Ransomware

Da Wikipedia, l'enciclopedia libera.

Un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l'utente a pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.

Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo.[1][2][3]

Nel giugno 2013, la casa software McAfee, specializzata in software di sicurezza, ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250.000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell'anno precedente.[4] CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.[5]

Funzionamento[modifica | modifica wikitesto]

I ransomware tipicamente si diffondono come i trojan, dei malware worm, penetrando nel sistema attraverso, ad esempio, un file scaricato o una vulnerabilità nel servizio di rete. Il software eseguirà poi un payload, che ad esempio cripterà i file personali sull'hard disk.[6][7][8] I ransomware più sofisticati utilizzano sistemi ibridi di criptazione (che non necessitano di condivisione di chiavi fra i due utenti) sui documenti della vittima, adottando una chiave privata casuale e una chiave pubblica fissa. L'autore del malware è l'unico a conoscere la chiave di decriptazione privata. Alcuni ransomware eseguono un payload che non cripta, ma è semplicemente un'applicazione che limita l'interazione col sistema, agendo sulla shell di Windows e rendendola non operativa e controllata dal malware stesso,[9] o addirittura modificando il master boot record e/o la tabella di partizione (il che impedisce l'avvio del sistema operativo finché non viene riparata).[10]

I payload dei ransomware fanno anche uso di scareware per estorcere denaro all'utente del sistema. Il payload potrebbe ad esempio mostrare notifiche che credibilmente potrebbero essere state inviate dalla polizia federale o da varie compagnie, le quali affermano falsamente che il sistema sia stato usato per attività illegali o che contenga materiale illegale, pornografico o piratato.[11][12] Altri payload imitano le notifiche di attivazione prodotto di Windows XP, affermando che il computer potrebbe montare una distribuzione di Windows contraffatta, che va quindi riattivata.[13] Queste tattiche forzano l'utente a pagare l'autore del malware per rimuovere il ransomware, sia con un programma che decritti i file criptati, sia con un codice di sblocco che elimini le modifiche fatte dal ransomware. Questi pagamenti di solito vengono effettuati tramite bonifico, con sottoscrizione via SMS,[14], con un pagamento online attraverso un servizio voucher come Ukash o Paysafecard,[1][15][16] o, più recentemente, tramite Bitcoin (la valuta digitale).[17][18]

Storia[modifica | modifica wikitesto]

Ransomware a criptazione[modifica | modifica wikitesto]

Il primo ransomware noto fu il trojan "AIDS", noto anche come "PC Cyborg", scritto nel 1989 dal biologo Joseph Popp, che eseguiva un payload il quale mostrava all'utente un messaggio in cui si diceva che la licenza di un qualche software installato era scaduta, criptava i file dell'hard disk e obbligava l'utente a pagare 189 dollari alla "PC Cyborg Corporation" per sbloccare il sistema. Popp fu dichiarato incapace di intendere e di volere e non venne processato, ma promise di devolvere i proventi del malware alla ricerca per la cura dell'AIDS.[19] L'idea di usare la crittografia a chiave pubblica per tali attacchi fu introdotta nel 1996 da Adam L. Young e Moti Yung. I due credevano che il trojan AIDS fosse poco efficace perché usava la crittografia simmetrica, e per esercizio di stile presentarono un criptovirus per il Macintosh SE/30 che usava algoritmi RSA e TEA. Young e Yung definirono questo attacco un'"estorsione crittovirale", un attacco virus dichiarato, che appartiene alla classe di attacchi definita crittovirologia e definisce sia gli attacchi manifesti sia quelli nascosti.[6]

Nel maggio 2005, alcuni esempi di estorsioni via ransomware divennero celebri[20], entro metà 2006, worm come Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, e MayArchive cominciarono a usare schemi di criptazione RSA molto più sofisticati, con chiavi di dimensione sempre maggiore. Gpcode.AG, identificato nel giugno 2006, era criptato con una chiave pubblica RSA a 660 bit.[21] Nel giugno 2008, fu scoperta una variante nota come Gpcode.AK. Era ritenuta impossibile da decrittare senza uno sforzo computazionale distribuito combinato, dal momento che utilizzava una chiave RSA a 1024 bit.[22][23][24][25]

I ransomware a criptazione ritornarono famosi verso la fine del 2013 grazie alla diffusione di CryptoLocker, che usava la piattaforma di valuta virtuale Bitcoin per incassare il denaro del riscatto. Nel dicembre 2013, ZDnet stimò (basandosi su informazioni relative alle transazioni su Bitcoin), che tra il 15 ottobre e il 18 dicembre gli operatori di CryptoLocker avevano incassato circa 27 milioni di dollari dagli utenti infetti.[26] A sua volta CryptoLocker ha ispirato una serie di imitatori (che attaccarono nei mesi successivi), tra cui CryptoLocker 2.0, CryptoDefense (quest'ultimo tuttavia, conteneva inizialmente una grossa falla che faceva sì che la chiave privata venisse memorizzata nel sistema infetto in un file modificabile dall'utente, dal momento che usava le API per la criptazione incluse in Windows),[18][27][28][29] e un worm prodotto da Synology scoperto nell'agosto 2014, il quale attacca i dispositivi Network Attached Storage.[30]

Altri tipi di ransomware[modifica | modifica wikitesto]

Nell'agosto 2010, le autorità russe arrestarono dieci individui legati a un worm ransomware noto come WinLock. A differenza dei worm Gpcode precedenti, WinLock non usava meccanismi di criptazione, ma limitava l'accesso al sistema mostrando immagini pornografiche, e chiedeva agli utenti di mandare un SMS di pagamento (che costava circa 10 dollari) per ottenere il codice che permetteva di sbloccare i loro calcolatori. La truffa colpì numerosi utenti in tutta la Russia e nei paesi vicini, fruttando al gruppo più di 16 milioni di dollari.[12][31]

Nel 2011 apparve un worm ransomware che imitava la notifica di attivazione prodotto di Windows, informando l'utente che l'istallazione del sistema andava riattivata perché "[l'utente era] vittima di frode". Veniva quindi offerta l'opzione di attivazione online (come accade normalmente nel processo di attivazione di Windows), ma che si rivelava poi non disponibile, e costringeva quindi l'utente a telefonare a uno di sei possibili numeri internazionali per inserire il codice a 6 cifre. Nonostante il malware affermasse che la chiamata fosse gratuita, essa veniva instradata verso un operatore truffa in una nazione con elevate tariffe telefoniche, che metteva la chiamata in attesa, addebitando all'utente elevati costi dovuti a lunghe chiamate internazionali.[13]

Nel febbraio 2013 apparve un worm ransomware basato sull'exploit kit Stamp.EK: il malware venne distribuito attraverso siti internet ospitati da servizi di hosting come SourceForge e GitHub che affermavano di offrire "falsi scatti di nudo" di varie celebrità.[32] Nel luglio 2013 emerse un ransomware specifico per macOS, che mostrava una pagina web che accusava l'utente di aver scaricato materiale pornografico. A differenza dei worm simili che operavano su Windows, non bloccava l'intero computer, ma semplicemente sfruttava alcuni comportamenti del browser stesso (clickjacking) per impedire la normale chiusura delle pagine con un click.[33]

Sempre nel luglio 2013, un uomo di 21 anni della Virginia (il cui computer conteneva effettivamente foto pornografiche di una ragazza minorenne con cui aveva intrattenuto comunicazioni inopportune), si consegnò alla polizia dopo essere stato ingannato da un ransomware che mostrava un falso messaggio dell'FBI che lo accusava di possedere materiale pedopornografico. Un'indagine fece emergere le foto incriminanti e l'uomo fu accusato di abusi su minori e possesso di materiale pedopornografico.[34]

Esempi notevoli[modifica | modifica wikitesto]

Reveton[modifica | modifica wikitesto]

Reveton, uno dei più noti worm ransomware, cominciò a diffondersi nel 2012. Basato sul trojan Citadel (che era a sua volta basato sul trojan Zeus), il suo payload mostrava un avviso che sembrava provenire dalla polizia federale (da cui prese il nome "trojan della polizia"), affermando che il computer era stato utilizzato per attività illegali (ad esempio per il download di software pirata o di materiale pedopornografico).[35] L'avviso informava l'utente che per sbloccare il loro sistema avrebbe dovuto pagare una multa usando un voucher di un servizio di credito prepagato anonimo, per esempio Ukash o Paysafecard. Per rendere maggiore l'illusione che il computer fosse sotto controllo della polizia federale, lo schermo mostrava anche l'Indirizzo IP della macchina, e alcune versioni mostravano addirittura dei filmati della webcam del PC per far sembrare che l'utente fosse anche ripreso dalla polizia.[1][36]

Reveton si diffuse inizialmente in Europa all'inizio del 2012.[1] Alcune varianti localizzate si differenziavano per il logo dell'agenzia federale mostrato, che variava in base alla nazionalità dell'utente: ad esempio le varianti usate nel Regno Unito riportavano il logo del Metropolitan Police Service, o della PRS for Music (una società di gestione collettiva di diritti d'autore), che accusava l'utente di aver scaricato illegalmente dei file musicali, o ancora il logo della Police National E-Crime Unit.[37] In una dichiarazione per avvisare la popolazione riguardo al malware, la Metropolitan Police affermò che non avrebbero mai bloccato un computer in quel modo nel corso di un'indagine.[1][11]

Nel maggio 2012 i ricercatori della Trend Micro che investigavano su potenziali minacce scoprirono varianti destinate agli Stati Uniti d'America e al Canada, il che fece pensare che gli autori potevano aver pianificato di colpire anche utenti del Nord America.[38] Per l'agosto del 2012 una nuova variante di Reveton comparve negli USA: comunicava il dovuto pagamento di una multa di 200 dollari all'FBI, da effettuare usando una MoneyPak card.[2][3][36] Nel febbraio 2013, un cittadino russo fu arrestato a Dubai dalle autorità spagnole per la sua connessione con una cerchia criminale che sfruttava Reveton; dieci altri individui furono arrestati con l'accusa di riciclaggio.[39]

Nell'agosto 2014 Avast! dichiarò che erano state trovate nuove varianti di Reveton che nel loro payload contenevano anche malware per sottrarre le password del sistema.[40]

CryptoLocker[modifica | modifica wikitesto]

Exquisite-kfind.png Lo stesso argomento in dettaglio: CryptoLocker.

Questo worm ransomware a criptazione apparve nel settembre 2013: generava una coppia di chiavi RSA a 2048 bit, le caricava su un server command-and-control e criptava i file con estensioni contenute in una particolare whitelist. Il malware minacciava poi di cancellare la chiave privata se entro tre giorni dall'infezione non fosse stato versato un pagamento tramite Bitcoin o tramite voucher prepagati.

A causa della dimensione notevole delle chiavi, gli analisti, e tutti coloro colpiti dal worm, ritennero Cryptolocker estremamente difficile da eradicare.[17][41][42][43] Anche dopo la scadenza stabilita, si poteva comunque ottenere la chiave privata utilizzando uno strumento online (il prezzo tuttavia era aumentato di 10 Bitcoins, ovvero circa 2300 dollari [44][45]).

CryptoLocker fu isolato a seguito dell'annientamento del botnet Gameover ZeuS, annunciato ufficialmente dal dipartimento di Giustizia statunitense il 2 giugno 2014. Il dipartimento iscrisse al registro degli indagati l'hacker russo Evgeniy Bogachev a causa del suo presunto coinvolgimento nella diffusione e sviluppo del botnet. [46][47]

Si stima che prima della sua rimozione il malware abbia estorto almeno 3 milioni di dollari.[5]

CryptoLocker.F e TorrentLocker[modifica | modifica wikitesto]

Nel settembre 2014 si sviluppò una nuova ondata di malware nota con il nome di "CryptoWall" e "CryptoLocker" (slegata però dall'originale CryptoLocker, nonostante il nome, come nel caso di CryptoLocker 2.0), che colpì soprattutto utenti in Australia. Il worm si diffondeva attraverso e-mail fraudolenti, che si mostravano come notifiche di mancata consegna di pacchi da parte della ditta postale Australia Post; per evitare di venir identificati dagli scanner automatici che verificano se i link contenuti in una pagina conducono a malware, questa variante prevedeva che l'utente visitasse una pagina e digitasse un codice CAPTCHA prima di scaricare il payload (Symantec ha stabilito che questa nuova variante, nota come "CryptoLocker.F", sia slegata dal worm CryptoLocker originale, poiché ha un modo diverso di operare[48][49]). Una vittima illustre di tale worm fu la ABC (Australia); i loro programmi in diretta sul canale di notizie ABC News 24 fu interrotto per mezz'ora e spostato negli studi di Melbourne a causa dell'infezione di CryptoWall nei computer degli studi di Sydney.[50][51][52]

Un'altra forma di worm di questa ondata, TorrentLocker, conteneva inizialmente un difetto di progettazione simile a quello di CryptoDefense; usando lo stesso keystream per ogni computer infetto, rendeva facile la risoluzione del problema. Purtroppo questo difetto venne successivamente sistemato.[27] Si stima che prima della fine di novembre 2014, più di 9000 utenti siano stati infettati da TorrentLocker soltanto in Australia (secondi solo alla Turchia, in cui si registrarono 11 700 infezioni).[53]

Riduzione[modifica | modifica wikitesto]

Come altre forme di malware, i software per la sicurezza potrebbero non rilevare un payload di ransomware, o, specialmente nel caso di payload che producono la criptazione dei dati, riconoscerli mentre la criptazione è già in corso o completata, soprattutto se trattasi di nuove versioni sconosciute.[54]

Se si sospetta che un attacco sia in corso o se esso viene rilevano nelle sue fasi iniziali, dal momento che la criptazione richiede qualche tempo prima di essere eseguita, la rimozione immediata del malware (un processo relativamente semplice) prima che sia del tutto completa potrebbe limitare i danni ai file.[55][56] Gli esperti di sicurezza hanno suggerito misure precauzionali per tutelarsi dai ransomware, come l'uso di software o di altre procedure di sicurezza per bloccare i payload noti prima della loro esecuzione, o il backup offline dei dati in aree non accessibili al malware.[17][57]

Voci correlate[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ a b c d e (EN) Dunn John E., Ransom Trojans spreading beyond Russian heartland, TechWorld, 9 marzo 2012. URL consultato il 25 maggio 2015.
  2. ^ a b (EN) New Internet scam: Ransomware..., FBI, 9 agosto 2012. URL consultato il 25 maggio 2015.
  3. ^ a b (EN) Citadel malware continues to deliver Reveton ransomware..., Internet Crime Complaint Center (IC3), 30 novembre 2012. URL consultato il 25 maggio 2015.
  4. ^ Update: McAfee: Cyber criminals using Android malware and ransomware the most, su InfoWorld. URL consultato il 16 settembre 2013.
  5. ^ a b Cryptolocker victims to get files back for free, BBC News, 6 agosto 2014. URL consultato il 18 agosto 2014.
  6. ^ a b DOI10.1109/SECPRI.1996.502676
  7. ^ Adam Young, Building a Cryptovirus Using Microsoft's Cryptographic API, in Jianying Zhou e Javier Lopez (a cura di), Information Security: 8th International Conference, ISC 2005, Springer-Verlag, 2005, pp. 389–401.
  8. ^ Adam Young, Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?, in International Journal of Information Security, vol. 5, nº 2, Springer-Verlag, 2006, pp. 67–76, DOI:10.1007/s10207-006-0082-7.
  9. ^ Ransomware: Fake Federal German Police (BKA) notice, SecureList (Kaspersky Lab). URL consultato il 10 marzo 2012.
  10. ^ And Now, an MBR Ransomware, SecureList (Kaspersky Lab). URL consultato il 10 marzo 2012.
  11. ^ a b Police warn of extortion messages sent in their name, Helsingin Sanomat. URL consultato il 9 marzo 2012.
  12. ^ a b Robert McMillian, Alleged Ransomware Gang Investigated by Moscow Police, PC World. URL consultato il 10 marzo 2012.
  13. ^ a b Ransomware squeezes users with bogus Windows activation demand, Computerworld. URL consultato il 9 marzo 2012.
  14. ^ Dancho Danchev, New ransomware locks PCs, demands premium SMS for removal, ZDNet, 22 aprile 2009. URL consultato il 2 maggio 2009.
  15. ^ Ransomware plays pirated Windows card, demands $143, Computerworld. URL consultato il 9 marzo 2012.
  16. ^ Jacqui Cheng, New Trojans: give us $300, or the data gets it!, Ars Technica, 18 luglio 2007. URL consultato il 16 aprile 2009.
  17. ^ a b c You’re infected—if you want to see your data again, pay us $300 in Bitcoins, su Ars Technica. URL consultato il 23 ottobre 2013.
  18. ^ a b CryptoDefense ransomware leaves decryption key accessible, su Computerworld, IDG. URL consultato il 7 aprile 2014.
  19. ^ Michael Kassner, Ransomware: Extortion via the Internet, TechRepublic. URL consultato il 10 marzo 2012.
  20. ^ Susan Schaibly, Files for ransom, Network World, 26 settembre 2005. URL consultato il 17 aprile 2009.
  21. ^ John Leyden, Ransomware getting harder to break, The Register, 24 luglio 2006. URL consultato il 18 aprile 2009.
  22. ^ Ryan Naraine, Blackmail ransomware returns with 1024-bit encryption key, ZDnet, 6 giugno 2008. URL consultato il 3 maggio 2009.
  23. ^ Robert Lemos, Ransomware resisting crypto cracking efforts, SecurityFocus, 13 giugno 2008. URL consultato il 18 aprile 2009.
  24. ^ Brian Krebs, Ransomware Encrypts Victim Files With 1,024-Bit Key, Washington Post, 9 giugno 2008. URL consultato il 16 aprile 2009.
  25. ^ Kaspersky Lab reports a new and dangerous blackmailing virus, Kaspersky Lab, 5 giugno 2008. URL consultato l'11 giugno 2008.
  26. ^ Violet Blue, CryptoLocker's crimewave: A trail of millions in laundered Bitcoin, in ZDNet, 22 dicembre 2013. URL consultato il 23 dicembre 2013.
  27. ^ a b Encryption goof fixed in TorrentLocker file-locking malware, su PC World. URL consultato il 15 ottobre 2014.
  28. ^ Cryptolocker 2.0 – new version, or copycat?, su WeLiveSecurity, ESET. URL consultato il 18 gennaio 2014.
  29. ^ New CryptoLocker Spreads via Removable Drives, Trend Micro. URL consultato il 18 gennaio 2014.
  30. ^ Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files, in ExtremeTech, Ziff Davis Media. URL consultato il 18 agosto 2014.
  31. ^ John Leyden, Russian cops cuff 10 ransomware Trojan suspects, The Register. URL consultato il 10 marzo 2012.
  32. ^ Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities, su TheNextWeb. URL consultato il 17 luglio 2013.
  33. ^ New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn, su TheNextWeb. URL consultato il 17 luglio 2013.
  34. ^ Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges, su Ars Technica. URL consultato il 31 luglio 2013.
  35. ^ Fake cop Trojan 'detects offensive materials' on PCs, demands money, The Register. URL consultato il 15 agosto 2012.
  36. ^ a b Reveton Malware Freezes PCs, Demands Payment, InformationWeek. URL consultato il 16 agosto 2012.
  37. ^ John E. Dunn, Police alert after ransom Trojan locks up 1,100 PCs, TechWorld. URL consultato il 16 agosto 2012.
  38. ^ Lucian Constantian, Police-themed Ransomware Starts Targeting US and Canadian Users, PC World. URL consultato l'11 maggio 2012.
  39. ^ Reveton 'police ransom' malware gang head arrested in Dubai, su TechWorld. URL consultato il 18 ottobre 2014.
  40. ^ 'Reveton' ransomware upgraded with powerful password stealer, su PC World. URL consultato il 18 ottobre 2014.
  41. ^ Disk encrypting Cryptolocker malware demands $300 to decrypt your files, su Geek.com. URL consultato il 12 settembre 2013.
  42. ^ CryptoLocker attacks that hold your computer to ransom, su The Guardian. URL consultato il 23 ottobre 2013.
  43. ^ Destructive malware "CryptoLocker" on the loose - here's what to do, su Naked Security, Sophos. URL consultato il 23 ottobre 2013.
  44. ^ CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service, su NetworkWorld. URL consultato il 5 novembre 2013.
  45. ^ CryptoLocker creators try to extort even more money from victims with new service, su PC World. URL consultato il 5 novembre 2013.
  46. ^ Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet, in Computerworld, IDG. URL consultato il 18 agosto 2014.
  47. ^ U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator, in Justice.gov, U.S. Department of Justice. URL consultato il 18 agosto 2014.
  48. ^ Australians increasingly hit by global tide of cryptomalware, Symantec. URL consultato il 15 ottobre 2014.
  49. ^ Ben Grubb, Hackers lock up thousands of Australian computers, demand ransom, in Sydney Morning Herald, 17 settembre 2014. URL consultato il 15 ottobre 2014.
  50. ^ Australia specifically targeted by Cryptolocker: Symantec, in ARNnet, 3 ottobre 2014. URL consultato il 15 ottobre 2014.
  51. ^ Scammers use Australia Post to mask email attacks, in Sydney Morning Herald, 15 ottobre 2014. URL consultato il 15 ottobre 2014.
  52. ^ Ransomware attack knocks TV station off air, su CSO. URL consultato il 15 ottobre 2014.
  53. ^ Over 9,000 PCs in Australia infected by TorrentLocker ransomware, su CSO.com.au. URL consultato il 18 dicembre 2014.
  54. ^ Yuma Sun weathers malware attack, in Yuma Sun. URL consultato il 18 agosto 2014.
  55. ^ Joshua Cannell, Cryptolocker Ransomware: What You Need To Know, last updated 06/02/2014, su Malwarebytes Unpacked. URL consultato il 19 ottobre 2013.
  56. ^ Josh Leyden, Fiendish CryptoLocker ransomware: Whatever you do, don't PAY, su The Register. URL consultato il 18 ottobre 2013.
  57. ^ Cryptolocker Infections on the Rise; US-CERT Issues Warning, su SecurityWeek, 19 novembre 2013. URL consultato il 18 gennaio 2014.

Altre letture[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica