Trovarsi con le foto di famiglia o la contabilità aziendale bloccata da un attacco di ransomware è un dramma molto diffuso, e spesso ci si sente soli e indifesi contro i malviventi informatici che lavorano nell’ombra.
Ma nell’ombra ci sono anche persone poco conosciute che lavorano per tirare fuori dai guai chi è incappato in questi ransomware: centinaia di migliaia di persone nel mondo hanno infatti recuperato i propri dati, senza pagare alcun riscatto, grazie al lavoro silenzioso di una singola persona: Michael Gillespie, un ventisettenne di Normal, nell’Illinois.
Gillespie è infatti autore di moltissimi decryptor, ossia programmi che decifrano i file cifrati dal ransomware, restituendone l’uso ai proprietari. I suoi decryptor aiutano circa 2000 persone al giorno. Dei circa 800 ransomware conosciuti, oltre 100 sono stati resi innocui da Michael Gillespie.
A differenza dei criminali, che chiedono soldi per sbloccare i file, Gillespie offre i suoi decryptor gratuitamente tramite i siti BleepingComputer.com e ID Ransomware e si limita ad accettare donazioni volontarie. Una scelta che non l’ha certo fatto diventare ricco, anzi: lui e la moglie sono fortemente indebitati, in gran parte a causa delle spese mediche che devono sostenere. L’FBI gli ha conferito un riconoscimento nel 2017, e Gillespie lavora spesso con le forze di polizia internazionali. Ma è tutto volontariato.
Il sito ID Ransomware riconosce ben 783 tipi di ransomware: gli si può inviare il testo della richiesta di riscatto, un esempio di file cifrato oppure gli indirizzi o link di contatto citati nella richiesta.
La storia di Gillespie e degli altri informatici che offrono il proprio talento per aiutare chi è caduto nella rete dei criminali online è raccontata qui su ProPublica.
Ha destato un certo scalpore la notizia di un attacco informatico a una ditta di Manno (Canton Ticino), che è stata bloccata da un ransomware, ossia da un malware che blocca i dati della vittima con una password nota soltanto all’aggressore e chiede un riscatto per sbloccare i dati e consentire di riprendere il lavoro.
Stando alle descrizioni fornite dal co-titolare della ditta, i file erano stati cifrati e rinominati con il suffisso ryuk, ed erano stati chiesti 31 bitcoin di riscatto, ossia circa 300.000 franchi. L’azienda non ha pagato, ma si è dovuta rivolgere a specialisti per recuperare almeno parzialmente i dati e contenere il danno, acquistando nuovi server e reinstallando da zero 25 PC. Alla fine sono andate perse le ordinazioni e le conferme d’ordine di alcuni giorni, ma l’attività è ripresa.
Non sembra trattarsi di un attacco particolarmente mirato: lo stesso genere di malware che usa il suffisso ryuk ha fatto danni un po’ ovunque, toccando oltre 100 organizzazioni governative e imprese nel mondo. A Lake City, in Florida, è stata colpita la pubblica amministrazione, che ha deciso di pagare ben 460.000 dollari di riscatto. Secondo alcune stime, la banda criminale che gestisce Ryuk avrebbe intascato oltre 3,7 milioni di dollari da quando ha iniziato i propri attacchi ad agosto 2018.
Ma come agisce un malware del genere? Ryuk, spiega Infosec Institute, usa dei trojan come Trickbot o Emotet per impiantarsi nel sistema informatico preso di mira: arriva per esempio via mail, sotto forma di documento Word allegato, in un messaggio che sembra provenire da collaboratori, soci d’affari o conoscenti. Aprendo il documento, la vittima viene invitata ad attivare le macro Office, cosa assolutamente da non fare, perché le macro scaricano e installano il malware vero e proprio, per esempio Emotet, che infetta i computer della vittima sfruttando una falla di sicurezza (di solito una vulnerabilità SMB). A quel punto gli aggressori possono installare il ransomware Ryuk vero e proprio.
Questo ransomware rimane poi dormiente anche a lungo, perlustrando la rete informatica per comprenderne le vulnerabilità. Poi agisce nella maniera standard dei ransomware, cifrando i file della vittima.
Maggiori informazioni sono sul sito di MELANI, la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione Svizzera, di cui riporto i consigli:
• Effettuate regolarmente una copia di sicurezza (backup) dei dati, ad
esempio, sul disco rigido esterno. Utilizzate a questo scopo un
programma che permetta di effettuare il backup regolarmente (schema
nonno-padre-figlio [giornaliero, settimanale, mensile] / minimo due
gerarchie). Gli aggressori possono eliminare o cifrare tutti i backup ai
quali riescono ad accedere, pertanto è importante che la copia di
sicurezza sia salvata offline, ovvero su un supporto esterno (ad esempio
su un disco rigido esterno);
• Assicuratevi che i provider che offrono soluzioni cloud generino al
meno due gerarchie, analogamente ai salvataggi di dati classici.
L’accesso ai backup su cloud deve essere protetto dai ransomware, ad
esempio tramite l’utilizzo di un secondo fattore di autenticazione per
operazioni sensibili.
• Sia il sistema operativo sia tutte le applicazioni installate sul
computer e sul server (ad es. Adobe Reader, Adobe Flash, Java, ecc.)
devono essere costantemente aggiornati. Se disponibile, è meglio
utilizzare la funzione di aggiornamento automatico;
• Controllate la qualità dei backup e esercitatene l’istallazione in
modo che, nel caso di necessità, non venga perso tempo prezioso.
• Proteggete tutte le risorse accessibili da internet (ad es. terminal
server, RAS, accessi VPN, ecc.) con l’autenticazione a due fattori
(2FA). Mettete un Terminal server dietro un portale VPN.
• Bloccate la ricezione di allegati e-mail pericolosi nel Gateway della
vostra mail. Informazioni più dettagliate possono essere trovate alla
pagina seguente: https://www.govcert.ch/downloads/blocked-filetypes.txt
• Controllate che i file log della vostra soluzione antivirus non presentino irregolarità.
Nuove scuse per non andare a scuola in stile ventunesimo secolo: ieri gli istituti dello Unified School District di Flagstaff, in Arizona, hanno annullato tutte le lezioni a causa di un attacco di ransomware a carico dei server del sistema scolastico, che ora è stato isolato completamente da Internet per consentire il lavoro degli esperti allo scopo di contenere e mitigare il problema, secondo il portavoce del distretto.
Ma non è il caso di pensare al gesto di qualche studente svogliato: gli attacchi informatici alle scuole e alle istituzioni amministrative e governative a scopo di estorsione sono in aumento: dall’inizio dell’anno, negli Stati Uniti ce ne sono stati più di settanta. La ragione è molto semplice: il crimine informatico organizzato non è stupido e prende di mira i bersagli meno protetti e con minori risorse disponibili per la prevenzione. Inoltre spesso costa meno pagare un riscatto ogni tanto, se e quando succede un attacco, che investire continuamente in aggiornamenti, formazione del personale e sistemi di backup e prevenzione, anche perché gli incidenti informatici sono coperti dalle assicurazioni ma la prevenzione no.
Un esempio concreto: a giugno scorso l’amministrazione pubblica della cittadina di Riviera Beach, in Florida, è stata colpita da un attacco informatico che chiedeva un riscatto di 600.000 dollari per riavere accesso ai dati dell’amministrazione stessa, e il riscatto è stato pagato per decisione del consiglio municipale nonostante il parere contrario dell’FBI; metà dell’importo è stato pagato dall’assicurazione. Non c’è quindi da meravigliarsi che il ransomware prosperi in questi ambienti.
Security warning: Il tuo computer è stato bloccato. Errore #DW6VB36. Per favore chiamaci immediatamente al numero +39 0694804[omissis]. Non ignorare questo avviso critico.
Se chiudi questa pagina, l’accesso del tuo computer sarà disattivato per impedire ulteriori danni alla nostra rete. Il tuo computer ci ha avvisato di essere stato infestato con virus e spyware. Sono state rubate le seguenti informazioni: Accesso Facebook, Dettagli carta di credito, Accesso account e-mail, Foto conservate su questo computer.
Devi contattarci immediatamente in modo che i nostri ingegneri possano illustrarti il processo di rimozione per via telefonica. Per favore chiamaci entro i prossimi 5 minuti per impedire che il tuo computer venga disattivato. Chiama per ricevere supporto: +390694804[omissis].
Se vi compare sullo schermo un avviso di questo genere mentre state girando su Internet, non cascateci e chiudete senza esitazioni la sua finestra, anche se sembra firmato da Microsoft: è un bluff da parte di criminali talmente pigri che neanche si prendono la briga di infettare e bloccare davvero i computer delle loro vittime. È l’ultima novità in fatto di estorsioni informatiche, segnalata da Cybersecurity360.it e dalla Polizia Postale italiana.
Questo non è ransomware: non è un avviso che compare ad opera di un malware che ha infettato il computer. È solo un testo, che viene visualizzato usando una delle tante tecniche di pop-up disponibili nelle pagine Web.
La tecnica, spiega la Postale, è convincere la vittima a telefonare al numero indicato, dove un truffatore si spaccerà per un rappresentante di un servizio di assistenza tecnica e cercherà di indurre la vittima a installare un software di assistenza remota che consegna al malfattore il controllo completo del computer del malcapitato e in più, per questa “assistenza”, si fa pagare circa cento euro.
In teoria questa forma di attacco dovrebbe avere un punto debole: il numero di telefono da chiamare. Se venisse bloccato prontamente, renderebbe inefficace la disseminazione di questi messaggi ingannevoli.
Non bastava il ransomware tradizionale, con la crisi di panico prodotta in particolare da Wannacry: adesso arriva anche un’altra forma di estorsione via Internet.
A molti utenti (anche dalle mie parti) stanno arrivando delle mail che dicono, in inglese rudimentale, che il sedicente “Meridian Collective” avrebbe esaminato il sistema di sicurezza della vittima e si appresterebbe a devastarlo con un attacco di Distributed Denial of Service (DDOS) seguito da una cifratura completa dei dati con un ransomware.
Ecco un esempio di queste mail:
PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE IMPORTANT DECISIONS!
We, HACKER TEAM – Meridian Collective
1 – We checked your security system. The system works is very bad
2 – On Friday 16_06_2017_8:00p.m. GMT !!! We begin to attack your network servers and computers
3 – We will produce a powerful DDoS attack – up to 300 Gbps
4 – Your servers will be hacking the database is damaged
5 – All data will be encrypted on computers Crypto-Ransomware
4 – You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS: 14fKPXrkBdjUJZ9HPTXL45u3SmzERxQvox
5 – Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 5 bitcoins
6 – After payment we will advice how to fix bugs in your system
Please send the bitcoin to the following Bitcoin address:
14fKPXrkBdjUJZ9HPTXL45u3SmzERxQvox
How do I get Bitcoins?
You can easily buy bitcoins via several websites or even offline from a Bitcoin-ATM.
We suggest you to start with localbitcoins.com or do a google search.
What if I don’t pay?
If you decide not to pay, we will start the attack at the indicated date and uphold it until you do, there’s no counter measure to this, you will only end up wasting more money trying to find a solution. We will completely destroy your reputation amongst google and your customers and make sure your website will remain offline until you pay.
This is not a hoax, do not reply to this email, don’t try to reason or negotiate, we will not read any replies. Once you have paid we won’t start the attack and you will never hear from us again!
Please note that Bitcoin is anonymous and no one will find out that you have complied.
Ma si tratta di un bluff crudele: basta cercare in Google una delle frasi sgrammaticate e senza senso tecnico della mail, per esempio “Your servers will be hacking the database is damaged”, per trovare storie come questa o questa oppure questa, risalente ad agosto dell’anno scorso, che indicano che chi sta dietro questo invio massiccio di mail fa minacce ma non ha i mezzi tecnici per metterle a segno: spera che le vittime abbocchino e si spaventino a sufficienza da pagare di fronte alla semplice minaccia.
Il fatto che in questo caso si tratti di un falso allarme non deve far abbassare la guardia: anzi, è una buona occasione per informare sui reali rischi del ransomware (quello vero) e assicurarsi di avere un backup completo (e scollegato da Internet e dalla rete aziendale) di tutti i dati.
Esistono le mode anche nel crimine informatico: negli anni scorsi i creatori di malware si sono concentrati sulla produzione e disseminazione di ransomware, che bloccava l’accesso ai dati dei computer delle vittime e chiedeva a queste vittime di pagare un riscatto per togliere questo blocco.
Questa strategia purtroppo ha funzionato molto bene, visto che molti privati e moltissime aziende grandi e piccole non avevano copie di sicurezza dei propri dati, non avevano difese informatiche adeguate e non avevano investito nella formazione del personale per prepararlo a riconoscere i tentativi di attacco ransomware. Ma a furia di prendere batoste, gli utenti hanno iniziato a reagire e il ransomware sta iniziando a scemare.
Ma non è tutto merito degli utenti: come nota Tripwire, i criminali hanno capito che obbligare le vittime a fare pagamenti di riscatti in bitcoin o altre criptovalute era scomodo e poco efficace (molti decidevano di non pagare oppure non sapevano come fare), e così è arrivato un nuovo tipo di malware: il cryptomining. In pratica, i computer delle vittime vengono infettati silenziosamente per usarli per generare criptovalute che vengono recapitate automaticamente agli aggressori, senza alcun intervento delle vittime, che neanche si accorgono di essere infettate e che i loro computer stanno lavorando per i criminali.
Tripwire segnala, a questo proposito, una rete di circa 520.000 computer Windows infetti, denominata Smomirnu, che da maggio dell’anno scorso usa questi computer per effettuare i calcoli matematici necessari per produrre criptovalute (specificamente Monero). Si stima che questo attacco silenzioso abbia generato alcuni milioni di dollari per i criminali che l’hanno lanciato. E non è l’unico del suo genere, nota Talos Intelligence.
Difendersi richiede le stesse attenzioni già usate per il ransomware: il malware di cryptomining si annida in documenti Word apparentemente innocui inviati come allegati via mail (curricula, fatture e simili) e colpisce i computer non aggiornati.
La sua principale differenza rispetto al ransomware è che un attacco di cryptomining non blocca il lavoro in modo evidente, ma si limita a rallentare i computer della vittima e ad aumentare i loro consumi di energia, causando aumenti delle bollette elettriche. Se notate che il vostro computer è diventato lento e che la sua ventola gira molto più del solito, potrebbe essere colpa di un attacco di cryptomining. In pratica, voi pagate per generare soldi per i criminali.
Da qualche giorno è in circolazione un nuovo attacco informatico, denominato dai suoi creatori Bad Rabbit, che si basa sullo schema consueto del ransomware: la vittima si trova con il computer bloccato e con i propri dati cifrati e inaccessibili, e per riaverli deve pagare un riscatto.
L’attacco ha fatto vittime principalmente in Russia e Ucraìna, ma ci sono segnalazioni anche in altri paesi, come Germania, Turchia, Polonia e Corea del Sud. L’agenzia di stampa russa Interfax, l’aeroporto internazionale di Odessa e la metropolitana di Kiev hanno subìto a lungo la paralisi causata da questo ransomware, insieme a molte altre organizzazioni.
Le vittime si infettano perché girando su Internet si imbattono in siti che visualizzano un falso avviso di aggiornamento di Adobe Flash. In realtà il finto aggiornamento è il malware Bad Rabbit, che viene così installato sui computer di chi cade nella trappola.
L’infezione ha effetto soltanto sui sistemi Windows ed è in grado di diffondersi da un computer all’altro della rete locale, per cui in un’azienda basta che se ne infetti uno per mettere a rischio tutti gli altri.
Difendersi è abbastanza semplice: ignorate le richieste di qualunque sito che vi chiede di aggiornare Flash, e andate invece al sito autentico di Adobe Flash per vedere se davvero avete bisogno di aggiornarlo. Inoltre i principali antivirus, se aggiornati, riconoscono e bloccano Bad Rabbit. Se non usate Windows, Bad Rabbit non ha effetto diretto su di voi, ma può averlo sui servizi che usate, se sono basati su Windows.
La prevenzione è fondamentale, anche perché al momento non risulta che ci sia il modo di decifrare i dati una volta che sono stati cifrati da Bad Rabbit e pagare il riscatto, oltre a essere sconsigliabile perché incentiva i criminali a fare altri attacchi, non offre nessuna garanzia che i dati vengano sbloccati. Quindi fate un backup dei vostri dati e tenetelo scollegato dalla rete; installate gli aggiornamenti dei vostri sistemi operativi e delle applicazioni andando presso i loro siti ufficiali; e usate password di rete non ovvie, perché Bad Rabbit conosce quelle più diffuse.
Nuovo allarme planetario per il ransomware: dal 27 giugno scorso è in circolazione un nuovo attacco informatico, battezzato NotPetya, che segue lo schema consueto dei ransomware, bloccando i computer e cifrandone i dati con una password complicatissima che si potrebbe ottenere soltanto pagando un riscatto.
Ho scritto potrebbe perché a differenza dei ransomware passati, con NotPetya pagare è sicuramente inutile, dato che l’indirizzo di mail al quale ci si deve rivolgere per offrire il riscatto è stato disattivato durante i primi interventi degli addetti alla sicurezza informatica.
Le aziende colpite sono numerosissime in tutto il mondo (sono stati colpiti almeno 65 paesi), anche perché NotPetya si diffonde senza che l’utente debba aprire un allegato o visitare un sito: in estrema sintesi, si diffonde attraverso le condivisioni di rete di Windows impostate in modo imprudente. La sua propagazione iniziale è stata possibile perché i suoi creatori hanno preso il controllo del sistema di gestione degli aggiornamenti di un pacchetto di contabilità fiscale, MEDoc, molto diffuso in Ucraina.
Come spiegato in dettaglio nel bollettino di MELANI/GovCERT (la centrale svizzera d’annuncio e d’analisi per la sicurezza dell’informazione), esiste una tecnica di “vaccinazione” (scrivere un file di nome perfc o perfc.dat nella cartella di base di Windows), ma se un computer è già stato infettato c’è poco da fare.
Valgono i consigli di sempre, ossia prevenzione, prevenzione, prevenzione:
— fate un backup dei vostri dati salvandoli su un dispositivo che non è connesso alla rete locale o a Internet,
— installate gli aggiornamenti di sicurezza (già disponibili addirittura da marzo di quest’anno),
— usate un buon antivirus.
In questo caso specifico, sono colpiti soltanto gli utenti Windows: chi usa MacOS o Linux è immune e anche gli smartphone iOS e Android non sono attaccabili da NotPetya.
Un dettaglio da non dimenticare: NotPetya sfrutta una vulnerabilità di Windows che l’NSA aveva scoperto ma aveva deciso di tenere segreta per poterla sfruttare. In pratica, pur di mantenere un presunto vantaggio tecnologico, l’NSA ha messo in pericolo non solo le aziende statunitensi che dovrebbe proteggere, ma tutte le aziende del mondo.
È passata una settimana dall’inizio di uno degli attacchi informatici più pesanti degli ultimi anni: il ransomware Wannacry, che ha fatto danni in tutto il mondo. Ne ho già parlato in questo articolo, ma riassumo qui le novità di questi primi sette giorni di quella che si annuncia come una convivenza a lungo termine con una serie di attacchi molto potenti.
Prima di tutto, sono a disposizione le istruzioni ufficiali su come difendersi da Wannacry fornite rispettivamente dalla Polizia di Stato italiana e dal GovCERT svizzero. In sintesi: se avete un Windows recente e aggiornato con le patch di sicurezza probabilmente non avrete problemi.
È importante sottolineare ancora una volta che questo malware, a differenza degli attacchi di ransomware abituali, si diffonde attraverso le condivisioni aperte incautamente verso Internet, senza richiedere l’apertura di allegati ricevuti via mail.
Un ricercatore, Adrien Guinet di Quarkslab, ha trovato che su Windows XP la chiave di decrittazione dei dati è a volte recuperabile se non si spegne il computer dopo l’infezione, ma XP è uno dei sistemi meno colpiti. Sulla base del suo lavoro è stato approntato WanaKiwi, un software di recupero che a quanto pare funziona anche su Windows 7, Vista, Server 2003 e Server 2008.
Un altro aspetto importante è che la vulnerabilità sta toccando anche dispositivi medicali, come quelli radiologici della Siemens:
Gli incassi in Bitcoin dei criminali informatici vengono monitorati da vari account Twitter, come @actual_ransom, e intorno a metà giornata erano arrivati a quasi 91.000 dollari suddivisi in poco meno di 300 pagamenti. Una miseria, rispetto ai danni causati, ma soprattutto una cifra intoccabile, visto che sarà difficilissimo che qualcuno accetti bitcoin provenienti dai portafogli dei criminali, che a questo punto hanno probabilmente alle calcagna gli esperti informatici dei servizi di sicurezza di mezzo pianeta.
Resta valida la raccomandazione di non pagare il riscatto, perché i criminali devono rispondere manualmente a ogni singola vittima e quindi i tempi di risposta sono lunghissimi a causa del numero elevato di vittime.
Circolano già le prime teorie sull’identità di questi criminali, e qualcuno punta il dito verso la Corea del Nord per via di alcune analogie nel codice del malware usato, ma è decisamente poco per formulare accuse attendibili. Bruce Schneier è cautamente scettico.
In Svizzera il bilancio ufficiale è molto modesto, anche se Angelo Consoli sospetta che non tutto sia stato messo in luce adeguatamente. Per sapere quali e quanti sono i siti colpiti è possibile fare una prima ricognizione sommaria usando semplicemente Google per trovare i siti che espongono a Internet pagine Web cifrate da Wannacry, i cui file hanno quindi l’estensione wcry, come in questo esempio:
intitle:”index of” “WNCRY” site:.ch
Per cercare in altri paesi o domini di primo livello basta sostituire ch con il dominio corrispondente (per esempio it o fr o com). In Svizzera, per esempio, emerge Cash-Xpress, il cui sito pre-attacco è archiviato qui presso Archive.org e oggi versa in condizioni molto tristi:
Per una scansione più profonda occorrono altre tecniche: per esempio, si può usare Shodan per cercare i sistemi che hanno lasciato aperta verso Internet la porta 445 (un requisito per essere infettabili via Internet), dando i parametri port:445 country:ch (dove ovviamente al posto di ch si può specificare un altro paese oppure non specificare nulla e ottenere una mappa come quella mostrata in cima a questo articolo).
Combinando i dati raccolti da Shodan con questo script per nmap si può verificare quali di questi siti imprudentemente aperti sono effettivamente vulnerabili a Wannacry (perché usano Windows e non hanno installato gli aggiornamenti di Microsoft). Prima di farlo, naturalmente, verificate attentamente la legalità di effettuare una scansione di questo genere.
Secondo dati che mi sono stati forniti da chi ha fatto questo genere di scansione, al 15/5 c’erano in Svizzera circa 3000 indirizzi IP con porta 445 (SMB) aperta verso Internet e ancora ieri una trentina di questi erano vulnerabili a Wannacry; in Italia al 18/5 c’erano circa 15.000 indirizzi con porta 445 aperta, dei quali 247 ieri risultavano vulnerabili a Wannacry. I dati completi di questa scansione, con i domini corrispondenti agli indirizzi IP attaccabili, sono a disposizione delle autorità di sicurezza informatica dei rispettivi paesi qualora li trovassero utili: basta chiedermeli.
Intanto viene segnalato un altro malware che sfrutta la falla di Windows usata da Wannacry:
Prepare to laugh- “regdrv.exe” delivered via SMB EternalBlue exploit, adds “Security Fix” rule disabling SMB (and talks to server in Russia) pic.twitter.com/2DN3M835eU
La tempesta, insomma, non è ancora passata e già si parla della prossima ondata: fra i grimaldelli informatici sottratti all’NSA ci sono infatti altri malware, come per esempio EsteemAudit, che si propaga in modo analogo a Wannacry attraverso le connessioni condivise di sistemi Windows non aggiornati (Financial Times; Fortinet).
Mikko Hyppönen di F-Secure spiega molto bene la dinamica di funzionamento e diffusione di Wannacry in questo video:
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/05/17 18:00.
Stamattina sono stato ospite telefonico di Radio3 per parlare di Wannacry insieme a Carola Frediani. Se volete riascoltare i consigli e gli aggiornamenti che sono stati proposti, qui trovate il podcast. Buon ascolto.
