Vai al contenuto
Epidemia di estorsioni via computer: bollettino d’allerta per il ransomware

Epidemia di estorsioni via computer: bollettino d’allerta per il ransomware

È uno dei peggiori incubi di chiunque lavori con i computer: arrivare in ufficio al mattino e trovare che su tutti i computer campeggia un avviso che dice che tutti i dati di lavoro sono stati bloccati con una password complicatissima. Anche le copie di sicurezza sono bloccate. Per avere questa password bisogna pagare il criminale che ha infettato i computer e bloccato i dati. Questo tipo d’infezione si chiama ransomware, contrazione di ransom (riscatto in inglese) e software.

Purtroppo per molti utenti quest’incubo del ransomware sta diventando realtà, tanto da spingere MELANI, la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione Svizzera, a diramare un bollettino apposito, riferito a un tipo specifico di ransomware denominato Teslacrypt, che è stato segnalato ripetutamente a MELANI negli ultimi giorni.

Il bollettino illustra i passi principali da seguire e quelli da evitare se si è colpiti: per esempio, usare un antivirus a questo punto è inutile, perché comunque i dati restano bloccati; pagare la richiesta di riscatto è un rischio, perché non c’è garanzia che i criminali diano la password di sblocco; scollegare immediatamente da tutte le reti i computer infettati, invece, è importante per evitare che l’infezione si propaghi ad altri computer. Segnalo inoltre che per alcuni tipi di ransomware è disponibile un rimedio: un software gratuito che sblocca i dati, come quello offerto da Cisco.

La prevenzione è, come al solito, la cura migliore: il bollettino di MELANI raccomanda di creare regolarmente delle copie dei dati e di metterle su supporti che vanno scollegati dal computer subito dopo la copia dei dati; invita a essere prudenti in caso di mail inattese o da mittenti sconosciuti, le cui istruzioni non vanno eseguite; e ricorda che è vitale tenere aggiornato il sistema operativo e le applicazioni, avere un antivirus aggiornato e un firewall altrettanto al passo con i tempi.

Da parte mia aggiungo che chi non si tiene aggiornato rischia di contrarre un ransomware anche semplicemente visitando un sito, come è successo ad alcuni utenti che hanno sfogliato con vecchie versioni di Flash le pagine del sito del Reader’s Digest, che era infetto con il ransomware denominato Angler. Inoltre è importante, nelle aziende, che sia chiaro che non vi saranno sanzioni o provvedimenti verso chi ha causato l’infezione del ransomware: questo serve a evitare l’omertà e i rimedi fai da te di chi ha sbagliato e aiuta a far emergere tempestivamente il problema.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
WhatsApp, occhio alle app ricattatrici su Android

WhatsApp, occhio alle app ricattatrici su Android

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ulzimo aggiornamento: 2015/09/18 22:35.

Mi sono arrivate parecchie segnalazioni di allarmi riguardanti truffe basate su messaggi ricevuti tramite WhatsApp, come nell’immagine qui accanto. Queste truffe infettano tipicamente il telefonino dell’utente, oppure il suo computer se usa la versione Web di Whatsapp.

L’infezione, denominata Simplocker, blocca i dati dell’utente con una password complicatissima che è nota soltanto al truffatore: se l’utente rivuole accesso ai propri dati, deve pagare il truffatore, tipicamente con bitcoin. Un classico ransomware.

La cifra d’affari di questo raggiro è notevolissima, secondo una recente analisi della società di sicurezza informatica Check Point, che è riuscita a intercettare parte delle comunicazioni fra i dispositivi mobili infettati e i truffatori.

Le vittime osservate sono alcune decine di migliaia, e in media una su dieci paga il riscatto, che ammonta a 200-500 dollari. Le altre presumibilmente accettano di aver perso tutti i propri dati, se non ne hanno una copia altrove, e azzerano il telefonino per liberarsi dell’infezione. Diecimila utenti infettati, insomma, se uno su dieci decide di pagare fruttano mediamente da 200 a 500 mila dollari. E il parco potenziale di vittime è enorme: ci sono ora circa 900 milioni di utenti attivi mensili di WhatsApp.

Difendersi è relativamente semplice: l’infezione si contrae seguendo ciecamente l’invito a scaricare e installare un’app prodotta da una fonte inattendibile, che promette qualche vantaggio improbabile (per esempio una vincita o un premio) o fa minacce (c’è la versione che finge di essere l’autorità di polizia nazionale), oppure aprendo sul computer un file vCard, che normalmente contiene le coordinate d’indirizzo di una persona, per cui basta evitare questi comportamenti. Fra l’altro, Facebook (che possiede WhatsApp) ha già corretto il difetto che permetteva l’infezione dei computer.

Chi ha un dispositivo Android può proteggersi anche installandovi un antivirus; chi ha un dispositivo iOS deve semplicemente evitare di togliergli le protezioni apposite facendo per esempio un jailbreak.

Fonti aggiuntive: Ars Technica, The Register.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il malware arriva tramite la pubblicità animata anche nei siti rispettabili. Motivo in più per bloccarla e mollare Flash

Il malware arriva tramite la pubblicità animata anche nei siti rispettabili. Motivo in più per bloccarla e mollare Flash

Credit: Malwarebytes

Chi va nei bassifondi della Rete sa di cercarsi guai; ma chi visita solo siti rispettabili non si aspetta di trovarsi infettato per il solo fatto di averli consultati. Eppure è successo pochi giorni fa ai visitatori di siti per nulla truffaldini, come per esempio l’Huffington Post: alcune sue pubblicità, infatti, trasportavano codici ostili che tentavano di scaricare sui PC dei visitatori un altro malware che cifrava i dati degli utenti e poi chiedeva un riscatto in denaro per sbloccarli (ransomware).

Era rispettabile il sito; era rispettabile anche il distributore delle pubblicità (DoubleClick di Google); ed era rispettabile anche la marca reclamizzata (Hugo Boss e Hermés Paris). Non c’era nulla che potesse far pensare a una visita pericolosa. Ma l’analisi pubblicata da MalwareBytes segnala che in questa catena di società di buona reputazione s’erano inseriti dei truffatori che avevano aperto un normale account per l’inserimento in tempo reale di pubblicità e lo avevano usato per mandare ai distributori pubblicitari una finta pubblicità il cui codice veicolava un attacco basato su una falla di Adobe Flash che inizialmente non veniva riconosciuta dagli antivirus.

I criminali informatici, insomma, si fanno sempre più furbi, usando i distributori di pubblicità per disseminare i propri attacchi anche sui siti di buona reputazione. La miglior difesa è bloccare le pubblicità e i contenuti basati su Flash, per esempio disinstallando Flash oppure impostandolo in modo restrittivo come descritto in questo articolo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ransomware, danni per oltre 18 milioni di dollari

Ransomware, danni per oltre 18 milioni di dollari

Il ransomware, il software che ricatta le vittime chiedendo soldi per sbloccare l’accesso ai loro dati, cifrati da una password complicatissima generata dal criminale, fa soldi. Tanti soldi.

L’Internet Crime Complaint Center dell’FBI ha pubblicato un comunicato che fa il punto sul dilagare di questo crimine e in particolare sul successo – dal punto di vista dei criminali – di un ransomware specifico, denominato Cryptowall, che ha fatto la propria comparsa ad aprile scorso.

Sono ben 992 le vittime che hanno contattato l’FBI per lamentare di essere state attaccate da Cryptowall, con danni complessivi per oltre 18 milioni di dollari.

E questa è la proverbiale punta dell’altrettanto proverbiale iceberg, perché si presume che siano moltissime le vittime che non segnalano alle autorità di essere state prese di mira e di aver dovuto pagare il riscatto oppure di aver dovuto rinunciare per sempre ai propri dati lucchettati dai criminali.

I consigli dell’FBI per evitare questo tipo di attacco valgono in qualunque paese e sono piuttosto semplici e senz’altro meno costosi di un riscatto o di una bonifica della rete informatica aziendale: usare antivirus e firewall prodotti da società di sicurezza informatica di buona reputazione e tenerli aggiornati; fare sempre delle copie di sicurezza dei dati (custodite offline, fuori dalla rete informatica); attivare un software che blocchi i pop-up; disinstallare o limitare Flash; e soprattutto non cliccare su messaggi o allegati inattesi e non navigare con i computer di lavoro su siti non attinenti al lavoro.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Occhio alla pornotruffa che blocca il computer

Occhio alla pornotruffa che blocca il computer

Malwarebytes segnala un’evoluzione a luci rosse del ransomware: il malware che infetta i computer, li blocca e chiede un pagamento per sbloccarli. I criminali informatici guadagnano cifre enormi con questo trucco e quindi hanno scatenato la propria creatività.

Da anni girano la finta multa delle autorità locali di polizia e le finte schermate blu di blocco del computer, ma adesso è in circolazione una variante che massimizza lo shock e il panico bloccando il browser della vittima e facendo comparire nel browser stesso immagini pornografiche accompagnate da un avviso in inglese che parla di “attività sospette” e intima di chiamare un numero di “assistenza tecnica” (in realtà gestito dai truffatori).

Purtroppo non si può chiudere la finestra del browser per far sparire il messaggio offensivo (il blocco del browser è realizzato tramite un semplice Javascript che crea un loop molto lungo o addirittura infinito che impedisce di chiudere la pagina), e così le vittime finiscono per essere disposte a tutto pur di far sparire dallo schermo le immagini invereconde e chiamano il numero dell’“assistenza tecnica”, dove trovano dei complici dei criminali che li invitano a scaricare e installare un software che consente ai truffatori di avere accesso al controllo remoto del computer. In alternativa, i truffatori convincono le vittime ad acquistare un abbonamento a servizi di protezione informatica che in realtà non fanno nulla.

La versione pornografica ha il vantaggio (dal punto di vista dei criminali) che la presenza di immagini scioccanti o imbarazzanti nel browser mette a disagio le vittime, che quindi diventano riluttanti a chiedere aiuto ad amici o tecnici.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Malware ricatta i videogiocatori

Malware ricatta i videogiocatori

Il ransomware è una delle invenzioni più redditizie del crimine informatico: è un programma ostile che induce la vittima a pagare del denaro ai criminali. Uno dei metodi di persuasione usati dal ransomware è bloccare l’accesso ai dati della vittima cifrandoli con una password complicatissima e poi chiedere soldi per dare alla vittima la password di sblocco.

Cryptolocker, uno dei primi esempi di questo attacco informatico, è in circolazione dal 2013 e ha fatto danni principalmente tra le aziende, bloccando documenti, fogli di calcolo e fotografie; una nuova variante, invece, prende di mira anche chi gioca ai videogame.

La variante si chiama TeslaCrypt e secondo l’analisi di Bromium Labs va specificamente a caccia di oltre 40 fra giochi per PC, piattaforme di gioco e strumenti di sviluppo di giochi, come per esempio StarCraft II, WarCraft III e World of Warcraft, Bioshock 2, Call of Duty, Fallout 3, Minecraft, Dragon Age: Origins, Resident Evil 4 e l’intera piattaforma Steam. Fra gli strumenti di sviluppo, TeslaCrypt attacca per esempio RPG Maker, Unity3D e Unreal Engine.

La tecnica d’attacco è particolarmente letale: basta che la vittima visiti con Internet Explorer (versioni fino alla 11 inclusa) oppure Opera un sito infettato che contiene un componente Flash ostile che scarica e installa il malware sul computer della vittima. Ancora una volta si conferma la validità del consiglio di disattivare o disinstallare Flash, che è diventato uno dei vettori d’infezione più diffusi.

Chi si fa infettare da TeslaCrypt non ha scelta: se rivuole i propri dati, deve attingere a una copia di backup intatta oppure pagare la cifra chiesta dai criminali, perché al momento non c’è nessun metodo per scavalcare la cifratura usata da questo malware. Prudenza, quindi: anzi, prudenza e backup.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Cryptolocker, “hacker buoni” recuperano le chiavi per annullare l’estorsione

Ricordate CryptoLocker, il malware che infettava i computer, ne cifrava i dati con una password complicatissima e poi chiedeva alla vittima un riscatto in denaro (tipicamente 300 dollari) per avere la password e quindi sbloccare i dati? C’è una buona notizia: un gruppo di ricercatori è riuscito a recuperare le chiavi di cifratura usate dai criminali e a ricostruire il funzionamento del malware.

È stato creato pertanto un sito, Decryptcryptolocker.com, che permette alle vittime di recuperare la password che blocca i loro dati se non hanno pagato il riscatto e non hanno una copia di sicurezza dei dati stessi: basta mandare al sito uno dei file cifrati e un indirizzo di mail sul quale ricevere la password. Le aziende alle quali appartengono i ricercatori e il sito di recupero password sono serie, ma per prudenza è comunque meglio mandare loro soltanto documenti cifrati non riservati.

Si stima che l’attacco, che ha colpito nei mesi scorsi numerose aziende in tutto il mondo, abbia fruttato ai suoi creatori circa 3 milioni di dollari e che l’1,3% degli utenti ha scelto di pagare il riscatto.

Risolto il problema di Cryptolocker, però, i criminali si sono rimessi al lavoro e sono in circolazione nuove varianti di malware che usano la stessa tecnica di cifrare i dati della vittima e chiedere un riscatto, come segnalato in dettaglio dalla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI della Confederazione: è già in giro, per esempio, SynoLocker, che però prende di mira soltanto i dispositivi NAS collegati a Internet della Synology, che sono molto diffusi e sono un bersaglio ghiotto perché normalmente custodiscono grandi quantità di dati che gli utenti considerano preziosi. Synology ha già predisposto un aggiornamento che riduce il danno e MELANI fornisce chiare istruzioni in italiano su come procedere e prevenire il problema.

Le regole di sicurezza sono comunque le solite: fate periodicamente una copia separata, scollegata da Internet, di tutti i dati che volete proteggere e fate attenzione a qualunque messaggio contenente allegati, anche se sembra provenire da mittenti apparentemente attendibili. Questi malware si diffondono infatti quasi sempre tramite allegati in formato Word o PDF il cui mittente è stato falsificato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
“Oleg Pliss” blocca iPhone, iPod e iPad, poi chiede riscatto per sbloccarli

“Oleg Pliss” blocca iPhone, iPod e iPad, poi chiede riscatto per sbloccarli

Numerosi utenti, principalmente in Australia e negli Stati Uniti, si sono trovati con gli iPhone, iPad e iPod touch bloccati da un messaggio che chiede un riscatto di cinquanta o cento dollari o euro per sbloccarli. La richiesta è accompagnata dall’avviso “Device hacked by Oleg Pliss”. Il riscatto va inviato, stando alle istruzioni, a un indirizzo di mail di Hotmail, usando un codice di sistemi di pagamento online come Moneypack, Ukash o PaySafeCard; in altri casi va inviato a un account PayPal, che però risulta inesistente.

Il trucco usato in questo caso è particolarmente crudele: il fantomatico Oleg Pliss, infatti, utilizza alla rovescia la funzione Trova il mio iPhone (o iPad o iPod) offerta da Apple. Normalmente questa funzione viene usata quando il dispositivo viene smarrito o rubato e il proprietario vuole bloccarlo in modo da renderlo inservibile o perlomeno bloccare l’accesso ai dati contenuti nel dispositivo stesso. Oleg Pliss, invece, ha trovato il modo di attivare quest’antifurto (probabilmente violando gli account iCloud degli utenti) e di bloccare il dispositivo con un codice di sblocco che solo lui conosce, potendo così chiedere un riscatto per rivelare al legittimo proprietario il codice in questione.

Se vi capita un attacco di questo tipo, potete provare a cambiare i dati dell’Apple ID associato al dispositivo. Un’altra strada è fare un azzeramento del dispositivo, con conseguente perdita dei dati se non ne avete una copia di scorta.

La prevenzione, invece, richiede l’uso di password lunghe e uniche sugli account iCloud e l’attivazione della verifica in due passaggi (o autenticazione a due fattori, che impedisce a un aggressore di cambiare le impostazioni se viola un account): due precauzioni che è comunque saggio adottare a prescindere da questo attacco specifico.


Fonti: Sophos, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Allarme per Cryptolocker, virus che ti cifra i dati e chiede un riscatto per decifrarli

Sullo schermo compare un avviso: tutti i tuoi dati sono stati cifrati con una password che non conosci. Se la vuoi conoscere, paga. Se non paghi entro la scadenza, i tuoi dati resteranno inaccessibili per sempre. È l’effetto di Cryptolocker, un malware che sta facendo danni in tutto il mondo ed è una vera e propria estorsione informatica. Se non avete un backup offline dei vostri dati, createne uno. I dettagli sono in questo mio articolo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.