TRASFORMAZIONE DEL RANSOMWARE, DAL FLOPPY DISK AL BOT.
Con l’evoluzione tecnologica anche questo malware ha progredito nella sua sofisticatezza. Che forma ha oggi un ransomware di ultima generazione?
Un po’ di storia: PC Cyborg il ransomware rudimentale
Era il 1989, quando quello che viene considerato il primo ransomware della storia ha fatto il suo debutto. Battezzato “PC Cyborg”, perché i pagamenti erano diretti a una fantomatica “PC Cyborg Corporation”, il malware bloccava il funzionamento del computer giustificandolo attraverso la presunta “scadenza della licenza di un non meglio specificato software”. Veniva chiesto un riscatto di 189 dollari, da destinare ad una casella postale a Panama, per far tornare tutto alla normalità. Il fautore di tale meccanismo era Joseph Popp e che lo diffuse per la prima volta ad un congresso sull’Aids, mediante floppy disk infetti consegnati ai partecipanti: inserendo il floppy disk il virus si installava e criptava i file.
Questo ransomware ebbe una diffusione estremamente limitata, perché poche persone usavano un personal computer, internet era una rete per soli addetti ai lavori (quindi si trasmetteva via floppy disk), la tecnologia di criptazione era limitata e i pagamenti internazionali erano molto più macchinosi.
Ma da quel momento in poi questi virus hanno fatto passi da gigante, diventando sempre più sofisticati: le chiavi crittografiche utilizzate sono sempre più difficili da decifrare, e grazie alla geolocalizzazione, persino il messaggio che avverte del blocco del pc compare nella lingua del malcapitato.
Dopo la parentesi del 1989, la vera e propria esplosione dei ransomware comincia nel 2012 e da allora non si è più fermata: per i cybercriminali si è rivelata una pratica sempre più redditizia e i nuovi ransomware si sono perciò moltiplicati: nel solo anno 2016 sono state create 62 nuove “famiglie” di questo genere di virus, delle quali 47 (pari al 75%) sono state sviluppate da cybercriminali russi.
Nel 2013 nell’ambiente si scherzava sulla probabilità che Cryptolocker (trojan comparso nel 2013 e perfezionato nel maggio del 2017, che infetta i computer con sistema operativo Windows), venisse recapitato a ogni singolo indirizzo e-mail su Internet.
In quel periodo i cyber-criminali avevano cominciato a mandare e-mail di phishing a milioni di indirizzi, recapitando numerose varianti di ransomware tramite collegamenti infetti o documenti di Word, ma senza alcun apparente ordine o motivo nella selezione degli obiettivi da colpire. Diverse tipologie di utenti sono cadute prede di questi attacchi, dagli studenti ai nonni, dagli utenti domestici ai professionisti IT nelle postazioni aziendali.
Ma quando il ransomware ha iniziato a crittografare le risorse accessibili in rete, le aziende hanno iniziato a prestare molta più attenzione. Infatti, la crittografia del file server di un’infrastruttura o del sistema di Network Attached Storage provoca più danni all’azienda rispetto alla crittografia di una singola postazione. Perciò gli amministratori IT, in modo particolare quelli dei sistemi colpiti da ransomware hanno iniziato a porre domande molto serie sulle conseguenze del pagamento del riscatto, ed è probabilmente proprio questo il fattore scatenante che ha spinto verso la fase successiva delle sue tecniche di distribuzione.
A colpi di precisione: l’ascesa del Remote Desktop Protocol
Nel 2016, abbiamo iniziato a vedere infezioni di massa di ransomware in cui diverse risorse critiche nell’ambiente della vittima sono state infettate contemporaneamente. I cyber-criminali stavano usando Remote Desktop Protocol, un protocollo proprietario progettato da Microsoft che forniva agli utenti l’interfaccia grafica di un sistema remoto, perfetto per camuffarsi e ottenere punti d’appoggio nell’ambiente della vittima.
Gli attaccanti cercavano di stabilire i loro punti di appoggio in alcune delle criticità che possono essere definite come “migliori amiche” di un criminale informatico, ovvero la configurazione errata o involontaria del programma di Active Directory. Queste infatti sono le falle perfette che consentono agli aggressori di accedere ai privilegi dell’amministratore del dominio. Una volta compromesso l’account di un amministratore di dominio, gli aggressori possono facilmente ottenere la capacità di eseguire la ricognizione nella rete al fine di identificare le risorse più importanti da infettare. A questo punto, dopo aver identificato i server critici e i sistemi di backup nell’ambiente collegato, gli aggressori potranno utilizzare gli strumenti di amministrazione del sistema Windows integrati per distribuire qualsiasi ransomware in massa. Un nuovo metodo di accesso che va a colpire in profondità le vittime.
Lo stadio successivo: gli Enter Botnets
La tattica di usare RDP come punto d’appoggio iniziale per questi schieramenti di massa di ransomware è diventata in poco tempo la tattica più diffusa.
Tuttavia, con casi recenti come il ransomware Ryuk, abbiamo assistito ad un’altra evoluzione della tattica.
Nell’ultimo periodo Check Point, azienda leader nel settore della Cyber security che sta studiando approfonditamente il fenomeno di diffusione delle infezioni tramite bot e ha potuto osservare numerosi contagi provenienti da TrickBot, Emotet e AdvisorsBot. Queste infezioni da bot sono state diffuse nell’ambiente della vittima e hanno anche sfruttato le relazioni errate di Active Directory per diffondersi lateralmente. Questa tendenza verso l’utilizzo dei punti di accesso ai bot è in aumento.
In questi casi, è stata trovata una e-mail di phishing contenente documenti con parole dannose come vettore di consegna del bot. Questi documenti con parole chiave dannose hanno al loro interno anche un contenuto eseguibile chiamato macro che è in grado di installare un bot o raggiunge le reti di comando e controllo della botnet per un payload aggiuntivo che finisce per essere il malware stesso.
Purtroppo, questa è una tendenza che pare essere in costante aumento, poiché con l’avanzare del potenziamento delle nuove tecnologie verranno sicuramente implementati robot dettagliati, in grado anche di attaccare sempre più capillarmente.
Ma fortunatamente Check Point dispone di un team di risposta agli incidenti informatici composto dai migliori esperti analisti della sicurezza che aiutano costantemente ad indagare sugli attacchi contro clienti Check Point e non Check Point, sviluppando sistemi altrettanto sofisticati per poter rispondere ed evitare le minacce.
Anche noi di Core Sistemi disponiamo dei loro prodotti all’avanguardia per proteggersi e prevenire queste tipologie di attacchi. Scopri qui come poterti proteggere.