Il fenomeno del ransomware

Per capire che cosa si intende per ransomware è utile partire dalla sua traduzione: il termine “ransom” infatti significa in italiano “riscatto”. E proprio il riscatto è ciò che distingue questa tipologia di attacco informatico dalle altre: in concreto, si tratta di un virus in grado di bloccare tutti i dati presenti su un dispositivo elettronico fino al pagamento di un riscatto (solitamente in bitcoin).

I ransomware esistono da molti anni, ma nell’ultimo decennio si sono particolarmente evoluti: le prime versioni infatti erano classificabili come malware di tipo trojan, ma le più recenti lo hanno portato ad essere uno dei malware più temuti, poiché non colpiscono più come in passato gli utenti privati, ma il loro target principale sono diventate le aziende, in particolare le banche.

Kapersky ha redatto un report riguardante l’evoluzione dei ransomware tra il 2016 e il 201754: nel maggio 2016 Kapersky Lab ha scoperto Petya, che non solo cripta i file

58

contenuti nel computer dell’utente, ma si spinge oltre, infettando l’MBR55 _{(Master Boot}

Record) in modo tale che i computer infetti non siano più in grado di avviare il sistema operativo se non pagando il riscatto richiesto.

All’inizio del 2017 i ricercatori di Kapersky Lab hanno scoperto un nuovo trend nell’ambito dei ransomware, ossia un cambiamento del target di questi attacchi: gli hacker stanno rivolgendo sempre di più le loro attenzioni non verso gli utenti privati, ma bensì verso aziende appartenenti ai più svariati settori. In questo contesto, si sta passando da attacchi ransomware effettuati in maniera casuale ad attacchi di natura mirata, nei quali l’obiettivo dei cyber criminali è ben preciso e studiato ad hoc. Kapersky rivela che tra le aziende coinvolte negli attacchi figurano sempre più spesso le istituzioni finanziarie, in particolare le banche: questa scelta “mirata” deriva dal fatto che i criminali considerano tali attacchi ben più proficui rispetto ad un attacco compiuto senza prima aver identificato il profilo delle potenziali vittime, e i ransomware contro le banche consentono di ottenere sicuramente maggiori guadagni.

Questo nuovo trend è coerente con le motivazioni che spingono i cyber criminali ad effettuare attacchi informatici di tipo ransomware: difatti, l’obiettivo che si pongono gli hacker tramite questi malware è principalmente quello di ottenere guadagni tramite lo strumento dell’estorsione, cioè ricattando i malcapitati, e non quello di violare i dati e ottenere informazioni riservate.

Il 2017 è stato caratterizzato dalla presenza di vari ransomware, tra cui uno dei più noti è sicuramente Wannacry: si tratta di un malware che ha avuto come principali target i sistemi operativi Windows vecchi o non aggiornati di governi, ospedali, ma anche istituti di credito. Tale ransomware entra in azione quando l’utente (principalmente di sistemi Windows) apre un file (generalmente un allegato e-mail) che contiene il virus. A quel punto tutti i file presenti sul computer vengono criptati e a tutti viene aggiunta l’estensione .WNCRY: lo sfondo del desktop del computer viene sostituito con un messaggio nel quale si informano gli utenti che i file sono stati criptati e che per sbloccarli occorre pagare un riscatto di $300 in bitcoin.

Una variante di Wannacry è il virus Petya, che ha colpito in maniera indistinta tutta Europa, fino ad arrivare alla centrale nucleare di Chernobyl e al colosso dei trasporti marittimi Moller-Maersk. Come per Wannacry, anche in questo caso le modalità d’azione

55 _{L’MBR è la parte dell’hard disk che consente di identificare come e dove è situato il sistema operativo}

59

sono le stesse: prima vengono bloccati i file sul computer, e poi per sbloccarli viene richiesto il pagamento di un riscatto in bitcoin.

A tal proposito, i recenti ransomware si caratterizzano per l’utilizzo del bitcoin come moneta per chiedere il pagamento del riscatto: questa criptovaluta risulta strategica in tale contesto, in quanto una delle sue peculiarità è quella di non poter essere rintracciata, altrimenti, se il riscatto venisse pagato con altri metodi, l’hacker verrebbe rintracciato e arrestato.

Essendo un ransomware molto recente, non sono state studiate ancora particolari tecniche di prevenzione, ma si può intuire facilmente come, avendo Wannacry scelto di sfruttare le falle dei sistemi operativi Windows obsoleti e non aggiornati, la prima cosa che Microsoft ha consigliato agli utenti è quella di installare un aggiornamento volto ad impedire l’attacco; tuttavia, molti non hanno ancora installato l’aggiornamento e sono stati perciò colpiti dal virus Wannacry.

Oltre a questi metodi di prevenzione, una soluzione alternativa al pagamento del riscatto può essere la decrittazione dei file colpiti dal virus, ma spesso questo processo si presenta alquanto complicato poiché i crypto ransomware sono in continua evoluzione, e quest’evoluzione è accompagnata da una crescita della sofisticazione di tali virus e quindi da una maggiore difficoltà nel decrittare i file bloccati.

Secondo uno studio di Deloitte, i ransomware si suddividono in due principali categorie56_:

1) Locker Ransomware → questo tipo di ransomware non ha l’obiettivo di criptare file o dati degli utenti, ma è utilizzato per ottenere guadagni. Una volta che il computer è stato infettato, sul desktop compare un messaggio contenente un testo tramite cui gli utenti vengono a sapere che il computer è stato sequestrato dalle forze dell’ordine in seguito ad alcuni crimini commessi dall’utente (ad esempio la detenzione di materiale pedo-pornografico o la diffusione di materiale coperto da copyright, come video, musica e altri file) e chiede alla vittima di pagare un riscatto.

In alcuni casi, per rendere più credibile la provenienza e l’attendibilità del messaggio, in esso compare l’indirizzo IP dell’utente, la localizzazione geografica, e talvolta addirittura un collegamento diretto dalle webcam, in modo da far credere all’utente che egli ha seriamente commesso un crimine e costringerlo così a pagare il riscatto.

60

Una delle più famose tipologie di Locker Ransomware è Reveton, ossia il ransomware “Polizia”57_{. In tali attacchi, il malware infetta i sistemi attraverso messaggi che si}

dichiarano provenienti dalle autorità di polizia, affermando che vi sono prove concrete del fatto che l’utente avrebbe commesso atti illegali tramite l’utilizzo del dispositivo. L’obiettivo dell’attacco è quello di spaventare gli utenti e indurli a pagare un riscatto per l’attività potenzialmente illecita compiuta. Per rendere gli attacchi ancora più credibili e minacciosi, i ransomware della polizia spesso vengono personalizzati in base alla posizione della vittima, mostrando l’indirizzo IP.

Tramite questa tipologia di ransomware, in pratica, gli hacker fanno leva sulla provenienza dei messaggi dalle autorità e sul tono intimidatorio che essi assumono nel confronti delle vittime, le quali, preoccupate per le conseguenze che possono derivare dai reati commessi, sia in termini civili che penali, si vedono costretti a pagare il riscatto, anche se nella realtà tali soggetti non sono colpevoli di alcun reato informatico.

Si è portati a pensare che questa tipologia di attacco sia un mix tra l’utilizzo di tecniche di ransomware e ingegneria sociale, in quanto sono presenti sia l’elemento del “ransom”, cioè del riscatto, ma anche tecniche di raggiro tipiche del “social engineering”, poiché l’hacker assume una falsa identità, in questo caso trasformandosi in autorità come le forze di polizia.

2) Crypto Ransomware → questa tipologia di ransomware, al contrario della precedente, ha l’obiettivo di “criptare” i file e i dati delle vittime, utilizzando varie metodologie crittografiche, poi avverte le vittime che i file sono stati codificati e chiede un riscatto per sbloccare i file criptati. Attraverso questa categoria di ransomware risulta difficile per le vittime riuscire ad accedere nuovamente ai propri file, se non cedendo al pagamento del riscatto.

Per quanto riguarda le banche nello specifico, è stato scoperto di recente un malware per Android, denominato DoubleLocker, che si diffonde come falso aggiornamento di Adobe Flash Player tramite siti compromessi, e si caratterizza per il fatto di criptare i file mediante due step: innanzitutto gli hacker modificano il Pin del dispositivo, impostandone uno casuale in modo da impedire all’utente l’accesso allo stesso dispositivo. Successivamente i cyber criminali codificano i dati, rendendoli irrecuperabili. Una volta iniettato, DoubleLocker richiede l’attivazione del “Google Play Service”, poi

57_{http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransom}

61

acquisisce le autorizzazioni di accesso e le sfrutta per attivare i diritti di amministratore del dispositivo. Infine, senza nessun intervento dell’utente, si imposta come applicazione Home predefinita. Inoltre, Doublelocker è creato anche per rintracciare i dati di accesso ai conti correnti o PayPal, con la possibilità di svuotarli58.

L’ultima frontiera nell’ambito dei ransomware si chiama LokiBot, cioè un trojan bancario per i dispositivi mobile Android con capacità di ransomware59. Questo malware ha come obiettivo la falsificazione di applicazioni bancarie, e agisce in questo modo: esso mostra all’utente false schermate di login mediante le quali cattura le credenziali di autenticazione e le invia ai server controllati dai cyber criminali. LokiBot è in grado di falsificare più di 100 app bancarie, oltre ad alcune app di ampia diffusione, come Facebook, Messenger, PayPal, Whatsapp.

Questo malware ha delle particolarità rispetto ai precedenti trojan bancari, tra cui si rilevano: 1) la capacità di aprire un browser mobile, caricare un URL specifico e installare un proxy mediante il quale redirigere il traffico di rete in uscita; 2) rispondere automaticamente agli SMS e inviare SMS di spam a tutti i contatti della vittima allo scopo di diffondere l’infezione; 3) mostrare false notifiche apparentemente provenienti da app legittime. Quest’ultima funzione consente al malware di indurre l’utente ad aprire l’app della propria banca facendogli credere, ad esempio, di aver ricevuto un accredito sul proprio conto corrente. Quando l’utente apre la notifica, LokiBot mostra la falsa schermata per l’inserimento delle credenziali.

Questi esempi dimostrano come l’evoluzione nell’offerta di prodotti e servizi bancari ottenuta grazie alla rivoluzione 4.0 abbia facilitato l’attività criminale degli hacker, i quali possono facilmente rubare dati sensibili sfruttando le vulnerabilità nella sicurezza delle app bancarie utilizzate dai clienti.