Superano i firewall dei sistemi informatici sfruttando pdf come cavalli di Troia, l’utente apre il file e la truffa è servita: sono i ransomware. Si tratta di malware che criptano i file sul computer del malcapitato di turno e richiedono un riscatto in denaro, tipicamente Bitcoin, per ottenere la chiave di decrittazione. Ma il customer satisfaction è tutto, e per convincere gli utenti che i cyber criminali sono dei seri estortori e non dei miseri truffatori, invitano i poveri utenti a saggiare la bontà del servizio di decrittazione (ma solo per un solo file).
La maggiori campagne di attacco tramite ransomware hanno avuto come obiettivo i singoli utenti, chiedendo ad ognuno riscatti relativamente bassi (1 Bitcoin, circa 500 euro) ma complessivamente con ricavi di milioni di dollari (la campagna del solo CryptoWall 3, per esempio, ha finora fruttato circa 400 milioni di dollari ai cyber criminali). Ma quello che preoccupa maggiormente gli esperti del settore sono le più recenti campagne contro ospedali o enti governativi, dove il riscatto richiesto è arrivato anche a diverse centinaia di migliaia di euro.
Il vettore di attacco dei ransomware è nella maggior parte dei casi una mail di phishing con allegato un file, spesso spacciato per una fattura in formato PDF, in un ormai correttissimo italiano. L’utente che cade nella trappola è convinto di aprire il PDF mentre invece esegue il ransomware, che inizia la sua opera nefasta. I file che vengono criptati sono tipicamente quelli a cui può accedere l’utente, sia sul proprio computer che nei percorsi di rete connessi, ed il fatto che non siano richiesti dei diritti di accesso come amministratore del computer, fa dei ransomware uno strumento di cyber estorsione davvero “eccezionale”.
Ma non tutti gli utenti utilizzano un client di posta elettronica e quindi dei nuovi e più pericolosi vettori di attacco si sono già affacciati all’orizzonte, rendendo ancora più probabile l’infezione. I BEP, Browser Exploit Pack, sono dei veri e propri kit che, venduti nella dark-net, servono per attaccare tramite siti compromessi il browser dell’ignaro navigante. Questi kit sfruttano una serie di vulnerabilità spesso ignote dei maggiori browser, veicolando una qualsiasi infezione a scelta del cyber criminale: backdoor, keylogger o ransomware. Passare dall’allegato di posta malevolo alla navigazione su un sito compromesso come vettore d’attacco è un passaggio al contempo naturale ed epocale. Le infezioni potranno essere veicolate tramite dei semplici link da cliccare, utilizzando per esempio forum, chat di facebook, WhatsApp e via dicendo, raggiungendo quindi una maggiore diffusione dell’infezione.
Vediamo come funzionano i Ransomware. Tramite il vettore di attacco viene eseguito sul computer il cosiddetto “downloader”, ovvero un programma che contatta tramite dei canali criptati le centrali remote di Comando e Controllo, e scaricando a sua volta il cosiddetto “payload” malevolo, ovvero il ransomware. Il ransomware è di fatto un codice binario eseguibile che gira con i diritti dell’utente che lo ha avviato e che, tramite la crittografia a chiave pubblico-privata, inizia a criptare i file direttamente accessibili dall’utente, anche su risorse di rete (e questo tipicamente preoccupa molto le realtà enterprise). I file criptati sono scelti in modo casuale dal ransomware, così da rendere più difficoltoso da parte dell’utente determinare quali documenti siano stati criptati e tentare magari un recupero attraverso una precedente copia di backup (ammesso sempre che vi sia).
Come difendersi dai ransomware? Non basta il classico antivirus aggiornato, purtroppo. Servono delle buone pratiche di sicurezza informatica: consapevolezza nelle mail che si aprono o i siti che si visitano, backup periodici dei propri dati (magari anche remoti), antivirus aggiornati ed applicazioni con i più recenti aggiornamenti di sicurezza installati.
Per citare il famoso guru della cyber security Bruce Schneier, «la sicurezza è un processo non un prodotto», e questo lo sanno bene i cyber criminali che sfruttano proprio gli anelli deboli di questo processo: gli utenti.
