Attenzione all'ondata di "ransomware" in arrivo nel prossimo inverno!

Aperto da Eutidemo, 08 Settembre 2021, 07:11:03 AM

Discussione precedente - Discussione successiva

Eutidemo

Un bel giorno, accendete il vostro computer che funziona regolarmente; però, non appena cercate di aprire i vostri file (testi, immagini o qualsiasi altra cosa), vi accorgete che non siete più in grado di farlo, e vi appare un minaccioso messaggio che vi chiede un riscatto in denaro per poterne tornare in possesso.
https://cdn-thumbs.imagevenue.com/69/b4/48/ME13T90X_t.jpg
Tali attacchi informatici, che nell'anno 2018 rappresentavano il 23% di tutti i "malware", nel 2019 sono diventati il 46% e nel 2020 sono arrivati al 67%; per il prossimo inverno '21/'22 si prevede un ulteriore aumento degli attacchi, ma non più solo alle aziende, bensì anche alle utenze private.
Peraltro, è anche molto aumentata la somma estorsiva richiesta; ed infatti, il riscatto medio pagato è passato da 115.123 dollari nel 2019 a 312.493 dollari nel 2020 (+171% anno su base annua).
Per cui è opportuno prendere per tempo delle semplici, ma efficaci, misure difensive, così come cercherò di spiegare più avanti!

COSA SONO I RANSOMWARE
In estrema sintesi, i "ransomware" appartengono ad una classe di "malware" che rende inaccessibili i dati dei computer infettati, pretendendo il pagamento di un "ransom" ("riscatto"), per ripristinarli.
In pratica, sono dei "trojan horse" ("cavalli di Troia") crittografici, infiltrati nel nostro computer da "troja's sons" ("figli di mignotta"), i quali hanno come scopo l'estorsione di denaro, per mezzo di un "sequestro di file", operato con una cifratura che, in pratica, li rende inutilizzabili.
***
Una volta che i vostri file vengono criptati dai "ransomware", infatti, è quasi impossibile decrittarli; anche se siete analisti informatici della CIA.
Però sono gli stessi "sequestratori" a spiegarvi amichevolmente come fare; sempre, ovviamente, che vengano generosamente retribuiti in denaro (in criptovaluta Bitcoin, ma non solo).

***
Per tale motivo, i "ransomware" costituiscono un attacco completamente diverso dai più sofisticati attacchi APT ("Advanced Persistent Threat"), il cui scopo è quello di persistere nel sistema attaccato il più a lungo possibile, all'unico scopo di creare danno, confusione e instabilità nel "soggetto bersaglio"; e, anche se a volte gli attacchi del secondo tipo sono "mascherati" da attacchi del primo tipo (come io penso sia accaduto nel caso della Regione Lazio), se ne può scoprire la natura e la provenienza dalle loro specifiche caratteristiche.
Al riguardo, vedere anche il mio post qui sotto linkato.
https://www.riflessioni.it/logos/attualita/attacco-informatico-alla-regione-lazio-chi-perche-e-come/

COME FANNO I RANSOMWARE AD INFILTRARSI NEL NOSTRO COMPUTER
Al riguardo, esistono vari modi con cui i "ransomware" possono penetrare nel nostro PC.
a)
La modalità più diffusa, continua ad essere l'invio di e-mail di cosiddetto "phishing", le quali  invitano a cliccare su un determinato link o a scaricare un certo file (infetto);  ma, ormai, solo gli allocchi possono cascarci.
b)
La modalità più insidiosa, invece, consiste in un messaggio di posta elettronica che viene mascherato in modo che risulti inviato da qualcuno che conosciamo e di cui ci fidiamo; il quale ci invita a cliccare su un determinato link o a scaricare un certo file (con la tecnica nota come "spoofing").
Al riguardo, si veda anche il mio post qui sotto linkato, laddove, in una risposta, ho affrontato il tema del "furto di identità" online, e come difendersene; cioè, del "lupo travestito da nonna di cappuccetto rosso".
https://www.riflessioni.it/logos/scienza-e-tecnologia/come-tenere-al-sicuro-i-nostri-dati-bancari-online/msg54521/#msg54521
c)
In altri casi, i "cybercriminali" sfruttano alcune vulnerabilità presenti in certi programmi  -come Java e Adobe Flash- o nei diversi sistemi operativi; in tale ipotesi, il software malevolo si propaga in maniera autonoma senza che l'utente debba compiere alcuna azione.
d)
In altri casi ancora, i "ransomware" penetrano nel nostro PC, quando ci troviamo a navigare su siti compromessi o "fantoccio"; in tal caso, si verifica  il cosiddetto "drive-by download" ("scaricamento all'insaputa") dei "ransomware", da siti nei quali sono stati introdotti, da parte di "hacker" che sono riusciti a violare il sito o che lo hanno compromesso, in modo da infettare chi visita quei siti.
e)
A volte, invece, i criminali usano una chiavetta USB contenente il "ransomware", ma non certo inserendola loro direttamente nel PC  della vittima designata (salvo rarissimi casi); lo fanno, invece, ricorrendo al cosiddetto metodo "baiting" (esca), che consiste nel lasciare incustodito in un luogo aziendale comune (mensa, parcheggio ecc.) la chiavetta USB infetta.
Chi la trova, molto spesso, non può resistere alla tentazione di inserirla nel proprio PC:
- o per mera curiosità;
- o per cercare di capire chi è il proprietario della chiavetta, e restituirgliela.
"Et voilà les jeux sont faits! Rien ne va plus!", la vittima si è fregata da sola!
f)
Un altro sistema molto usato, consiste nel nascondere il "ransomware" all'interno di altri "software" gratuiti ed innocui, che la povera vittima scarica per gli scopi più svariati; ed infatti qualunque eseguibile (.exe) "donato", potrebbe contenere dentro di se una "polpetta avvelenata".
Per questo, quando Lacoonte voleva dissuadere i Troiani dall'accogliere in città il cavallo di legno lasciato dai Greci, ammoniva così -vanamente- i suoi concittadini "Timeo Danaos, et dona ferentes!"
Suggerimento ancora valido a distanza di più di tremila anni!
g)
Nel caso di aziende, sono possibili anche aggressioni attraverso il cosiddetto RDP ("Remote Desktop Protocol"), situato generalmente sulla porta 3389;  si tratta di attacchi effettuati con con "furto di credenziali", per accedere ai server attraverso RDP e prenderne il controllo.

COME DIFENDERSI DAI RANSOMWARE
Ovviamente, come in qualsiasi altro caso, la miglior "protezione" è costituita dalla "prevenzione"; la quale può avvenire in vari modi.
1)
Aggiornare sempre sia il proprio sistema operativo, sia il proprio programma antivirus; il quale, però, se è gratuito è poco efficiente, ed è proporzionalmente più efficiente (ed efficace) a seconda del prezzo da pagare.
In ogni caso, nessun aggiornamento del proprio sistema operativo, o del proprio programma antivirus è in grado di bloccare un attacco seriamente condotto.
Nessuno!
2)
Adottare una protezione IDS (Intrusion Detection System) la quale serve a individuare in anticipo gli attacchi verso un computer o una rete; i software IDS possono essere installati sia direttamente sul sistema che si vuole controllare, sia su un dispositivo separato, ma quelli preconfigurati, sono abbastanza costosi.
In ogni caso, essendo gli IDS delle componenti attive di una rete, anche loro potrebbero diventare l'obbiettivo di un attacco; specialmente se colui che conduce l'aggressione è a conoscenza della loro presenza, e conosce il fatto suo.
3)
Adottare una protezione IPS (Intrusion Prevention System), la quale va un po'  oltre l'IDS: ed infatti, dopo aver appurato la possibilità di un attacco, questo tipo di sistema non si limita ad informare l'"aggredito", ma attiva immediatamente delle misure di sicurezza automatiche.
Però anche tali sistemi di difesa potrebbero diventare l'obbiettivo di un attacco; specialmente se colui che conduce l'aggressione è a conoscenza della loro presenza, e conosce il fatto suo.
***
Nessun sistema, però è davvero sicuro al 100%
***

IL SISTEMA DI PROTEZIONE PIU' SEMPLICE E SICURO (almeno per i privati)
Tuttavia, a mio parere, c'è un solo sistema per essere davvero sicuri, "quasi" al 100%, di poter evitare qualsiasi tipo di "ransomware"; che è anche il più economico ed il più semplice da utilizzare e che, per questo, è quello che suggerisco a tutti i privati possessori di normali PC domestici.
Si dirà che è una "scoperta dell'acqua calda"; ed è vero, però, stranamente, sono in pochi a farne uso!
***
Per adottare tale strategia difensiva, occorre acquistare una "memoria esterna", cioè un sottile disco rigido portatile, poco più ingombrante di un "smartphone" e che funziona più o meno come una chiavetta USB;  il quale, però, per meno di 40 euro o poco più, può arrivare a contenere anche due terabyte di dati (1 TB corrisponde a 1.000 gigabyte (GB) o 1.000.000 di megabyte (MB).
https://cdn-thumbs.imagevenue.com/41/2f/06/ME13TB8U_t.jpg
***
Una volta dotati di tale "memoria esterna", dovete psicologicamente assuefarvi all'idea che essa divenga la "memoria principale bis" del vostro PC; cioè, praticamente tutto quello che c'è sul disco fisso del vostro PC deve essere trasferito "anche" lì, dai documenti, alle foto, ai film, e ai "programmi di installazione" dei software che normalmente usate sul vostro PC.
In buona sostanza, la "memoria esterna" deve diventare "quasi" un "gemello" della  "memoria interna" del vostro PC; dico "quasi", perchè, ovviamente, i "programmi installati" lavorano esclusivamente sul vostro PC, in quanto sulla "memoria esterna" sono conservati soltanto i loro "programmi di installazione".
***
In tal modo, per capirci meglio, io, quando il mio vecchio PC collassa, poichè la sua "anima" è stata salvata sulla "memoria esterna" (meglio se su due), io non devo far altro che "caricarla" sul nuovo PC; dopo di che, come per un fenomeno di "metempsicosi" il mio vecchio PC torna a rivivere "tel quel" in quello nuovo.
Ovviamente, specie per "reinstallare" i programmi, aggiornare i "preferiti" e gli "account" automatici ecc. ecc., ci vuole un po' di tempo; ma, in genere, non più di qualche oretta!
***
Ma in che modo la "memoria esterna" può preservarci dai "ransomware"?
Ed infatti, quando la "memoria esterna" è collegata al PC, il quale è ONLINE, i "ransomware" possono sequestrare tranquillamente i dati che si trovano sia sull'una che sull'altro!
Il trucco, pertanto, consiste semplicemente nel tenere   la "memoria esterna" SEMPRE "scollegata" dal PC online; e collegarla al PC esclusivamente quando si vogliono salvare ulteriori dati ovvero ulteriori programmi di installazione di software acquistati.
https://cdn-thumbs.imagevenue.com/ec/86/0b/ME13TB9V_t.jpg
***
Ovviamente, nel caso di un aggressore che sia sempre in perenne e sistematico agguato, il "ransomware" entrerà in azione non appena collegherete la "memoria esterna" al  PC, nei pochi secondi o minuti che vi serviranno per effettuare il "backup" dei dati; e sarete fregati lo stesso, perchè il cavallo di Troia "cripterà" subito entrambi!
Ma la cosa è altamente improbabile!
***
E' invece più probabile, almeno a livello di mera ipotesi, un'altra eventualità; e, cioè, che qualche organizzazione criminale molto "tecnologiccizzata" faccia uso di "ransomware temporizzati".
I "ransomware temporizzati", ammesso che vengano realmente usati dai criminali informatici (cosa che, sinceramente, ignoro), sono dei "trojan dormienti"; i quali, una volta penetrati nel PC, non si attivano fino a che non si accorgono che è stata collegata anche una memoria esterna.
Quando questo avviene, entrano in azione e si impossessano di entrambi i "device".
***
Come ho detto, trattandosi di "roba da spie", non so se i criminali informatici utilizzino davvero tali ipotetici "trojan dormienti"; però, se ne facessero davvero uso, a voler essere davvero "paranoici", una strategia di difesa è comunque praticabile.
Ed infatti, se proprio si vuole andare sul sicuro:
- o si salvano sempre i dati su due differenti memorie esterne;
- oppure, "prima" di collegare al PC l'unica memoria esterna posseduta, occorre avere l'accortezza di collegare una chiavetta USB o una memoria esterna "civetta", cioè senza dati importanti.
In tale secondo caso, infatti, se nel vostro PC c'è davvero un "trojan dormiente" scatterà a vuoto, impossessandosi, oltre che del PC, soltanto di uno "specchietto per le allodole"; ma la "memoria gemella" resterà salva, pronta per essere collegata ad un altro PC!
***
Un saluto a tutti!
***
P.S.
Se avete cliccato su qualcuno dei miei link, vi ringrazio, perchè così sono riuscito a penetrare nei vostri PC (ovviamente scherzo)!


Phil

Citazione di: Eutidemo il 08 Settembre 2021, 07:11:03 AM
Ovviamente, specie per "reinstallare" i programmi, aggiornare i "preferiti" e gli "account" automatici ecc. ecc., ci vuole un po' di tempo; ma, in genere, non più di qualche oretta!
Per alcuni ransomware esistono delle "chiavi di decriptazione" che consentono di recuperare i file annullando il blocco del virus (questo sito ne fornisce alcune). Se non si vuole perdere tempo a reinstallare programmi e simili, più che fare un semplice back up in stile copia/incolla, si può creare una "immagine ghost" del disco (con l'apposita funzione di Windows o con altri software, anche gratuiti se non sbaglio) che all'occorrenza può essere reinstallata nel pc, riportandovi non solo i file personali ma anche i programmi già installati, le impostazioni, etc.
Riguardo gli "account automatici" sono diffidente, soprattutto se usati su siti importanti (banche, etc.), così come per i programmi o app che gestiscono le password: è come mettere un cartello segnaletico sulla cassaforte fidandosi del fatto che sia inespugnabile.

P.s.
Windows Defender, l'antivirus preinstallato nell'omonimo sistema operativo, ha una funzione integrata e personalizzabile di protezione cartelle contro il ransomware.

Eutidemo

Ciao Phil. :)
Sono d'accordo su quasi tutto quello che hai scritto; che trovo pienamente condivisibile.
***
Ad esempio, è verissimo che, per "alcuni" ransomware esistono delle "chiavi di decriptazione" che consentono di recuperare i file annullando il blocco del virus; però ti assicuro che ce ne sono altri, a "cifratura militare", che sono quasi impossibili da decriptare.
Tutto dipende dal "livello" dell'aggressione!
***
Hai anche perfettamente ragione quando scrivi che, se non si vuole perdere tempo a reinstallare programmi e simili, più che fare un semplice back up in stile copia/incolla, si può creare una "immagine ghost" del disco; però se si adotta il sistema di sicurezza da me suggerito, è necessario aggiornare di volta in volta, progressivamente, la memoria esterna.
Ad esempio, se io adesso scarico il programma di installazione di un videogioco, e lo voglio conservare in sicurezza assieme al testo doc che sto scrivendo ora, non potrò fare altro che un copia/incolla sul disco esterno collegato alla bisogna, per poi scollegarlo subito.
La frequenza di tale operazione dipende dall'uso che si fa del proprio PC; io di solito, a parte i file di particolare importanza che metto subito in sicurezza, lo faccio prima di spegnere il PC di sera (e molti file di scarsa rilevanza non li salvo per niente).
Però sto parlando di un uso domestico, e, quindi, di un "sistema di sicurezza", che, per quanto efficace, essendo alla portata anche dei bambini, farebbe sicuramente storcere il naso ad un ingegnere informatico; ed infatti, mia cugina, che è professoressa di informatica all'Università di Pisa, quando glielo ho detto, si è messa a ridere!
***
In ogni caso, creare periodicamente (a più lunga distanza di tempo) una "immagine ghost" del proprio disco fisso, è senz'altro un'ulteriore misura di sicurezza altamente consigliabile!
***
Riguardo agli "account automatici", io mi riferivo a siti "non sensibili", come, ad esempio, quelli "vetrina" in cui si è soliti fare degli acquisati ONLINE; ovviamente sempre che ogni volta il pagamento debba essere effettuato separatamente ed "ex novo", con PAYPAL o altri sistemi indipendenti, aventi account "secretati" a parte, come quelli per effettuare i bonifici bancari.
Diversamente, rendere "automatico" l'accesso a siti "sensibili", sarebbe semplicemente "folle";  come scrivi tu in modo molto efficace, sarebbe come mettere un cartello segnaletico sulla cassaforte fidandosi del fatto che sia inespugnabile.
Io non lo avevo precisato dandolo per scontato, ma hai fatto "benissimo" a precisarlo tu!
***
Come correttamente scrivi, Windows Defender, l'antivirus preinstallato nell'omonimo sistema operativo, ha una funzione integrata e personalizzabile di protezione cartelle contro il ransomware.
L'anno scorso, però, un gruppo di esperti USA di "cyber security" ha pubblicato un rapporto nel quale si spiega come un aggiornamento dell'antivirus Microsoft Defender per Windows 10 potrebbe essere – paradossalmente – la chiave per permettere ai Criminal Hacker di scaricare malware sui computer bersaglio; questo sembra dipendere dal fatto che un aggiornamento del Microsoft Anti-malware Service Command Line Utility (MpCmdRun.exe) attiva una funzionalità che permette al programma di scaricare file remoti, che potrebbero essere pericolosi.
Per verificare l'ipotesi, i ricercatori,  utilizzando il nuovo codice "-DownloadFile" dal "comand prompt", come utente locale, hanno potuto utilizzare MpCmdRun.exe per scaricare lo stesso campione di ransomware WastedLocker utilizzato contro Garmin nell'ultimo grande caso di attacco di alto profilo.
Però non riesco a trovare il "report" originale, per cui non saprei dirti di più!
***
Un saluto! :)
***

Phil

Citazione di: Eutidemo il 09 Settembre 2021, 06:36:46 AM
i ricercatori,  utilizzando il nuovo codice "-DownloadFile" dal "comand prompt", come utente locale, hanno potuto utilizzare MpCmdRun.exe per scaricare lo stesso campione di ransomware WastedLocker utilizzato contro Garmin nell'ultimo grande caso di attacco di alto profilo.
Qui viene spiegato che sebbene sia possibile scaricare virus con quel comando, Defender dovrebbe poi comunque rilevare e bloccare tali virus (altri antivirus potrebbero invece lasciarli passare poiché scaricati tramite un programma di Windows). Ovviamente si tratta di una falla che, per risultare dannosa, presuppone che un hacker prenda il controllo (da remoto o in presenza) del "pc vittima" e poi, piuttosto che fare altro, usi la linea di comando per far arrivare alcuni virus, dopo essersi accertato che Defender non sia l'antivirus principale o averlo in qualche modo "inibito"; uno scenario che direi esula dalla casistica di un comune utente domestico.

Discussioni simili (5)