
Agli utenti colpiti viene richiesto di eseguire un pagamento con modalità che facilitano gli attaccanti: si richiede moneta elettronica, tipicamente “bitcoin”, che garantisce affidabilità e pseudonimato. Questo significa che l’attaccante ha la certezza che la transazione economica sia valida e che il valore sia correttamente trasferito sul proprio conto. I conti però non sono nominativi e questo consente ai criminali di non essere facilmente identificabili. Questo business è talmente florido che molti gruppi criminali hanno messo in piedi veri e propri servizi di supporto agli utenti colpiti per aiutarli ad eseguire le procedure tecniche necessarie ad effettuare il pagamento. Per esperienza so che anche ad alcune aziende di assistenza informatica sono arrivate dagli utenti richieste di supporto di questo tipo.
Come si pensa possa evolversi questa tendenza?
Sicuramente il trend è in fortissima crescita, dati di Symantec indicano un incremento del fenomeno ransomware di circa il 600% tra il 2013 ed il 2015. Il numero di varianti di questo tipo di software è altissimo, sia per migliorare la capacità di sfuggire agli antivirus sia per la diversificazione delle “tecniche di convincimento” utilizzate per indurre gli utenti colpiti a pagare. Un caso piuttosto emblematico è quello del ransomware “Jigsaw”. I criminali hanno realizzato un meccanismo per il quale la vittima viene informata del fatto che i suoi file sono stati codificati, ma non cancellati. Se l’utente deciderà di pagare subito, il contenuto gli sarà restituito altrimenti partirà un countdown che, ad intervalli di tempo prestabiliti, cancellerà definitivamente file scelti in modo casuale e farà aumentare l’importo del riscatto. Il sistema inoltre avvisa l’utente che, qualora pensasse di spegnere il computer per interrompere questo meccanismo, “per punizione” gli verrebbe cancellato un congruo numero di file. Infine, è molto facile immaginare che questo software di tipo estorsivo possa diffondersi agli smartphone e a tutti i dispositivi elettronici che impieghiamo comunemente: smart tv, car pc, eccetera