1. Che cosa sono i ransomware.

Con la parola ransomware viene indicata una classe di malware che rende inaccessibili i dati dei computer infettati e chiede il pagamento di un riscatto, in inglese ransom, per ripristinarli. Tecnicamente sono trojan horse crittografici e hanno come unico scopo l’estorsione di denaro, attraverso un “sequestro di file”, attraverso la cifratura che, in pratica, li rende inutilizzabili. Al posto del classico sfondo vedremo comparire un avviso che sembra provenire dalla polizia o da un’altra organizzazione di sicurezza e propone un’offerta. In cambio di una password in grado di sbloccare tutti i contenuti, intima di versare una somma di denaro abbastanza elevata (in genere erano sotto i 1.000 dollari fino a qualche anno fa, ma negli ultimi anni sono saliti anche fino a milioni di dollari): in genere il riscatto viene richiesto in criptovaluta (Bitcoin, ma non solo). Per questo motivo i ransomware rappresentano un attacco che si rivela pressoché immediatamente, perché l’obiettivo dei cyber criminali è quello di batter cassa. In questo senso si differenzia dai più sofisticati attacchi APT (Advanced Persistent Threat), il cui scopo è quello di persistere nel sistema attaccato il più a lungo possibile. Come fare a pagare il riscatto? Dietro all’industria del ransomware non ci sono semplici hacker, ma vere e proprie organizzazioni criminali che hanno raggiunto un alto livello di efficienza ed organizzazione: quindi, dopo averci criptato tutti i file, faranno comparire nel computer attaccato una schermata dove vengono date dettagliate istruzioni (spesso in buon italiano) per pagare il riscatto, in genere attraverso la rete TOR (cioè nel Dark Web).

E poiché un buon servizio di customer care è alla base di ogni business di successo, alcuni attaccanti si sono attrezzati con chat in real time: poiché pagare il riscatto potrebbe non risultare semplice, i cybercriminali spesso offrono un servizio di assistenza al “cliente”, con le indicazioni per eseguire il pagamento.

2. Come si prende un ransomware.

Le e-mail di phishing (che ci invitano a cliccare su un determinato link o a scaricare un certo file) continuano ad essere la modalità più diffusa, che sfrutta la scarsa attenzione e la mancanza di consapevolezza degli utenti. Spesso il messaggio di posta elettronica che viene mascherata in modo che risulti inviata da qualcuno di cui ci fidiamo, ad esempio un collega di lavoro (con la tecnica nota come “spoofing”). In altri casi, cybercriminali sfruttano vulnerabilità presenti nei vari programmi – come Java, Adobe Flash o nei diversi sistemi operativi. In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione.

I vettori d’infezione utilizzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware:

1. Il più diffuso, perché purtroppo continua a funzionare molto bene, sono le email di phishing: attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 75% dei ransomware. A tutti noi sarà capitato di ricevere email da spedizionieri, o con false bollette allegate. Sono evidentemente e-mail di phishing, ma le statistiche ci dicono che nel 10% dei casi questi messaggi vengono aperti dagli utenti ed addirittura, secondo il Verizon Data Breach Investigation Report, in circa il 2-5% dei casi vengono cliccati anche gli allegati o i link presenti nelle email permettendo così l’infiltrazione del malware.
2. Attraverso la navigazione su siti compromessi: il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa) da siti nei quali sono stati introdotti, da parte di attaccanti che sono riusciti a violare il sito o che hanno realizzato appositamente siti fake simili ad altri più noti, exploit kit che sfruttano vulnerabilità dei browser, di Adobe Flash Player, Java o altri. I cybercriminali compromettono ed infettano (con JavaScript, HTML, exploit) i siti visitati dalle potenziali vittime. In questo caso muta lo scenario poiché è la vittima ad andare nel sito infetto e non l’attaccante a sollecitarne la visita attraverso una email. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su siti malevoli, diversi dall’originale, ove avverrà il download del malware.
3. Usando un supporto rimovibile, per esempio una chiavetta USB contenente il software malevolo. Questa tecnica si chiama “baiting” (esca) e – così come le email di phishing – fa leva sul fattore umano e sulla curiosità delle persone. In pratica viene lasciato incustodito in un luogo comune (ingresso dell’azienda, mensa, parcheggio ecc.) un supporto di memorizzazione come una chiavetta USB o un hard disk contenenti malware (che si attiveranno appena l’oggetto sarà collegato al computer). E la curiosità umana fa sì che in molti casi questa esca (bait) funzioni e la persona inserisca la chiavetta sconosciuta nel proprio computer.
4. All’interno (in bundle) di altri software che vengono scaricati: per esempio programmi gratuiti che ci promettono di “crackare” software costosi (spesso anche videogiochi) per utilizzarli senza pagare. È una pratica che oggi è diventata assai pericolosa, perché il crack che andremo a scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe essere anche una brutta sorpresa. Nei primi mesi del 2021 si segnalano campagne di ransomware che vengono veicolati attraverso versioni craccate (quindi gratuite) di noti programmi a pagamento, soprattutto Microsoft Office e Adobe Photoshop CC.
5. Attacchi attraverso il desktop remoto (RDP: Remote Desktop Protocol, posizionato in genere sulla porta 3389): sono attacchi con furto di credenziali (per accedere ai server attraverso RDP e prenderne il controllo. I computer ed i server con RDP attivo ed esposti in rete sono soggetti ad attacchi mirati ad ottenere le credenziali di accesso (in genere con attacchi di tipo brute force). Una volta ottenuto l’accesso al sistema, il cyber criminale potrà eseguire varie operazioni, quali: furto di credenziali e dati e – appunto – iniezione del ransomware.
6. Attraverso lo sfruttamento di vulnerabilità. Citiamo solo due casi molto famosi: il celebre WannaCry del maggio 2017 (che utilizzava la vulnerabilità del protocollo Windows Server Message Block versione 1.0 (SMBv1) e l’attacco del marzo 2021 che ha utilizzato vulnerabilità di Microsoft Exchange Server (il software che aziende e organizzazioni in tutto il mondo utilizzano per gestire email e calendari) per distribuire ransomware dopo la compromissione dei server. Microsoft ha assegnato a questa nuova famiglia di ransomware il nome Win32/DoejoCrypt.A. (o anche, più semplicemente, DearCry). L’attacco sembra partito dal gruppo di cyber criminali cinesi denominato Hafnium e sfrutta le vulnerabilità zero-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime, accedendo alle caselle di posta elettronica delle aziende per sottrarne il contenuto e per iniettare malware.

3. Come proteggersi: tre punti chiave.

• La miglior protezione è la prevenzione. Il primo passo da fare è aggiornare sempre sia il nostro antivirus che il sistema operativo. Ancora meglio implementare sistemi di protezione e rilevamento avanzati (IDS, IPS, EDR).
• Vitale è anche il backup dei dati, cioè copie funzionanti e recenti (non è così scontato, purtroppo) dei propri file. Il backup dei dati aziendali deve essere un’attività pianificata secondo la “security by design” e non può essere affidata alla “buona volontà” di un operatore. Dovrà prevedere sempre la “ridondanza”: non una sola copia di backup, ma almeno tre copie secondo la basilare regola 3-2-1. In pratica: tre copie di ogni dato che si vuole conservare, di cui due copie “onsite” ma su storage differenti (HD, NAS, Cloud ecc.)  e una copia “off-site” (in sito remoto) su Cloud, nastri e via dicendo. In questo modo, se il ransomware dovesse infettare il sistema, una copia dei dati rimarrebbe protetta, dandoci l’opportunità di ripristinarli all’occorrenza. Altrettanto importante è la protezione del backup, che deve essere isolato e non accessibile da un qualsiasi utente collegato in rete. Abbiamo casi di backup non protetto sul quale il Ransomware è riuscito ad accedere ed a criptare i dati. A quel punto la vittima si trova alla mercé dell’attaccante.
• Se si viene attaccati, le buone pratiche dicono che non bisogna mai pagare il riscatto. Ma rivolgersi a un’azienda che si occupa di sicurezza informatica.

4. La prevenzione.

Nonostante la virulenza e la diffusione dei ransomware, ci sono semplici regole pratiche che ci possono aiutare ad evitarli. Le elencheremo qui in sintesi:

• Non aprire mai gli allegati di email di dubbia provenienza. Nel dubbio è consigliabile chiedere al mittente se quella email è autentica!
• Fare attenzione alle email provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione nota come “spoofing”).
• Abilitare l’opzione “Mostra estensioni nomi file” nelle impostazioni di Windows: i file più pericolosi hanno l’estensione .exe, .zip, js, jar, scr, ecc. Se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file e potremmo essere tratti in inganno.
• Disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza. Questa modalità di attacco si chiama “baiting”: consiste nell’utilizzare un’esca per una persona in grado di accedere ad un determinato sistema informatico (una sorta di cavallo di Troia). Oggi questa minaccia è diventata reale, per questo in alcune aziende vengono stabiliti policy molto restrittive, con la disabilitazione delle porte USB dei computer in dotazione agli utenti. In questo modo la porta USB potrà essere utilizzata per collegare un mouse, ricaricare uno smartphone, ma non sarà in grado di trasmettere e ricevere dati. In altri casi – più frequenti – non si arriva a questo tipo di restrizione (che gli utenti faticano ad accettare e comprendere). È sempre e comunque opportuno formare gli utenti sull’uso attento dei supporti rimovibili, rendendoli consapevoli dei rischi che comportano.
• Disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Gli allegati Office armati con macro malevola rappresentano oggi una delle tecniche d’attacco più diffusa. L’abilitazione delle macro consentirà alla macro attivarsi automaticamente, attivando il processo di infezione del ransomware.
• Aggiornare sempre i sistemi operativi ed i browser. In generale è buona regola installare sempre e subito le “patch” (gli aggiornamenti) di sicurezza che ci vengono proposti dai produttori dei software che abbiamo installati.
• Utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi ed accessi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni. Viceversa, un utente non-amministratore ha privilegi limitati e le stesse limitazioni si trasferiranno in mano all’attaccante
• Installare servizi Antispam efficaci ed evoluti, che implementino i protocolli SPF, DKIM e DMARC. Non riusciranno a bloccare tutte le email di phishing, ma i migliori riescono a raggiungere un’efficienza, comunque, superiore al 95%.
• Fare attenzione all’utilizzo del Remote Desktop Protocol (RDP): rappresenta una porta esposta in rete, che – se non necessaria – andrà chiusa. Qualora dovessimo utilizzarla (particolarmente in questi momenti ove lo smart working da remoto è così frequente) dovremo proteggere questo accesso con password forti e possibilmente con doppia autenticazione.
• Implementare soluzioni di tipo “User Behavior Analytics” (UBA) sulla rete aziendale (analisi anomalie traffico web) con sistemi IDS, IPS ed EDR. Questi strumenti rappresentano oggi la protezione più avanzata contro i ransomware. È noto, infatti, che questi malware presentano una serie di comportamenti tipici (accesso/scrittura a cartelle di sistema, collegamento a server esterni per il download dei file di criptazione, ecc.). Gli UBA analizzano perciò il comportamento di ciascun computer dell’azienda e sono in grado di capire se si stanno verificando eventi “anomali” (quali per esempio un traffico dati superiore alla media, l’accesso ad indirizzi IP classificati come malevoli, l’accesso e la scrittura in cartelle di sistema che non dovrebbero essere utilizzate). Alla rilevazione di eventi anomali e sospetti, possono isolare il computer incriminato e bloccare (quantomeno circoscrivere) l’attacco.
• Implementare l’uso di Sandboxing: questi strumenti sono in genere presenti nei sistemi UBA (di cui al punto precedente) e consentono di analizzare in un ambiente isolato (appunto la “sandbox”) i file sospetti in entrata.
• Assicurarsi che i plugin che si utilizzano (Java, Adobe Flash Player, ecc.) siano sempre aggiornati. Questi plugin – è noto – rappresentano una via d’ingresso preferenziale per la maggior parte dei cyber attacchi. Averli sempre aggiornati riduce le vulnerabilità di cui sono affetti (anche se non le elimina completamente). Da precisare che Adobe Flash Player è stato abbandonato da Adobe a fine 2020, tuttavia risulta ancora utilizzato su numerosi siti “legacy”. Quindi sarà bene mantenere Flash disabilitato (o ancor meglio disinstallato) ed utilizzarlo solo nei casi di reale necessità” e con massima attenzione.
• Fare sempre attenzione prima di cliccare su banner (o finestre pop-up) in siti non sicuri. Come ho già spiegato, i ransomware ci possono colpire non solo attraverso il phishing, ma anche visitando siti che sia stati “infettati”, con la modalità definita “drive-by download”.
• Attivare una procedura di Backup dei propri dati. Questa – come abbiamo già spiegato – è una misura fondamentale: se nonostante tutto un ransomware riesce a colpirci, l’unica salvezza è aver i propri dati salvati in un altro luogo. Ed è importante che il backup venga eseguito spesso ed in modo completo. In assenza di un backup rimane solo l’opzione di pagare il riscatto.
• Ed infine, non dimentichiamo mai che l’anello più debole della sicurezza è rappresentato dal Fattore Umano. Fondamentale quindi fare formazione e informazione agli utenti affinché non cadano nelle trappole del “phishing”, il vettore più usato per questo tipo di attacchi; nella pratica, il fattore umano e l’awareness (consapevolezza) degli utenti vengono troppo spesso sottovalutate.

5. Cosa fare se colpiti da un ransomware.

In questa malaugurata ipotesi (ma potrebbe sempre accadere), le opzioni sono sostanzialmente quattro:

1. Ripristinare i file da un backup (la soluzione migliore, l’unica che dovrebbe prendere in considerazione un’azienda ben organizzata).
2. Cercare un “decryptor” in rete per decriptare i file (funziona solo in alcuni casi).
3. Non fare nulla e perdere i propri dati.
4. Pagare il Riscatto (“Ransom”).

6. Cenni storici.

Era il 1989, quando quello che viene considerato il primo ransomware della storia ha fatto il suo debutto. Battezzato “PC Cyborg”, perché i pagamenti erano diretti a una fantomatica “PC Cyborg Corporation”, il malware bloccava il funzionamento del computer giustificandolo attraverso la presunta “scadenza della licenza di un non meglio specificato software”. Si chiedevano 189 dollari per far tornare tutto alla normalità. Era realizzato da Joseph Popp. Fu diffuso a un congresso sull’Aids, mediante floppy disk infetti consegnati ai partecipanti: inserendo il floppy disk il virus si installava e criptava i file.

Questo ransomware ebbe una diffusione estremamente limitata, perché poche persone usavano un personal computer, internet era una rete per soli addetti ai lavori (quindi si trasmetteva via floppy disk), la tecnologia di criptazione era limitata e i pagamenti internazionali erano molto più macchinosi. Da quel momento in avanti questi virus hanno fatto passi da gigante, diventando sempre più sofisticati: le chiavi crittografiche utilizzate sono sempre più difficile da decifrare, e il messaggio che ci avverte del blocco del pc compare nella lingua del malcapitato, grazie a tecniche equiparabili alla geolocalizzazione.

• Cryptolocker: 2013.  Con vari aggiornamenti, continua a colpire ancora oggi.
• CryptoWall: inizio 2014.
• CTB-Locker: metà 2014.
• TorrentLocker: febbraio 2014.
• Ransom32: fine dicembre 2015.
• TeslaCrypt: febbraio 2015. A maggio 2016 gli autori hanno rilasciato la chiave Master Key ed hanno chiuso il progetto.
• Locky: febbraio 2016 (via macro in file Word).
• CryptXXX: inizio 2016 (attraverso pagine Web compromesse)
• Petya: marzo 2016, con le sue numerose varianti, tra le quali GoldenEye.
• Cerber: marzo 2016.
• PokemonGo: agosto 2016. Nella richiesta di riscatto si presentava con l’immagine di Pokemon, allora molto di moda.
• Popcorn: fine 2016 (dilemma: pagare o diffonderlo?).
• WannaCry (maggio 2017): il più veloce a propagarsi, grazie ad una vulnerabilità di Windows.
• NotPetya (giugno 2017): probabilmente quello che ha creato i danni maggiori a livello mondiale.
• Bad Rabbit (ottobre 2017)
• GandCrab, Ryuk (2018)
• LockerGoga (2019)
• Anatova e MegaCortex (2019)
• Maze (2019), che ha inaugurato la “double Extorsion” (la doppia estorsione).