Il fenomenoRansomware

Ransomware

Il fenomeno Ransomwaredi cosa si tratta

..come si diffonde

..come difendersi

2|

Ransomware Ransomware

I ransomware sono virus informatici che bloccano i documenti contenuti suiPC infettati e chiedono un riscatto. Una volta contagiato, il computer continuaa funzionare ma foto, filmati, musica e scritti della vittima vengono protettitramite algoritmi di cifratura. Al pagamento del riscatto, i criminali in generesbloccano la protezione dai documenti e rimuovono il virus.

L’infezione si diffonde tramite email con diversi soggetti e tipologie in basealle diverse ondate di Cryptolocker. Le prime versioni dei ransomware comeCryptolocker, Cryptowall o TorrentLocker si presentavano sotto forma difatture o note di credito e venivano inviate direttamente in allegato almessaggio. Successivamente, le mail hanno cominciato a contenere codici ditracking di Corrieri Espresso (FedEX, DHL, UPS, SDA, etc.) o relative a bollettedi gestori di energia (Enel Energia, etc.) o ancora operatori telefonici (TIM, Tre,Vodafone, Wind, etc.).

I messaggi di posta sono spesso convincenti e contengono un allegatoche passa incolume attraverso diversi antivirus oppure un link a un sito diphishing. Ovviamente l’allegato o il file che viene scaricato dal sito linkatonon è un documento vero e proprio, ma un malware, che se aperto infettail PC e blocca i documenti, inclusi quelli in rete.

A parte alcuni casi specifici, non è ancora stato trovato – e non è tecnicamentepossibile farlo – un antidoto generico per recuperare i documenti, se nonripristinarli da copie di sicurezza eseguite prima di contrarre il virus.

Virus informatici chebloccano i documenticontenuti sui PC infettatie chiedono un riscatto.

L’infezione si diffondetramite email diphishing.

A parte alcuni casispecifici, non ètecnicamente possibilerecuperare i documenti,se non ripristinarndoli dacopie.

http://www.ransomware.it/

3|

Il fenomenoRansomwaredi cosa si tratta

Da qualche tempo si sta verificandoun picco di spam contenente virusmolto pericolosi, in grado di criptareil contenuto del disco dei PC e deiserver, con conseguente richiesta diriscatto per ottenere la chiave ingrado di rendere nuovamentedisponibili i dati.

I sistemi automatici di protezione,come gli antivirus e gli antispam,filtrano il grosso dei potenziali rischima non riescono mai a raggiungere il100 % di successo, specialmente nelcaso di minacce molto recenti chepotrebbero non essere ancorariconosciute.

Ne consegue che qualsiasi allegatoricevuto in posta elettronica DEVEessere considerato potenzialmentepericoloso, e valutato anche conl’apporto dell’intelligenza umana,dall’utente o, in casi dubbi, da untecnico

Le ragioni sono molteplici:

potrebbe essere un virus o uncodice malevolo non ancorariconosciuto e di conseguenzafatto filtrare erroneamentedall’antispam e dall’antivirus

potrebbe essere un virus che hainfettato il computer di un vostrocorrispondente che è statoaggiunto alla white listdell’antispam (su vostra richiestao di un collega)

potrebbe essere un virus o uncodice malevolo che vi è statoinoltrato da un ignaro collegaattraverso la posta interna

potrebbe essere un codicerealizzato ad hoc e quinditecnicamente non un vero eproprio virus, non riconoscibilecome minaccia dai sistemiantispam / antivirus.

Antivirus e Antispam,non riescono mai araggiungere il 100 % disuccesso

Qualsiasi allegato diposta elettronica DEVEessere consideratopotenzialmentepericoloso

Potrebbe essere un virusnon ancora riconosciuto

http://www.digibyte.it/sicurezza/i-virus-del-tipo-cryptolocker-sono-una-minaccia-concreta-per-i-vostri-dati/

4|

Il fenomenoRansomwarecome si diffonde

Gli allegati potenzialmente pericolosisi riconoscono dalle icone o megliodalle estensioni cioè la parte delnome che segue il punto (es: inDOCUMENTO.DOC l’estensione èDOC, in FOGLIO.XLS è XLS)

Le estensioni pericolose più diffusesono:

Documenti Office (Word Excel,Powerpoint) . DOC, .DOCX, .DOT-XLS,PPT

Programmi eseguibili .EXE, .CMD,.BAT, .SCR, .JAR, .PIF, .COM, .DLL,.MSC, .MSI, .HTA, .MSP, JS, .PS1, .PS2,REG, .LNK, .INF

macro di office .DOCM, .DOTM,.XLSM, .XLTM, .XLAM, .PPTM, .POTM,.PPAM, .PPSM, .SLDM

File di archivio .ZIP, .RAR perchéingannano più facilmente l’antispame possono contenere gli altri tipi difile pericolosi.

Non c’è ragione al mondo per aprireun allegato che abbia una estensioneche non conosciamo (quindi cheNON SIA DOC, DOCX, XLS, PDF, ZIP)

Se si riceve un allegato con unaestensione diversa da queste, il livellodi attenzione si deveimmediatamente alzare.

Non c’è ragione al mondo per aprireun allegato di tipo eseguibile omacro (quindi che SIA EXE, CMD,BAT, SCR, JAR, WS, VBS, DOTM,XLAM, ecc.)

Un altro modo di ingannare i sistemie gli utenti è l’uso della doppiaestensione.

Se L’utente riceve un allegato che sichiama APRIMI.PDF.exe sarà portatoa credere di avere a che fare con uninnocuo documento PDF, in realtà èl’estensione presente DOPO il puntosituato più a destra che definisce iltipo di file. Si tratta quindi di uneseguibile che con ogni probabilitàsarà stato nominato in quel modocon scopi fraudolenti.

Gli allegati pericolosi siriconoscono dalleestensioni cioè la partedel nome che segue ilpunto.

Word, Excel,Powerpoint:DOC, .DOCX, .DOT-XLS, PPTEseguibili:.EXE, .CMD, .BAT,.SCR, .JAR, .PIF, .COM, .DLL,.MSC, .MSI, .HTA, .MSP, JS,.PS1, .PS2, REG, .LNK,Macro Office .DOCM, .DOTM,.XLSM, .XLTM, .XLAM,.PPTM, .POTM, .PPAM,.PPSM, .SLDM

File archivio .ZIP, .RARingannano piùfacilmente l’antispam

http://www.digibyte.it/sicurezza/i-virus-del-tipo-cryptolocker-sono-una-minaccia-concreta-per-i-vostri-dati/

5|

Esempio dimail MalevolaFalsa fatturaTIM

6|

FBI e Ransomware Articolo del 20 Gennaio 2015 pubblicato sul sito dell’FBI:

Ransomware on the Rise

“Ransomware doesn’t just impact homecomputers. Businesses, financial institutions, governmentagencies, academic institutions, and other organizations canand have become infected with it as well, resulting in the lossof sensitive or proprietary information, a disruption to regularoperations, financial losses incurred to restore systems andfiles, and/or potential harm to an organization’s reputation.”

“According to the U.S. CERT, these infections can bedevastating and recovery can be a difficult process thatmay require the services of a reputable data recoveryspecialist.”

Articolo del 29 Aprile 2016 pubblicato sul sito dell’FBI:

Incidents of Ransomware on the Rise

https://www.fbi.gov/news/stories/2015/january/ransomware-on-the-rise

https://www.fbi.gov/news/stories/2016/april/incidents-of-ransomware-on-the-rise/incidents-of-ransomware-on-the-rise

7|

12 Aprile 2016:Why Ransomware is Winning - and How to Turn the Tide

«First, it’s important to understand, that most (if not all)ransomware victims are typically running fully-updatedantivirus engines, and sometimes even anti-exploit and/or HIPSengines. The problem is, rapid changes made in the builds andversions of the malware used in ransomware campaignscreators allows the code to repeatedly evade detection bytraditional security measures’’

The root of the ransomware problem lies in our reliance onsignature-based detection techniques.

The methods attackers use to infect victims are well-known, very effective and difficult toeliminate no matter how end-user education and patching organizations perform. These includespearphishing emails and silent drive-by downloads that use exploit kits to take advantage ofsystem vulnerabilities. Or more recently have taken a network-based approach, like theSamSam campaign, that targets vulnerable JBoss application servers, using accessiblepentesting tools. Once inside the network the attackers collect credentials to install the actualpayloads, and eventually get to the ransom stage.

8|http://thehackernews.com/2016/04/power-ransomware-attack.html

Ransomware Virus Shuts Down Electric and Water Utility

Articolo del 29 Aprile 2016

Recently, the American publicutility Lansing Board of Water& Light (BWL) has announcedthat the company has become avictim of Ransomware attackthat knocked the utility'sinternal computer systemsoffline.

9|

Evoluzione, diffusione ed esplosione

10|

30Novembre2015

Why Ransomware Is Not Going Away Any Time Soon

Ransomware short-circuits this highly complicated fencing operation. Criminals encryptthe data and demand payment directly from victims. Payment is typically delivered inbitcoins or similar crypto-currency.

This relatively direct path to cash makes ransomware attacks profitable and removes theneed for a large, complex criminal network. It also lowers the bar for would-becybercriminals, and in effect brings more bad guys onto the playing field.

Attackers don’t need your data to be valuable to the outside world, they only need thatdata to be valuable to you.

Ransomware makes building these coalitions far more daunting. Many victims pay theransom and do not report the crime. Likewise, since victims can come from any industry,it further complicates the process of sharing information between organizations.

Additionally, ransomware operations have fewer moving parts and a lower dependenceon command-and-control attack maneuvers. Unlike other malware campaigns thatrequire consistent C&C communications, ransomware only needs C&C servers forencryption and decryption keys.

http://www.securityweek.com/why-ransomware-not-going-away-any-time-soon

11|

Proofpoint LockyDemo https://www.youtube.com/watch?v=to8lCoSYF9U

12|

Il fenomenoRansomwarecome difendersi

La provenienza del messaggio, in sé,non costituisce una garanzia.Tipicamente questi messaggifraudolenti usano tecniche dimascheramento (spoofing) e diingegneria sociale per apparire“normali”, nascondere lecaratteristiche che potrebberomettere in allarme e indurre gli utentiad aprirli.

E’ più che mai necessaria l’attenzionee la collaborazione di tutti perinnalzare il livello di consapevolezzadei rischi e dei limiti dei sistemiautomatici di protezione.

Nel dubbio:

NON APRITE ALCUN ALLEGATO

NON APRITE NEMMENO LA MAIL

AVVISATE UN TECNICO

La provenienza delmessaggio, in sé, noncostituisce unagaranzia.

E’ più che mai necessarial’attenzione e lacollaborazione di tutti.

Grazie per l’attenzione.

http://www.digibyte.it/sicurezza/i-virus-del-tipo-cryptolocker-sono-una-minaccia-concreta-per-i-vostri-dati/

13|

Fonti http://www.digibyte.it/sicurezza/i-virus-del-tipo-cryptolocker-sono-una-minaccia-concreta-per-i-vostri-dati/

http://www.ransomware.it/

http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/

http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-101-what-it-is-and-how-it-works

https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attack-cryptolocker-cryptowall-and-how-to-stay-safe-inf

Approfondimenti