Vai al contenuto
Ransomware causa tilt dei trasporti a San Francisco. L’aggressore si scusa

Ransomware causa tilt dei trasporti a San Francisco. L’aggressore si scusa

Credit: San Francisco CA

Ultimo aggiornamento: 2016/12/06 15:20.

Pochi giorni fa a San Francisco si sono viste scene degne di un film cybercatastrofico: su tutti i monitor della rete metropolitana leggera è comparso un avviso molto eloquente, anche se in inglese sgrammaticato: “You hacked” (sic).

La metropolitana della città è stata infatti colpita da un attacco informatico che ha mandato in tilt i sistemi di pagamento e di gestione dei biglietti. Ma a differenza dei film hollywoodiani, non c’è stata alcuna paralisi del traffico o crisi di panico, perché i gestori hanno saggiamente deciso di aprire tutti i cancelli e lasciare che tutti viaggiassero gratuitamente.

L’attacco chiedeva un riscatto per sbloccare i dati, secondo l’ormai consueta tecnica del ransomware. Ma diversamente da quello che succede di solito, l’aggressore, noto soltanto con lo pseudonimo cryptom27, si è scusato pubblicamente in un messaggio, spiegando che non aveva alcuna intenzione di attaccare la metropolitana leggera di San Francisco: il suo ransomware aveva lavorato automaticamente, vagando per Internet, e si era imbattuto per caso nei circa 2000 server o PC della metropolitana che erano infettabili perché non aggiornati e inadeguatamente protetti.

we don’t attention to interview and propagate news ! our software working completely automatically and we don’t have targeted attack to anywhere ! SFMTA network was Very Open and 2000 Server/PC infected by software ! so we are waiting for contact any responsible person in SFMTA but i think they don’t want deal ! so we close this email tomorrow!

Un ladro gentiluomo o quasi, insomma, che viola i computer altrui e fa ricatti ma non vuole causare disagi ai pendolari.  Il problema è stato poi risolto senza pagare il riscatto, ripristinando i dati da una copia di scorta, e nel giro di 48 ore la metropolitana è tornata alla piena operatività.

Già così la vicenda sarebbe bizzarra, ma non è finita: infatti qualcuno ha attaccato informaticamente l’aggressore, ha preso il controllo di due dei suoi account di posta e poi ne ha passato il contenuto all’esperto di sicurezza Brian Krebs.

Questo ha permesso di vedere, una volta tanto, dietro le quinte di come lavora un criminale online: sarà anche gentiluomo, in questo caso, però si è visto che ha chiesto e ottenuto riscatti da 20 bitcoin e oltre (circa 14.000 euro o franchi svizzeri) da decine di aziende sparse per il mondo, offrendo addirittura anche assistenza tecnica alle vittime (sempre a pagamento).

Proteggersi da questo genere di attacco con riscatto è abbastanza semplice: basta leggere, per esempio, i consigli approntati a questo scopo dalla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI. In sintesi: fate sempre una copia dei vostri dati su un supporto non collegato a Internet, così potrete recuperarli; tenete aggiornati i vostri computer; e non aprite le mail inattese, specialmente se includono allegati. Certi gentiluomini è meglio non incontrarli affatto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Sgominata la rete internazionale di criminali informatici Avalanche

Sgominata la rete internazionale di criminali informatici Avalanche

Buone notizie, una volta tanto, sul fronte della lotta al crimine informatico. La rete informatica di criminali denominata Avalanche, composta da centinaia di server sparsi per il pianeta messi a disposizione a noleggio dei malviventi per compiere attacchi che hanno colpito fino a mezzo milione di computer al giorno con infezioni, phishing, milioni di mail infette e altre delizie di questo genere, non esiste più.

Il 30 novembre scorso è stata infatti compiuta un’operazione di polizia coordinata a livello internazionale che ha liquidato Avalanche, compiendo cinque arresti, sequestrando 39 server, disattivandone altri 221, perquisendo 37 sedi e chiudendo ben 830.000 siti ostili.

Avalanche era una rete decisamente sofisticata, capace di cambiare ogni cinque minuti gli indirizzi IP associati a un nome di dominio e altre acrobazie anti-tracciamento, secondo la tecnica denominata double fast flux (infografica semplificata; infografica tecnica).

All’operazione hanno collaborato Europol, FBI, Eurojust e altre agenzie di una trentina di paesi, fra cui Armenia, Australia, Austria, Azerbaigian, Belgio, Belize, Bulgaria, Canada, Colombia, Finlandia, Francia, Germania, India, Italia, Lituania, Lussemburgo, Norvegia, Paesi Bassi, Polonia, Regno Unito, Romania, Singapore, Stati Uniti, Svezia, Taiwan, Ucraina e Ungheria. L’operazione conclude un’indagine avviata nel 2012 dalla polizia tedesca sulla provenienza di una serie di attacchi di ransomware.

Ovviamente l’eliminazione della rete di controllo e infezione non ripulisce i computer infetti degli utenti che sono finiti fra le vittime di Avalanche, ma già sapere che questa rete sofisticata non danneggerà più nessuno è un consistente passo avanti verso un’Internet più pulita.

Ultimo aggiornamento: 2016/12/03 15:45. Fonti: Europol, Justice.gov, National Crime Agency, Engadget, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aiuto, un virus ha preso in ostaggio i miei dati e vuole soldi per ridarmeli: cosa posso fare?

Aiuto, un virus ha preso in ostaggio i miei dati e vuole soldi per ridarmeli: cosa posso fare?

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/05/19 8:20.

Questa settimana mi è arrivata una pioggia di segnalazioni di persone e aziende messe in ginocchio da un particolare ricatto informatico: sul loro computer compare un avviso, solitamente in inglese, che comunica che tutti i loro dati (foto, musica, contabilità, fatture, progetti, lavori per la scuola) sono stati cifrati da ignoti con una password e che per avere questa password bisogna pagare un riscatto.

Questo è quello che in gergo si chiama ransomware. Ne ho già parlato in passato, segnalando per esempio il bollettino di MELANI, la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione Svizzera, ma visto che l’epidemia prosegue e ci sono delle novità tecniche è il caso di scrivere una spiegazione dettagliata.

Cosa posso fare?

Per prima cosa, spegnete subito il computer sul quale è comparso l’avviso e spegnete tutti gli altri computer presenti sulla stessa rete informatica. Non perdete tempo. Il computer sul quale c’è l’avviso va spento brutalmente, staccando la spina o azionando il suo interruttore principale, senza spendere tempo a chiudere ordinatamente: quel computer sta probabilmente tentando di infettare gli altri computer della rete. Se non volete moltiplicare il problema, isolatelo più in fretta che potete.

Se avete una copia di sicurezza dei dati su un disco rigido collegato in rete, scollegatela immediatamente dalla rete staccando il cavo o spegnendo il Wi-Fi. Molti ransomware esplorano la rete locale e tentano di infettare e cifrare tutti i dispositivi che trovano, specialmente quelli di backup, in modo che non possiate ripristinare i vostri dati e sventare il ricatto.

Non riaccendete nulla fino a quando avete staccato il cavo di collegamento alla rete locale o spento il Wi-Fi per mantenere l’isolamento, e comunque riaccendete soltanto quando è sul posto uno specialista informatico che vi dirà se, come e quando riaccendere. Non cancellate nulla dai computer colpiti.

Chiedete allo specialista di creare una copia integrale dei dischi rigidi dei computer infetti, ma senza avviarli. Di solito questo si fa estraendo fisicamente i dischi dai computer oppure usando appositi dischi/chiavette di avvio. È importante non copiare i singoli file ma creare un’immagine completa (di solito si crea una immagine ISO). Questa copia serve nel caso che in seguito venga scoperta una tecnica di decifrazione o venga rilasciata la chiave di decifrazione universale (a volte succede); se l’avete, potrete recuperare i dati, magari tra qualche mese.

Posso rimediare io? Mi serve davvero un tecnico?

Se non siete più che esperti e più che previdenti, non potete rimediare da soli (e se siete stati infettati da un ransomware, probabilmente è perché non siete sufficientemente esperti e non siete stati abbastanza previdenti). Tenete presente che questi ransomware sono scritti da professionisti del crimine: di solito sanno quello che fanno ed è difficile batterli.

Non perdete tempo e non cercate di risparmiare soldi con il fai da te: rischiate di perdere per sempre tutti i vostri dati. Non usate un antivirus dopo che è avvenuto l’attacco: non serve a nulla e rischia di peggiorare la situazione cancellando la parte del virus che serve per ripristinare i dati se pagate il riscatto. Chiamate uno specialista. Alcuni di questi ransomware hanno dei difetti che consentono il recupero dei dati: un bravo specialista sa come intervenire.

Se avete una copia di sicurezza di tutti i vostri dati essenziali, potete formattare i computer colpiti, reinstallare il sistema operativo e ripristinare i dati da questa copia. Se non l’avete, ora sapete perché gli esperti raccomandano sempre di averne almeno una.

Se siete dipendenti e vi accorgete del ransomware sul posto di lavoro, chiamate subito l’assistenza informatica e non vi preoccupate che qualcuno vi possa dare la colpa dell’infezione: se cercate di nascondere il problema non farete altro che peggiorarlo e probabilmente alla fine scopriranno il vostro tentativo d’insabbiamento, aggravando la vostra posizione.

Se siete datori di lavoro o dirigenti, vi conviene annunciare subito che non ci saranno sanzioni, in modo da avere la massima collaborazione dei dipendenti.

Mi conviene pagare?

Mi spiace dirlo, ma probabilmente sì; se non avete una copia dei vostri dati, vi conviene pagare il riscatto e imparare la lezione. Valutate quanto valgono i dati che sono stati cifrati e quanto vi costerebbe ricrearli (ammesso che sia possibile) o non averli più. Consolatevi: l’amministrazione pubblica del Lincolnshire, nel Regno Unito, è stata paralizzata da un ransomware che chiedeva un milione di sterline (1,4 milioni di franchi, 1,3 milioni di euro) di riscatto.

Se pagate, non è detto che otterrete la password di sblocco dei vostri dati: dopotutto state trattando con dei criminali. Ma di solito ai criminali che vivono di ransomware conviene che si sappia che le vittime che pagano il riscatto ricevono la password di sblocco: se si diffondesse la voce che pagare è inutile nessuno pagherebbe più.

Conviene inoltre decidere rapidamente se pagare o no, perché molti ransomware aumentano l’importo del riscatto se si lascia passare troppo tempo. Di solito non c’è modo di trattare con i criminali che gestiscono il ransomware perché non c’è un indirizzo da contattare e comunque si tratta di bande che lavorano all’ingrosso, per cui voi siete probabilmente solo una delle loro tante vittime e loro non hanno tempo da perdere in trattative: prendere o lasciare.

Che prevenzione posso fare?

La miglior forma di prevenzione è fare il più spesso possibile una copia di scorta di tutti i dati essenziali e tenerla fisicamente isolata da Internet e dalla rete locale quando non è in uso. Evitate le soluzioni di backup permanentemente connesse alla rete locale: verrebbero infettate e rese inservibili.

Tenere aggiornato il computer è fondamentale. La maggior parte dei ransomware si insedia sfruttando difetti delle versioni non aggiornate di Flash (come descritto qui), di Java, del browser o di Windows. Se possibile, comunque, Flash va rimosso o disabilitato, perché si è rivelato un colabrodo nonostante i continui aggiornamenti correttivi.

Usare un antivirus aggiornato è meglio di niente ma non garantisce l’invulnerabilità: l’antivirus bloccherà i ransomware meno recenti ma non riconoscerà quelli appena usciti.

Adottare un firewall efficace è molto utile, specialmente se consente di filtrare i tipi di file in arrivo, bloccando per esempio i file ZIP o PDF o JAR.

Usare Mac OS o Linux invece di Windows riduce il rischio, perché la maggior parte dei ransomware è scritta per Windows, ma non vuol dire che un utente Apple o Linux possa considerarsi immune: sono in circolazione ransomware scritti in Java, che funzionano su tutti i sistemi operativi che supportano Java.

È importante diffidare degli allegati ai messaggi. Anche se il mittente è qualcuno che conosciamo, se l’allegato è inatteso o se il testo del messaggio non è nello stile solito del mittente è meglio non aprire gli allegati, neanche se si tratta di documenti PDF o di file ZIP. Spesso i ransomware scavalcano le difese rubando le rubriche di indirizzi di mail, per cui le vittime ricevono mail infette provenienti da indirizzi di utenti che conoscono e di cui si fidano. Prima di aprire qualunque allegato, di qualunque provenienza, è meglio fermarsi a pensare: c’è qualcosa di sospetto? Mi aspettavo questo allegato? Posso chiamare il mittente al telefono e chiedergli se mi ha davvero mandato un allegato?

Visitare solo siti sicuri e attinenti al lavoro è una buona cautela, ma non significa che ci si possa fidare ciecamente. Evitare i siti discutibili, per esempio quelli pornografici o che ospitano app piratate o film e telefilm, riduce molto il rischio ed è saggio anche a prescindere dal ransomware, ma molti siti rispettabilissimi possono ospitare e disseminare questo tipo di attacco. In questi giorni, per esempio, è stato segnalato un numero molto elevato di siti normali, basati su WordPress, che ospitano inconsapevolmente delle varianti di ransomware.

A parte questi rimedi tecnici, è indispensabile che ci sia un comportamento sensato e prudente da parte di tutti gli utenti. Aprire allegati ricevuti inaspettatamente, visitare siti di gioco o di film o pornografici dal computer di lavoro, non stare aggiornati sono tutte abitudini diffuse che vanno abbandonate, in modo da creare terra bruciata intorno ai criminali. Soprattutto non bisogna cadere nell’errore di pensare che tanto a noi non capita: infatti il ransomware viene disseminato a caso e quindi può colpire chiunque, dal privato all’azienda all’ente pubblico. E come tutti i guai, anche il ransomware è sempre il problema di qualcun altro fino al momento in cui colpisce noi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuova rivincita contro il ransomware: al posto del malware un avviso “educhescional”

Nuova rivincita contro il ransomware: al posto del malware un avviso “educhescional”

Credit: F-Secure.

Mi capita spesso di segnalare crimini informatici spettacolari, ma ogni tanto posso annunciare con piacere un anticrimine altrettanto notevole.

Poco tempo fa ho segnalato che una delle reti di disseminazione del ransomware Locky, uno dei più diffusi al mondo, era stata bloccata da un attacco informatico che aveva sostituito il malware con una semplice dicitura innocua “Stupid Locky”: adesso una sorte molto simile è toccata a un altro canale di diffusione di Locky.

Sembra proprio che i grey hat, gli “hacker buoni” che però commettono anche atti formalmente illegali e quindi non sono né bianchi né neri ma grigi, si siano messi d’impegno per tentare di debellare il filone altamente remunerativo dei ransomware.

Nel caso segnalato da Sean Sullivan, della società di sicurezza finlandese F-Secure, ignoti hanno violato un sito di disseminazione di Locky e hanno modificato l’allegato Javascript che di solito contiene il malware. Al suo posto hanno messo un avviso in inglese che compare sullo schermo della vittima e tenta di educarla a cambiare comportamenti: “Stai leggendo questo messaggio perché hai aperto un file ostile. Per la tua sicurezza, non aprire gli allegati sconosciuti”. Sante parole.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

TeslaCrypt, pubblicata la chiave universale di sblocco

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ora mi manca il tempo di scriverne in dettaglio, quindi vado all’essenziale: BleepingComputer ha annunciato che è disponibile la chiave di decifrazione master del ransomware TeslaCrypt. Se avete un computer bloccato da TeslaCrypt potete sbloccarlo senza pagare riscatti.

Se siete stati colpiti da TeslaCrypt in passato e avete conservato una copia dei dati cifrati, ora potete recuperarli.

Info aggiuntive sono su The Register.

Oggi, fra l’altro, in Svizzera si tiene la Giornata nazionale di sensibilizzazione contro i ransomware, indetta dalla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Rivincita contro il ransomware: intrusi buoni bloccano i criminali

Rivincita contro il ransomware: intrusi buoni bloccano i criminali

Il ransomware si è rivelato estremamente redditizio per i criminali informatici: moltissimi utenti che non prendono precauzioni (ossia che non fanno un backup offline dei propri dati e aprono disinvoltamente qualunque allegato ricevuto via mail) si trovano con il computer infetto e sono costretti a pagare un riscatto via Internet per riavere accesso ai propri dati, bloccati da una password complicatissima nota soltanto ai criminali. L’alternativa è perdere tutto, e se i dati sono aziendali o professionali questo implica spesso dover chiudere l’attività, con i danni che ne conseguono.

Di solito mi tocca raccontare l’ennesima storia di vittime che hanno perso tutto, ma stavolta c’è una buona notizia: uno dei ransomware più diffusi al mondo (secondo le analisi di Fortinet), denominato Locky, è stato sgominato almeno temporaneamente da un’incursione di white hat (o “hacker buoni”) che si sono infiltrati in uno dei server che controllano Locky e hanno sostituito il suo carico infettante, quello che viene iniettato nei computer delle vittime, con un contenuto innocuo.

La società di sicurezza informatica Avira, infatti, spiega che Locky funziona in questo modo: i criminali che gestiscono Locky mandano alle vittime delle mail che sembrano delle fatture o degli avvisi di scadenza di pagamenti importanti (per esempio multe). A queste mail sono allegati dei file ZIP che contengono un Javascript. Se l’utente apre l’allegato e il suo computer è impostato per eseguire automaticamente i Javascript ricevuti via mail da Internet (cosa che non dovrebbe fare ma che spesso avviene), questa esecuzione scarica dal server dei criminali un programma che inizia la cifratura dei dati della vittima.

Gli intrusi buoni hanno sostituito questo programma con un testo semplice che contiene le parole “STUPID LOCKY”, chiara presa in giro dei criminali, così bravi a entrare nei computer altrui ma non altrettanto bravi a impedire agli altri di entrare nei loro sistemi informatici. Di conseguenza, chi cade nella trappola di Locky non scarica nulla di pericoloso e quindi si salva.

Quanto durerà questa paralisi dei misfatti di Locky? Probabilmente non molto a lungo: i criminali dovranno riorganizzare le proprie difese. Ma almeno per un po’ questo ransomware non potrà fare vittime. Nel frattempo, visto che l’attacco colpisce principalmente gli utenti Windows, vale la pena di dare un’occhiata ai consigli di Microsoft su come difendersi dalle mail contenenti Javascript.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Furti di dati personali, ma che male può capitare? Questo

Furti di dati personali, ma che male può capitare? Questo

In occasione di incursioni informatiche che rendono pubblici dati personali, come è capitato di recente con vari portali di ricerca di lavoro in Italia e in Ticino, capita spesso di sentire utenti liquidare l’incidente con un’alzata di spalle e l’obiezione “Cosa vuoi che se ne facciano dei miei dati personali? Non c’è niente di compromettente”.

In realtà i criminali informatici hanno un uso perfetto per questi dati personali: creare false mail infettanti perfettamente credibili, alle quali la vittima abbocca. La maggior parte dei messaggi-esca dei truffatori, quelli che fingono di provenire da banche o da servizi online e invitano a cliccare su un link per mettere in regola il proprio account o a scaricare un allegato contenente virus, è facilmente riconoscibile: è scritta in italiano traballante (o addirittura in altre lingue), è intestata a un generico “gentile utente” e contiene espressioni che una banca o un servizio online difficilmente userebbe. L’utente riconosce la trappola e cancella il messaggio senza seguirne le istruzioni.

Ma i furti di dati personali consentono di fabbricare mail di phishing estremamente personalizzate. Una falsa mail di un’agenzia di riscossione crediti, o di un corriere di spedizioni che vi avvisa di un pacco da ritirare, che riporti il vostro nome, cognome e indirizzo di casa o di lavoro ha buone probabilità di sembrare abbastanza credibile da stuzzicare la vostra curiosità e farvi aprire l’allegato. E a quel punto il danno è fatto.

Questa è la tecnica letale usata da un attacco informatico segnalato da Naked Security: una mail-trappola che riporta nome e cognome della vittima insieme al suo indirizzo postale e porta le sue vittime a scaricare un finto documento che è in realtà un ransomware per Windows, denominato Maktub, che blocca i dati delle vittime con una password complicatissima e poi chiede un riscatto in denaro per fornire questa password.

Per evitare di finire in trappole come queste conviene adottare una regola generale: non cliccare mai su un link in un messaggio di questo genere e non scaricare e aprire eventuali allegati, ma usare un altro canale (per esempio una telefonata) per verificare che il messaggio sia autentico, cliccando o aprendo solo dopo che questo controllo ha dato esito positivo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Difendersi dal ransomware: bloccare le macro di Microsoft Word

Il ransomware sta facendo danni a privati e aziende: arriva sotto forma di allegato dall’aria innocua e poi mette una password su tutti i dati, chiedendo un riscatto in Bitcoin per rivelare la password usata. Chi non paga e non ha un backup perde tutto.

Naked Security segnala che uno dei trucchi usati dai criminali per infettare i computer è inviare via mail un allegato costituito da un documento Microsoft Word, che come tale viene considerato innocuo. Ma i documenti Word possono contenere delle macro, che eseguono automaticamente varie istruzioni che scatenano il malware vero e proprio scaricandolo da Internet.

Non conviene bloccare tutte le macro indistintamente, perché molti documenti legittimi le usano: ma nella versione 2016 di Office è possibile bloccare selettivamente le macro provenienti da Internet e lasciare attive tutte le altre usando un’apposita opzione, che si controlla tramite Group Policy (Criteri di Gruppo) e quindi va affidata all’amministratore di sistema. L’opzione si chiama, piuttosto intuitivamente, Block macros from running in Office files from the Internet (“Blocca l’esecuzione di macro nei file Office provenienti da Internet”), ed è descritta da Microsoft qui su Technet.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Spaventati per il malware che ricatta gli utenti Mac? Ma anche no

Spaventati per il malware che ricatta gli utenti Mac? Ma anche no


Pochi giorni fa è stato messo in circolazione il primo ransomware per computer Apple: ignoti sono entrati nei server del sito che ospita Transmission, una popolare app per scaricare file con il protocollo Bittorrent, e vi hanno collocato una versione infetta dell’app. Chi la scaricava e installava sul proprio Mac rischiava di trovarsi tre giorni dopo con tutti i dati bloccati da una password che veniva concessa soltanto dietro pagamento di un riscatto pari a un bitcoin (circa 400 dollari).

La vicenda è interessante perché si tratta del primo ransomware che colpisce gli utenti Mac, molti dei quali si sono improvvisamente resi conto di non essere invulnerabili come proclama una diffusa mitologia, e perché i criminali hanno preso il controllo di un sito normalmente affidabile e l’hanno usato per diffondere la loro app infettante, che è stata battezzata KeRanger. Hanno inoltre firmato digitalmente l’app con un certificato di sviluppo valido, cosa insolita che ha consentito all’app di superare le normali protezioni dei Mac (che solitamente accettano di installare soltanto app che hanno questa certificazione di autenticità).

Un attacco sofisticato, insomma. Ma quanti danni ha fatto? Secondo le prime analisi degli esperti, pochi. L’app infetta è stata rimossa dal sito quasi subito e sostituita con una versione pulita. Si stima che la versione infetta sia stata scaricata circa 6500 volte, per cui non siamo di fronte a un’infezione su vasta scala. Chi non ha scaricato Transmission il 4 o 5 marzo scorso non corre alcun rischio da KeRanger.

Inoltre Apple ha revocato prontamente il certificato di sviluppo usato per firmare l’app infetta e ha aggiornato automaticamente il sistema antimalware dei Mac affinché rilevi KeRanger. Di conseguenza, oggi un utente per infettarsi dovrebbe:

– andare a cercare in qualche sito di software pirata una copia di Transmission (cosa priva di senso, visto che Trasmission è liberamente scaricabile dal sito originale)
– scaricare una copia di Transmission che è infetta
– disattivare tutte le principali protezioni del Mac per installarla.

Questo non vuol dire che il pericolo è passato definitivamente, perché la stessa tecnica potrebbe essere usata in futuro su scala più vasta e con effetti molto più estesi. Stavolta è andata bene, ma è meglio cogliere l’occasione per imparare che l’invulnerabilità in informatica è soltanto un mito diffuso dal marketing. Anche per gli utenti Mac.

Fonti: Kaspersky, Ars Technica, TechCrunch, Palo Alto Networks

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ospedale USA paga 17.000 dollari di riscatto per riavere i propri dati

Ospedale USA paga 17.000 dollari di riscatto per riavere i propri dati

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/02/19 23:25.

Il ransomware si sta rivelando una forma di attacco informatico tristemente efficace nel portar via soldi alle vittime: dagli Stati Uniti arriva la notizia che un ospedale, il Hollywood Presbyterian Medical Center, è stato preso in ostaggio da un ransomware che ne ha paralizzato i sistemi informatici al punto che è stato necessario tornare a registrare i pazienti su carta e recuperare le cartelle cliniche cartacee e la rete informatica è rimasta ferma per oltre una settimana.

Alla fine, dopo dieci giorni di paralisi, i dirigenti dell’ospedale si sono arresi e hanno pagato il riscatto ai criminali che gestivano il ransomware: 40 bitcoin, che al cambio attuale sono circa 17.000 dollari. Il presidente e CEO dell’ospedale ha detto che “il modo più rapido ed efficiente per ripristinare i nostri sistemi e le nostre funzioni amministrative era pagare il riscatto e ottenere la chiave di decifrazione”. È andata tutto sommato bene, visto che la richiesta iniziale di riscatto era di circa 3,6 milioni di dollari [2016/02/19 23:25: questo importo è stato smentito in un comunicato dell’ospedale].

L’attacco con ransomware a un’azienda o a un’istituzione sembra essere la moda del momento fra i criminali, probabilmente perché è più remunerativo rispetto all’attacco a privati: un altro esempio arriva sempre dagli Stati Uniti, in questo caso da Conway, nel South Carolina, dove la rete informatica scolastica delle Horry County Schools è stata colpita con la stessa tecnica che ha messo in ginocchio l’ospedale californiano: buona parte dei dati cifrati dagli aggressori è stata recuperata dai backup, ma resta una ventina di server che ancora contengono file presi in ostaggio, per cui gli amministatori hanno stanziato 8500 dollari per pagare la richiesta di riscatto. I responsabili della rete scolastica hanno detto che sono disposti a pagare perché si tratta di una cifra modesta rispetto alle ore-uomo già sprecate nel tentativo (vano) di risolvere il problema.

Fonti: Ars Technica, Wbtw.com, Los Angeles Times, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.