E’ su tutti i quotidiani e magazine online la famosissima notizia dell’attacco hacker eseguito alla regione Lazio che ha causato seri danni alla sanità nazionale. Alcuni malintenzionati hanno criptato tutti i dati situati su di un server che gestisce soprattutto le vaccinazioni. Si contano sulle dita i file esonerati dall’attacco.
Ma diamo un importanza a quanto accaduto. Non siamo una testata giornalistica. Sapete che tale situazione è davvero alla portata di tutti?
Mi chiamo Michele, sono un tecnico informatico specializzato in sistemistica di reti. Ogni giorno aiuto il prossimo nella risoluzione delle problematiche informatiche. MeleTech è il mio tutto, la mia passione, il mio piccolo blog, la mia professionalità dimostrata giorno dopo giorno a tutti i visitatori.
L’attacco subito dalla ragione Lazio fa parte di un tentativo ben più che riuscito di phishing. La scintilla di quanto accaduto è un ramsoware. Tranquilli non è una parolaccia ma una tipologia di virus da pochissimo comune per le medie e grandi imprese ma anche per i comuni utenti. I ransomware sono virus informatici che rendono inaccessibili i file dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli.
Con la parola ransomware viene indicata una classe di malware che rende inaccessibili i dati dei computer infettati e chiede il pagamento di un riscatto, in inglese ransom, per ripristinarli. Tecnicamente sono trojan horse crittografici e hanno come unico scopo l’estorsione di denaro, attraverso un “sequestro di file”, attraverso la cifratura che, in pratica, li rende inutilizzabili.
Al posto del classico sfondo vedremo comparire un avviso che sembra provenire dalla polizia o da un’altra organizzazione di sicurezza e propone un’offerta. In cambio di una password in grado di sbloccare tutti i contenuti, intima di versare una somma di denaro abbastanza elevata (in genere erano sotto i 1.000 dollari fino a qualche anno fa, ma negli ultimi anni sono saliti anche fino a milioni di dollari): in genere il riscatto viene richiesto in criptovaluta (Bitcoin, ma non solo).
Per questo motivo i ransomware rappresentano un attacco che si rivela pressoché immediatamente, perché l’obiettivo dei cyber criminali è quello di batter cassa. In questo senso si differenzia dai più sofisticati attacchi APT (Advanced Persistent Threat), il cui scopo è quello di persistere nel sistema attaccato il più a lungo possibile.
Gli hacker per portare a termine con successo tale attacco, hanno sempre bisogno di tutti noi. Non sono mica dei maghi. Anche se non lo ammetteremo mai, se siete vittima di un attacco simile e perchè nell’arco del mese precedente alla richiesta di riscatto avete eseguito un azione poco “sana” nell’uso quotidiano del computer.
Cosa si intende per poco sana?
Le email di phishing (che ci invitano a cliccare su un determinato link o a scaricare un certo file) continuano ad essere la modalità più diffusa, che sfrutta la scarsa attenzione e la mancanza di consapevolezza degli utenti.
Spesso il messaggio di posta elettronica che viene mascherata in modo che risulti inviata da qualcuno di cui ci fidiamo, ad esempio un collega di lavoro (con la tecnica nota come “spoofing”). In altri casi, cybercriminali sfruttano vulnerabilità presenti nei vari programmi – come Java, Adobe Flash o nei diversi sistemi operativi.
In quest’ultimo caso, il software malevolo si propaga in maniera autonoma senza che l’utente debba compiere alcuna azione.
I vettori d’infezione utilizzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware:
- Il più diffuso, perché purtroppo continua a funzionare molto bene, sono le email di phishing: attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 75% dei ransomware. A tutti noi sarà capitato di ricevere email da spedizionieri, o con false bollette allegate. Sono evidentemente e-mail di phishing, ma le statistiche ci dicono che nel 10% dei casi questi messaggi vengono aperti dagli utenti ed addirittura, secondo il Verizon Data Breach Investigation Report, in circa il 2-5% dei casi vengono cliccati anche gli allegati o i link presenti nelle email permettendo così l’infiltrazione del malware.
- Attraverso la navigazione su siti compromessi: il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa) da siti nei quali sono stati introdotti, da parte di attaccanti che sono riusciti a violare il sito o che hanno realizzato appositamente siti fake simili ad altri più noti, exploit kit che sfruttano vulnerabilità dei browser, di Adobe Flash Player, Java o altri. I cybercriminali compromettono ed infettano (con JavaScript, HTML, exploit) i siti visitati dalle potenziali vittime. In questo caso muta lo scenario poiché è la vittima ad andare nel sito infetto e non l’attaccante a sollecitarne la visita attraverso una email. Si presentano, per esempio come banner pubblicitari o pulsanti che ci invitano a cliccare. A quel punto verremo indirizzati su siti malevoli, diversi dall’originale, ove avverrà il download del malware.
- Usando un supporto rimovibile, per esempio una chiavetta USB contenente il software malevolo. Questa tecnica si chiama “baiting” (esca) e – così come le email di phishing – fa leva sul fattore umano e sulla curiosità delle persone. In pratica viene lasciato incustodito in un luogo comune (ingresso dell’azienda, mensa, parcheggio ecc.) un supporto di memorizzazione come una chiavetta USB o un hard disk contenenti malware (che si attiveranno appena l’oggetto sarà collegato al computer). E la curiosità umana fa sì che in molti casi questa esca (bait) funzioni e la persona inserisca la chiavetta sconosciuta nel proprio computer.
- All’interno (in bundle) di altri software che vengono scaricati: per esempio programmi gratuiti che ci promettono di “crackare” software costosi (spesso anche videogiochi) per utilizzarli senza pagare. È una pratica che oggi è diventata assai pericolosa, perché il crack che andremo a scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe essere anche una brutta sorpresa. Nei primi mesi del 2021 si segnalano campagne di ransomware che vengono veicolati attraverso versioni craccate (quindi gratuite) di noti programmi a pagamento, soprattutto Microsoft Office e Adobe Photoshop CC.
- Attacchi attraverso il desktop remoto (RDP: Remote Desktop Protocol, posizionato in genere sulla porta 3389): sono attacchi con furto di credenziali (per accedere ai server attraverso RDP e prenderne il controllo. I computer ed i server con RDP attivo ed esposti in rete sono soggetti ad attacchi mirati ad ottenere le credenziali di accesso (in genere con attacchi di tipo brute force). Una volta ottenuto l’accesso al sistema, il cyber criminale potrà eseguire varie operazioni, quali: furto di credenziali e dati e – appunto – iniezione del ransomware.
- Attraverso lo sfruttamento di vulnerabilità. Citiamo solo due casi molto famosi: il celebre WannaCry del maggio 2017 (che utilizzava la vulnerabilità del protocollo Windows Server Message Block versione 1.0 (SMBv1) e l’attacco del marzo 2021 che ha utilizzato vulnerabilità di Microsoft Exchange Server (il software che aziende e organizzazioni in tutto il mondo utilizzano per gestire email e calendari) per distribuire ransomware dopo la compromissione dei server. Microsoft ha assegnato a questa nuova famiglia di ransomware il nome Win32/DoejoCrypt.A. (o anche, più semplicemente, DearCry). L’attacco sembra partito dal gruppo di cyber criminali cinesi denominato Hafnium e sfrutta le vulnerabilità zero-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime, accedendo alle caselle di posta elettronica delle aziende per sottrarne il contenuto e per iniettare malware.
Arriviamo alle conclusioni: strettamente consiglio a tutti i lettori di prestare maggiore attenzione durante l’uso dei vostri dispositivi. Sappiamo benissimo, come avete letto in questo articolo, che il mezzo di propagazione più comune di un ramsoware é tramite email. Il nostro consiglio é quello di evitare di utilizzare client di posta elettronica ma di fare sempre affidamento alla webmail offerta dal vostro provider email in quanto quest’ultimo gestisce attentamente tutti gli allegati presenti e nello smistamento, anche alla scansione antimalware.
Bisogna però far attenzione agli allegati in formato compresso (ZIP, RAR etc) in quanto, in caso in cui l’archivio ha all’interno un file malevolo, quest’ultimo non è “rilevabile” dai comuni antivirus.
Hai un problema al tuo dispositivo informatico e vuoi richiedere la consulenza di un nostro esperto?