Chiedi all’esperto: Jornt van der Wiel parla di ransomware

Come proteggervi dal ransomware? Esistono cryptor multipiattaforma? Quanto tempo ci vuole per catturare un cybercriminale? Jornt van der Wiel parla di tutto questo e di altro ancora.

Jornt van der Wiel è un membro del nostro GReAT (Global Research and Analysis Team) e il nostro maggiore esperto di ransomware e criptografia. Vive nei Paesi Bassi e lavora per Kaspersky Lab da più di due anni.

Abbiamo offerto ai nostri lettori la possibilità di rivolgere a Jornt qualsiasi tipo di domanda sul ransomware e sulla criptografia, e il riscontro è stato eccezionale. Infatti, c’erano troppe domande da pubblicare in un solo post del blog, per cui le abbiamo divise in due gruppi. In questo post, Jornt risponde a domande che riguardano principalmente il ransomware e nel prossimo tratterà la criptografia.

Ritieni che in futuro il ransomware ci riguarderà sempre più, rispetto ad altre categorie di malware come i classici virus e i trojan?

Assolutamente sì. Stiamo assistendo a un’ascesa sia nella scoperta di nuove famiglie, sia nei tentativi di infezione ai danni degli utenti. La minaccia aumenta di giorno in giorno, soprattutto perché il ransomware è relativamente facile da monetizzare. Un criminale infetta qualcuno, la vittima paga e una volta avvenuto il pagamento, questa riceve i codici ed è in grado di decriptare i file. Non occorre alcuna ulteriore comunicazione o qualsiasi altra interazione. Ciò contrasta, ad esempio, con il malware bancario, che in genere richiede che i criminali parlino alle loro vittime via chat.

Come posso evitare di essere colpito dal ransomware?

  • Installate sempre gli ultimi aggiornamenti del vostro software;
  • Non cliccate su link o allegati in email sospette;
  • Abilitate estensioni di file in Windows (in modo da vedere se il nome del file sia davvero pdf.exe invece di invoice.pdf soltanto);
  • E, quando le cose si mettono male, fate i backup. Conservateli offline, o archiviate i vostri file nel cloud con controllo di versione illimitato (così, anche se i vostri file vengono criptati sul vostro drive locale, che è quindi sincronizzato col cloud, potete ancora recuperare l’ultima versione non criptata).

Come privato, sono più vulnerabile al ransomware di una compagnia?

Il ransomware prende di mira tutti. A volte punta a specifiche compagnie, ma perlopiù assistiamo a massicce serie di spam il cui scopo è infettare chiunque. D’altra parte, le grandi aziende non sono disposte e pagare il riscatto: di solito hanno i backup a posto. Talvolta è più probabile che aziende più piccole paghino perché ripristinare il backup potrebbe costargli più che pagare il riscatto.

Quando è possibile decriptare i file criptati col ransomware?

È possibile nei seguenti casi:

  • Gli autori del malware fanno un errore di implementazione, rendendo possibile interrompere il criptaggio. Era questo il caso del ransomware Petya e di CryptXXX. Purtroppo, non posso fornirvi una lista degli errori che compiono, poiché li aiuterebbe a non farli di nuovo. Ma in generale, non è facile criptare in maniera corretta. Se volete saperne di più su criptografia ed errori, vi consiglio di cercare alla voce “Matasano crypto challenges.”
  • Gli autori del malware dopo si sentono in colpa e pubblicano i codici o una “master key”, come nel caso di TeslaCrypt
  • Le forze dell’ordine si appropriano di un server con i codici e li condividono. L’anno scorso, usando codici recuperati dalla polizia olandese, abbiamo creato un tool di decriptazione per le vittime di CoinVault.

A volte anche pagare il riscatto funziona, ma non garantisce che il pagamento porterà davvero alla decriptazione dei vostri file. Inoltre, se pagate, state sostenendo il modello di business del criminale e quindi avete una parte di responsabilità nell’infezione da ransomware di sempre più persone.

Nelle istruzioni per fare i conti con CryptXXX, dici che oltre al file criptato, ti serve anche il file non criptato. Allora qual è il senso del software? Se avessi il file non criptato, non mi servirebbe il tuo tool…

Un’ottima domanda, e grazie per averla posta. Questo dimostra che dobbiamo essere più chiari in futuro. Questo ransomware cripta tutti i vostri file con lo stesso codice. Quindi, se avete 1000 file criptati, e di questi file possedete solo un file originale salvato da qualche parte (per esempio, il file è una foto che avete mandato a qualcuno). Se inserite solo questo file nella nostra utility di decriptazione, possiamo recuperare il codice di decriptazione, e poi i vostri altri 999 file possono essere decriptati. Tuttavia, vi serve quel file originale.

Il malware che cripta i file è l’unico tipo di ransomware?

No, esiste anche il ransomware che vi blocca il computer. Ad ogni modo, questo tipo di solito è facile da bypassare o da rimuovere, ecco perché oggigiorno è sempre meno diffuso. Se volete saperne di più su questo ransomware e come combatterlo, date un’occhiata a questo post sul nostro blog.

Da quel che vedo sulla stampa internazionale, parlare del problema del ransomware è come il gioco del gatto e topo: voi trovate una soluzione e i vostri avversari tentano di aggirarla. È davvero così?

Non proprio. Il nostro componente System Watcher, che osserva il comportamento dei processi in esecuzione, può rilevare la maggior parte dei nuovi attacchi ransomware che incontra, anche quelli di ransomware ancora sconosciuti. Ok, ci sono esempi rari che non sono rilevati dal nostro System Watcher. Allora facciamo una nuova firma comportamentale che, inoltre, cattura il nuovo tipo di attacco. Ripeto, è molto insolito.

I criminali esigono il pagamento in bitcoin, che sono difficili da tracciare. È possibile tenere davvero traccia di questi criminali e risalire a loro?

In realtà, tracciare una transazione in Bitcoin non è difficile: le transazioni sono registrate nella blockchain. Questa è la natura del Bitcoin: si può tracciare qualsiasi transazione. Ciò che non sappiamo è chi sta all’altro capo della transazione. Per cui le forze dell’ordine possono tracciare le transazioni a un wallet, ma devono comunque scoprire a chi appartiene quel wallet.

I sistemi di mixing per Bitcoin sono stati introdotti per ostacolare i tentativi di tracciamento. Immaginate il mixer come una macchina dove inserite molti bitcoin che vengono poi scambiati molte volte tra i proprietari, il che rende difficile tracciarli. Quindi, per esempio, io sono una vittima e ho bisogno di pagare un bitcoin a un wallet. Effettuo il pagamento a un wallet, e poi il medesimo bitcoin va a un mixer. Il bitcoin viene scambiato con quello di qualcun altro. In questo modo, alla fine non sappiamo più quale bitcoin tracciare. E come potete immaginare, succede spesso.

Varie ricerche sono state svolte al riguardo (potete tovarne un sacco su Google) e dimostrano che tracciare è possibile. In breve: a volte è possibile tracciare le transazioni fino a un wallet, ma non è facile, e anche quando si trova il wallet, chi scambia bitcoin deve lavorare con le forze dell’ordine per rivelare le credenziali del proprietario del wallet.

Quanti anni ci sono voluti per scoprire CoinVault e trovare i suoi creatori?

In sostanza, la storia di CoinVault cominciò quando Bart di Panda Security twittò di aver scoperto ulteriori campioni di CoinVault. Risultò che due di essi non erano CoinVault, ma a esso chiaramente collegati. Decidemmo di scrivere un post al riguardo e di creare una timeline della sua evoluzione. Quando avevamo quasi completato il post, lo inviammo alla National High Tech Crime Unit (NHTCU).

Dopo averlo terminato, trovammo degli indizi che ci portarono a due possibili sospetti. Naturalmente, condividemmo questa informazione con la NHTCU. Tra il tweet di Bart e la nostra scoperta passò un mese, ma ovviamente non avevamo trascorso tutto il tempo dedicandoci soltanto al post del blog: avevamo anche del lavoro non legato a CoinVault. Dopo la pubblicazione del post, la NHTCU ha impiegato altri sei mesi circa per montare un caso approfondito e finalmente i criminali vennero arrestati a settembre dello scorso anno.

Quanto guadagnano i cybercriminali con il ransomware?

Ottima domanda, ma a cui è piuttosto difficile dare una risposta. Possiamo averne la certezza solo quando siamo in grado di tracciare, ad esempio, tutte le transazioni bitcoin a un certo wallet. O quando la polizia sequestra un server di comando e controllo che contiene informazioni sul pagamento. Ma per darvi un’idea, poniamo il caso che un criminale è stato capace di infettare 250.000 persone (questa è probabilmente una stima accurata se stiamo parlando di grandi campagne). E supponiamo che abbia chiesto solo 200$ per decriptarla (la media reale si aggira sui 400$). Se pagasse solo l’1% delle vittime infette, il ricavato sarebbe di circa 500.000$.

È possibile che un PC infetto all’interno di una rete locale diffonda il ransomware attraverso la rete ad altri computer che hanno lo stesso sistema operativo? Può un ransomware colpire diversi sistemi operativi?

Per la prima parte della tua domanda: se il ransomware ha abilità da worm, può diffondersi attraverso una rete. Per esempio, Zcryptor e SamSam sono due famiglie di ransomware con queste capacità.

Per la seconda parte della tua domanda: è possibile che un ransomware infetti molteplici sistemi operativi se attacca i server web. Così, ad esempio, il ransomware potrebbe prendere di mira un sistema di content management vulnerabile scritto in PHP. Il ransomware potrebbe quindi infettare un computer Windows che ha un web server con PHP installato. E poi potrebbe scansionare altre parti di Internet cercando altri computer da infettare. Sul computer successivo potrebbe esserci Linux in esecuzione, ma con un web server PHP. Per sintetizzare, la risposta è sì, esiste il ransomware multipiattaforma.

La prossima settima pubblicheremo le risposte di Jornt riguardo la criptografia. Stay tuned!

Stop al tracking di iOS

Sapevate che alcune app su vostro iPhone o iPad tracciano la vostra posizione, accedono alla vostra fotocamera e al calendario, e altro? Nella prima parte di questa storia, vi mostreremo come disattivare il tracking usando le impostazioni di privacy di iOS.

Consigli