Il fenomeno Ransomware Ransomware Il fenomeno Ransomware di cosa si tratta ..come si diffonde ..come difendersi Ransomware Ransomware I ransomware sono virus informatici che bloccano i documenti contenuti sui PC infettati e chiedono un riscatto. Una volta contagiato, il computer continua a funzionare ma foto, filmati, musica e scritti della vittima vengono protetti tramite algoritmi di cifratura. Al pagamento del riscatto, i criminali in genere sbloccano la protezione dai documenti e rimuovono il virus. Virus informatici che bloccano i documenti contenuti sui PC infettati e chiedono un riscatto. L’infezione si diffonde tramite email di phishing. A parte alcuni casi specifici, non è tecnicamente possibile recuperare i documenti, se non ripristinarndoli da copie. L’infezione si diffonde tramite email con diversi soggetti e tipologie in base alle diverse ondate di Cryptolocker. Le prime versioni dei ransomware come Cryptolocker, Cryptowall o TorrentLocker si presentavano sotto forma di fatture o note di credito e venivano inviate direttamente in allegato al messaggio. Successivamente, le mail hanno cominciato a contenere codici di tracking di Corrieri Espresso (FedEX, DHL, UPS, SDA, etc.) o relative a bollette di gestori di energia (Enel Energia, etc.) o ancora operatori telefonici (TIM, Tre, Vodafone, Wind, etc.). I messaggi di posta sono spesso convincenti e contengono un allegato che passa incolume attraverso diversi antivirus oppure un link a un sito di phishing. Ovviamente l’allegato o il file che viene scaricato dal sito linkato non è un documento vero e proprio, ma un malware, che se aperto infetta il PC e blocca i documenti, inclusi quelli in rete. A parte alcuni casi specifici, non è ancora stato trovato – e non è tecnicamente possibile farlo – un antidoto generico per recuperare i documenti, se non ripristinarli da copie di sicurezza eseguite prima di contrarre il virus. http://www.ransomware.it/ | 2 Il fenomeno Ransomware di cosa si tratta Da qualche tempo si sta verificando un picco di spam contenente virus molto pericolosi, in grado di criptare il contenuto del disco dei PC e dei server, con conseguente richiesta di riscatto per ottenere la chiave in grado di rendere nuovamente disponibili i dati. I sistemi automatici di protezione, come gli antivirus e gli antispam, filtrano il grosso dei potenziali rischi ma non riescono mai a raggiungere il 100 % di successo, specialmente nel caso di minacce molto recenti che potrebbero non essere ancora riconosciute. Antivirus e Antispam, non riescono mai a raggiungere il 100 % di successo Qualsiasi allegato di posta elettronica DEVE essere considerato potenzialmente pericoloso Potrebbe essere un virus non ancora riconosciuto Ne consegue che qualsiasi allegato ricevuto in posta elettronica DEVE essere considerato potenzialmente pericoloso, e valutato anche con l’apporto dell’intelligenza umana, dall’utente o, in casi dubbi, da un tecnico Le ragioni sono molteplici: potrebbe essere un virus o un codice malevolo non ancora riconosciuto e di conseguenza fatto filtrare erroneamente dall’antispam e dall’antivirus potrebbe essere un virus che ha infettato il computer di un vostro corrispondente che è stato aggiunto alla white list dell’antispam (su vostra richiesta o di un collega) potrebbe essere un virus o un codice malevolo che vi è stato inoltrato da un ignaro collega attraverso la posta interna potrebbe essere un codice realizzato ad hoc e quindi tecnicamente non un vero e proprio virus, non riconoscibile come minaccia dai sistemi antispam / antivirus. http://www.digibyte.it/sicurezza/i-virus-del-tipo-cryptolocker-sono-una-minaccia-concreta-per-i-vostri-dati/ | 3 Il fenomeno Ransomware come si diffonde Gli allegati potenzialmente pericolosi si riconoscono dalle icone o meglio dalle estensioni cioè la parte del nome che segue il punto (es: in DOCUMENTO.DOC l’estensione è DOC, in FOGLIO.XLS è XLS) Le estensioni pericolose più diffuse sono: Documenti Office (Word Excel, Powerpoint) . DOC, .DOCX, .DOT-XLS, PPT Gli allegati pericolosi si riconoscono dalle estensioni cioè la parte del nome che segue il punto. Word, Excel,Powerpoint: DOC, .DOCX, .DOT-XLS, PPT Eseguibili:.EXE, .CMD, .BAT, .SCR, .JAR, .PIF, .COM, .DLL, .MSC, .MSI, .HTA, .MSP, JS, .PS1, .PS2, REG, .LNK, Macro Office .DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM File archivio .ZIP, .RAR ingannano più facilmente l’antispam Programmi eseguibili .EXE, .CMD, .BAT, .SCR, .JAR, .PIF, .COM, .DLL, .MSC, .MSI, .HTA, .MSP, JS, .PS1, .PS2, REG, .LNK, .INF macro di office .DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM File di archivio .ZIP, .RAR perché ingannano più facilmente l’antispam e possono contenere gli altri tipi di file pericolosi. Non c’è ragione al mondo per aprire un allegato che abbia una estensione che non conosciamo (quindi che NON SIA DOC, DOCX, XLS, PDF, ZIP) Se si riceve un allegato con una estensione diversa da queste, il livello di attenzione si deve immediatamente alzare. Non c’è ragione al mondo per aprire un allegato di tipo eseguibile o macro (quindi che SIA EXE, CMD, BAT, SCR, JAR, WS, VBS, DOTM, XLAM, ecc.) Un altro modo di ingannare i sistemi e gli utenti è l’uso della doppia estensione. Se L’utente riceve un allegato che si chiama APRIMI.PDF.exe sarà portato a credere di avere a che fare con un innocuo documento PDF, in realtà è l’estensione presente DOPO il punto situato più a destra che definisce il tipo di file. Si tratta quindi di un eseguibile che con ogni probabilità sarà stato nominato in quel modo con scopi fraudolenti. http://www.digibyte.it/sicurezza/i-virus-del-tipo-cryptolocker-sono-una-minaccia-concreta-per-i-vostri-dati/ | 4 Esempio di mail Malevola Falsa fattura TIM | 5 FBI e Ransomware Articolo del 20 Gennaio 2015 pubblicato sul sito dell’FBI: Ransomware on the Rise “Ransomware doesn’t just impact home computers. Businesses, financial institutions, government agencies, academic institutions, and other organizations can and have become infected with it as well, resulting in the loss of sensitive or proprietary information, a disruption to regular operations, financial losses incurred to restore systems and files, and/or potential harm to an organization’s reputation.” “According to the U.S. CERT, these infections can be devastating and recovery can be a difficult process that may require the services of a reputable data recovery specialist.” Articolo del 29 Aprile 2016 pubblicato sul sito dell’FBI: Incidents of Ransomware on the Rise https://www.fbi.gov/news/stories/2015/january/ransomware-on-the-rise https://www.fbi.gov/news/stories/2016/april/incidents-of-ransomware-on-the-rise/incidents-of-ransomware-on-the-rise | 6 12 Aprile 2016: Why Ransomware is Winning - and How to Turn the Tide «First, it’s important to understand, that most (if not all) ransomware victims are typically running fully-updated antivirus engines, and sometimes even anti-exploit and/or HIPS engines. The problem is, rapid changes made in the builds and versions of the malware used in ransomware campaigns creators allows the code to repeatedly evade detection by traditional security measures’’ The root of the ransomware problem lies in our reliance on signature-based detection techniques. The methods attackers use to infect victims are well-known, very effective and difficult to eliminate no matter how end-user education and patching organizations perform. These include spearphishing emails and silent drive-by downloads that use exploit kits to take advantage of system vulnerabilities. Or more recently have taken a network-based approach, like the SamSam campaign, that targets vulnerable JBoss application servers, using accessible pentesting tools. Once inside the network the attackers collect credentials to install the actual payloads, and eventually get to the ransom stage. | 7 Ransomware Virus Shuts Down Electric and Water Utility Articolo del 29 Aprile 2016 http://thehackernews.com/2016/04/power-ransomware-attack.html Recently, the American public utility Lansing Board of Water & Light (BWL) has announced that the company has become a victim of Ransomware attack that knocked the utility's internal computer systems offline. | 8 Evoluzione, diffusione ed esplosione | 9 30Novembre2015 Why Ransomware Is Not Going Away Any Time Soon Ransomware short-circuits this highly complicated fencing operation. Criminals encrypt the data and demand payment directly from victims. Payment is typically delivered in bitcoins or similar crypto-currency. This relatively direct path to cash makes ransomware attacks profitable and removes the need for a large, complex criminal network. It also lowers the bar for would-be cybercriminals, and in effect brings more bad guys onto the playing field. Attackers don’t need your data to be valuable to the outside world, they only need that data to be valuable to you. Ransomware makes building these coalitions far more daunting. Many victims pay the ransom and do not report the crime. Likewise, since victims can come from any industry, it further complicates the process of sharing information between organizations. Additionally, ransomware operations have fewer moving parts and a lower dependence on command-and-control attack maneuvers. Unlike other malware campaigns that require consistent C&C communications, ransomware only needs C&C servers for encryption and decryption keys. http://www.securityweek.com/why-ransomware-not-going-away-any-time-soon | 10 Proofpoint Locky Demo https://www.youtube.com/watch?v=to8lCoSYF9U | 11 Il fenomeno Ransomware come difendersi La provenienza del messaggio, in sé, non costituisce una garanzia. Tipicamente questi messaggi fraudolenti usano tecniche di mascheramento (spoofing) e di ingegneria sociale per apparire “normali”, nascondere le caratteristiche che potrebbero mettere in allarme e indurre gli utenti ad aprirli. E’ più che mai necessaria l’attenzione e la collaborazione di tutti per innalzare il livello di consapevolezza dei rischi e dei limiti dei sistemi automatici di protezione. Nel dubbio: NON APRITE ALCUN ALLEGATO NON APRITE NEMMENO LA MAIL AVVISATE UN TECNICO La provenienza del messaggio, in sé, non costituisce una garanzia. E’ più che mai necessaria l’attenzione e la collaborazione di tutti. Grazie per l’attenzione. http://www.digibyte.it/sicurezza/i-virus-del-tipo-cryptolocker-sono-una-minaccia-concreta-per-i-vostri-dati/ | 12 Fonti http://www.digibyte.it/sicurezza/i-virus-del-tipo-cryptolocker-sono-unaminaccia-concreta-per-i-vostri-dati/ http://www.ransomware.it/ Approfondimenti http://www.howtogeek.com/137270/50-file-extensions-that-arepotentially-dangerous-on-windows/ http://www.trendmicro.com/vinfo/us/security/news/cybercrime-anddigital-threats/ransomware-101-what-it-is-and-how-it-works https://blogs.sophos.com/2015/03/03/anatomy-of-a-ransomware-attackcryptolocker-cryptowall-and-how-to-stay-safe-inf | 13