I malware creati con lo scopo di chiedere un riscatto (random in inglese) esistono da anni. Oggi prendono il nome di ransomware – l’unione delle parole ransom (riscatto) e software.
Non sono tutti uguali, alcuni ad esempio ingannano l’utente fingendosi autorità di polizia che intimano un pagamento per presunte attività illecite commesse dall’utente. Altri invece minacciano le informazioni.
Lo scopo di questi ultimi è intrufolarsi nei sistemi informativi, criptare, copiare o cancellare dati sensibili o importanti e chiedere un compenso per la restituzione e/o la non-diffusione di essi.
Infine sono stati scoperti software malevoli a scopo di riscatto in grado di attaccare sistemi ICS sfruttando i PC del sistema come veicoli di infezione.
Posso rintracciare il riscatto?
Se, a seguito di una violazione, l’utente o l’azienda decidesse di pagare quanto richiesto, il metodo di pagamento sarebbe ovviamente telematico.
Purtroppo le nuove monete virtuali (o criptovalute) nate negli ultimi anni garantiscono la non tracciabilità e l’anonimato. Diventa quindi arduo scovare i colpevoli di tali crimini.
Vediamo ora i più grandi attacchi ransomware dell’ultimo mezzo decennio per poter raccontare la storia di questo malware mentre si evolve.
1. TeslaCrypt
Affermatosi all’inizio come variante di CryptoLocker, TeslaCrypt aveva come obiettivo i videogiocatori. Si è infatti specializzato per prendere di mira file associati ai videogiochi, mappe virtuali, contenuti scaricabili e salvataggi.
Per quanto ciò possa sembrare strano, i contenuti rubati possono essere molti importanti per i videogiocatori professionisti, tanto che TeslaCrypt rappresentava da solo il 48% degli attacchi ransomware.
Nel 2016 i creatori di TeslaCrypt hanno annunciato la fine della loro attività criminale condividendo pubblicamente la password di decodifica principale.
2. SimpleLocker
Con la diffusione dei dispositivi mobili (smartphone principalmente), anche l’attenzione dei criminali informatici si è spostata su di essi.
Tra la fine del 2015 e l’inizio del 2016 le infezioni ransomware di Android sono quadruplicate.
SimpleLocker è stato il primo attacco basato su Android per crittografare i file e renderli inaccessibili senza l’aiuto dei truffatori.
Inoltre è stato il primo ransomware noto a consegnare il suo payload dannoso tramite trojan (o cavallo di troia) – un software potenzialmente non dannoso che diventa veicolo per minacce pericolose.
Per fortuna i numeri sono ancora relativamente bassi, ma è ancora una minaccia in agguato.
3. WannaCry
A metà del 2017, due attacchi ransomware principali e intrecciati si sono diffusi come incendi in tutto il mondo, chiudendo gli ospedali in Ucraina e le stazioni radio in California, e fu allora che il ransomware divenne una minaccia esistenziale.
Il primo dei due attacchi principali si chiamava WannaCry ed è stato senza dubbio il peggior attacco ransomware della storia.
Ma la vera importanza di WannaCry va oltre i numeri: e ha utilizzato maliziosamente strumenti di hacking trapelati dalla NSA.
Un esempio è EternalBlue – un exploit che sfrutta un difetto di Microsoft implementazione del protocollo SMB (Server Message Block) – diffuso dal gruppo di hacker Shadow Brokers.
Sebbene Microsoft avesse già rilasciato una patch per il difetto, molti utenti non l’avevano installata e molte organizzazioni avevano la porta SMB – 445 – apertamente esposta a Internet.
4. NotPetya
Petya era un pacchetto ransomware che risale al 2016.
Poche settimane dopo l’epidemia di WannaCry, iniziò a diffondersi una versione aggiornata che utilizzava anche il pacchetto EternalBlue come WannaCry, portando i ricercatori a rinominarlo in NotPetya perché era avanzato molto oltre le sue origini.
NotPetya ha causato l’arresto dei sistemi OT nella maggior parte degli impianti del gigante farmaceutico Merck, interrompendo la produzione e costringendo l’azienda a prendere in prestito 240 milioni di dollari di dosi di Gardasil dalle scorte gestite dai centri CDC statunitensi.
Nel complesso, l’attacco è costato all’azienda quasi un miliardo di dollari.
Questo malware ransomware si è diffuso così rapidamente che ha reso palese che le organizzazioni in tutto il mondo non stavano ancora prendendo sul serio la cybersicurezza come avrebbero dovuto.
Essere proattivi nel monitorare il traffico di rete locale e all’interno degli ambienti cloud avrebbe potuto prevenire alcune delle infezioni.
5. SamSam
Gli attacchi con software noto come SamSam hanno iniziato a comparire alla fine del 2015, ma sono aumentati molto nei successivi anni.
Tra le vittime ci sono: il Dipartimento dei Trasporti del Colorado, la città di Atlanta e numerose strutture sanitarie.
Ciò che rende speciale SamSam è che non cerca indiscriminatamente una specifica vulnerabilità, ma piuttosto un ransomware-as-a-service i cui controller sondano attentamente gli obiettivi selezionati per individuare i punti deboli, con i quali vengono sfruttate vulnerabilità di IIS, FTP o RDP.
Una volta all’interno del sistema, gli aggressori lavorano diligentemente per intensificare i privilegi per garantire che quando iniziano a crittografare i file, l’attacco sia particolarmente dannoso.
6. Ryuk
Ryuk è un’altra variante di ransomware mirato che ha colpito molto nel 2018 e nel 2019.
Le sue vittime sono organizzazioni con poca tolleranza per inattività, come quotidiani e servizi idrici – ad esempio il servizio idrico della Carolina del Nord alle prese con l’uragano Florence.
Il Los Angeles Times ha scritto un resoconto abbastanza dettagliato di ciò che è accaduto quando i loro sistemi sono stati infettati. Una caratteristica di Ryuk è che può disabilitare l’opzione “ripristino configurazione di sistema” di Windows, rendendo ancora più difficile recuperare i dati.
Le richieste di riscatto erano particolarmente elevate per le vittime di alto valore che prendeva di mira.
Gli analisti ritengono che il codice sorgente Ryuk sia in gran parte derivato da Hermes, che è un prodotto del gruppo Lazarus della Corea del Nord.
McAfee ritiene che Ryuk sia stato costruito sul codice acquistato da un fornitore di lingua russa, perché il ransomware non viene eseguito su computer la cui lingua è impostata su russo, bielorusso o ucraino. Non è chiaro come questa fonte russa abbia acquisito il codice dalla Corea del Nord.
Menzione (dis)onorevole: CryptoLocker
CryptoLocker, è entrato in scena nel 2013 e ha davvero aperto l’era del ransomware su grande scala: si è diffuso tramite allegati ai messaggi di spam e ha utilizzato la crittografia della chiave pubblica RSA per sigillare i file degli utenti, richiedendo denaro in cambio delle chiavi di decrittazione.
Oltre 500.000 macchine sono state infettate da CryptoLocker.
CryptoLocker era primitivo, e alla fine fu sconfitto da Operation Tovar, che abbatté la botnet che controllava CryptoLocker, scoprendo le chiavi private che CryptoLocker usava per crittografare i file.
CryptoLocker aveva “aperto le porte” a molte altre varietà di ransomware di crittografia dei file, alcune delle quali derivate dal suo stesso codice e altre che erano state scritte da zero: uno di questi era CryptoWall, che nel 2015 rappresentava più della metà di tutte le infezioni da ransomware.
I tempi cambiano
Il ransomware è in declino nel 2018 e nel 2019 e il calo è stato ripido: il ransomware ha interessato circa il 48 percento delle organizzazioni nel 2017, ma solo il 4 percento nel 2018.
Ci sono un paio di ragioni: gli attacchi ransomware sono sempre più personalizzati per obiettivi specifici e gestiti da sofisticati controller in tempo reale, come SamSam e Ryuk.
Poi c’è il fatto che il ransomware è una sorta di attacco “schizzinoso” che richiede alle sue vittime di eseguire una serie di passaggi per ottenere un profitto. Le vittime devono capire come scambiare criptovalute e molti non lo faranno per evitare di dare soldi ai criminali.
Inoltre, se l’obiettivo di un malintenzionato è infilarsi nei sistemi informatici di qualcun altro, ci sono modi molto più semplici per farlo: il cryptojacking.
I cryptojacker seguono il copione che gli spammer e gli aggressori DDoS usano da anni: ottenere il controllo dei computer senza che i loro proprietari lo sappiano. In questo caso, le macchine compromesse diventano piattaforme di mining bitcoin, generando silenziosamente denaro e usando cicli di elaborazione inattivi mentre la vittima non è consapevole.
Mentre gli attacchi di ransomware sono diminuiti molto, gli attacchi di cryptojacking sono aumentati del 450% e si ritengono correlate queste due statistiche.