A cura di Check Point Software Technologies
I ransomware sono una minaccia in crescita in tutto il mondo, che miete nuove vittime in maniera regolare e apparentemente senza sosta. Sebbene la maggior parte delle famiglie di ransomware impedisca alle vittime di accedere ai propri documenti, immagini, database e altri file crittografandoli e offrendo una chiave di decrittografia in cambio del pagamento di un riscatto, altre usano modi diversi, ma non per questo meno creativi, per estorcere un pagamento alle loro vittime. Ecco alcuni esempi:
Ransomware IoT
I dispositivi intelligenti sono noti per essere una facile preda dei malintenzionati per vari scopi. Nell’agosto 2016, un gruppo di ricercatori di sicurezza ha dimostrato la propria capacità di prendere il controllo dei termostati di un edificio e aumentare la temperatura fino a 99 gradi Celsius. Questa è stata la prima dimostrazione di questo tipo di attacco, che ha utilizzato un modo creativo per fare pressione sulle vittime e spingerle a pagare il riscatto per non rischiare conseguenze come un allagamento o un incendio in casa.
Nel novembre 2016, i viaggiatori della linea metropolitana MUNI di San Francisco non hanno potuto acquistare i biglietti presso le erogatrici automatiche a causa di un attacco ransomware sulla rete della MUNI. In questo caso, gli hacker hanno chiesto $70.000 in Bitcoin. Nel gennaio 2017, sembra che un hotel di lusso in Austria abbia subito un attacco al proprio sistema di gestione delle chiavi elettroniche, che ha causato difficoltà agli ospiti nell’entrare e uscire dalle loro camere. Gli aggressori hanno richiesto $1.500 in Bitcoin. Indipendentemente dal fatto che questa storia sia o meno vera, illustra il livello di creatività che questo tipo di attacchi può raggiungere.
Il crescente utilizzo di dispositivi IoT probabilmente li renderà un vettore di attacco sempre più comune in futuro. Ad esempio, il potenziale sfruttamento di vulnerabilità all’interno di defibrillatori cardiovascolari impiantabili e smart, può consentire a un utente malintenzionato di mettere la vita della vittima a serio rischio fino al pagamento del riscatto. Dal momento che i dispositivi IoT sono sempre più diffusi nella nostra vita quotidiana, i malintenzionati troveranno nuovi e terrificanti modi per sfruttare le vittime per ottenere del profitto.
Ransomware che tengono i dati in ostaggio
Un approccio più diretto è quello di rubare i dati alle vittime e minacciare di renderli pubblici a meno che non venga pagato un riscatto entro una certa scadenza. Questo modus operandi generico è stato utilizzato da diverse famiglie e campagne di malware. Ad esempio, a maggio 2016, i dati di oltre 10 milioni di clienti di uno dei principali centri commerciali della Corea del Sud sono stati rubati, compresi nomi, indirizzi e numeri di telefono. I malintenzionati hanno richiesto un riscatto di $2.664 in Bitcoin per evitare la messa online delle informazioni rubate.
Un altro esempio è Charger, un ransomware che blocca lo schermo dei dispositivi Android scoperto dai ricercatori di Check Point nel gennaio 2016. Gli hacker hanno minacciato di vendere i dati rubati dai dispositivi, a meno di non ricevere un riscatto di 0,2 Bitcoin (circa $180). Il malware si annida all’interno di un’app mobile denominata EnergyRescue, scaricata da Google Play.
Ransomware DDoS
Un altro metodo a disposizione dei malintenzionati è minacciare di condurre un attacco Denial of Dervice a meno che non venga pagato un riscatto. Grazie al crescente uso di botnet per gli attacchi DDoS, questo vettore di attacco è particolarmente comune contro le banche ed è molto attraente in quanto è molto più semplice di sviluppare un “tradizionale” ransomware per la crittografia dei file. Questo vettore di attacco ha fatto notizia nel gennaio 2017 quando è stato utilizzato in un attacco contro il portale web della banca britannica Lloyds. Gli hacker hanno inviato una minaccia di DDoS con una richiesta di 100 Bitcoin (del valore di circa $94.000).
Blocco dello schermo
Alcuni ransomware bloccano semplicemente lo schermo impedendo l’utilizzo dei dispositivi delle vittime. Ci sono diversi modi di condurre un attacco di blocco dello schermo, ma solitamente vengono annullate tutte le opzioni per chiudere un programma o per spegnere il dispositivo.
Esempi di questo tipo di ransomware sono DeriaLock (dicembre 2016), che colpisce i PC e richiede un pagamento di $30 per lo sblocco; e Flocker (maggio 2015), un ransomware di blocco dello schermo che colpisce gli smartphone e le smart-TV Android e che richiede una iTunes gift card del valore di $200 come metodo di pagamento.
Riepilogo
Gli attacchi ransomware sono un modo molto popolare tra i cybercriminali per fare facili profitti, dal momento che i pagamenti vengono fatti in modo anonimo e utilizzando un BitCoin wallet anonimo, piuttosto tramite bonifici bancari. Gli utenti hanno tutto l’interesse a cooperare, dal momento che la posta in palio sono i loro dati personali. Sebbene la maggior parte delle famiglie di ransomware utilizzino sistemi di crittografia dei file, alcuni sfruttano modi creativi per spingere le vittime a pagare. Impedendo alle vittime di accedere ai propri dispositivi, creando danni reali o minacciando di rendere pubblici i dati sensibili, i malintenzionati riescono a bypassare le complessità della gestione di un processo di crittografia e decrittografia.
Si stima che l’uso di ransomware alternativi, soprattutto DDoS e IoT, continuerà a crescere nel prossimo futuro, dal momento che i dispositivi IoT e i servizi web sono sempre più diffusi.
Come proteggersi
Consigliamo vivamente di prendere queste misure per proteggersi dai ransomware o per mitigarne gli effetti:
– Backup dei file più importanti: fare una copia offline dei propri file su un dispositivo esterno e su un servizio cloud online. Questo metodo protegge i file, non solo da ransomware, ma anche da altri pericoli. Nota: i dispositivi esterni devono essere utilizzati per solo per il backup ed essere disconnessi immediatamente dopo il completamento dello stesso.
– Prestare attenzione: di solito non percepiamo alcun pericolo mentre usiamo il nostro computer o altri dispositivi, ma è lì. I malintenzionati sono costantemente alla ricerca di modi per rubare il nostro denaro, i dati privati e le risorse del nostro dispositivo – non lasciamoglielo fare! Non apriamo email che non ci aspettiamo di ricevere, non clicchiamo sui link a meno che non sappiamo esattamente cosa sono e dove portano, e se viene chiesto di eseguire macro in un file di Office, non facciamolo! L’unica situazione in cui è sicuro eseguire le macro è nel raro caso in cui sappiamo esattamente cosa faranno le macro. Inoltre, tenersi informati sulle più recenti campagne di malware aiuta a non cadere vittima di una nuova e originale tecnica di phishing o a non scaricare un’app malevola, che può portare all’installazione di malware sul nostro computer o il furto delle credenziali.
– Dotarsi di una soluzione di sicurezza completa e aggiornata: soluzioni e prodotti di sicurezza di qualità proteggono da una varietà di tipi di malware e da diversi vettori di attacco. Le odierne soluzioni di antivirus, IPS e sandboxing possono rilevare e bloccare i documenti di Office contenenti macro dannose e impedire a molti kit di exploit di sfruttare il sistema anche prima dell’infezione malware. La soluzione Check Point Sandblast rileva e blocca efficientemente i ransomware ed estrae il contenuto malevolo dai file diffusi da campagne di spam e phishing. Installare i dispositivi IoT dietro un Security Gateway garantirà loro maggiore protezione.