Se mi segui da un po’ mi avrai sentito parlare diverse volte di CryptoLocker e di ransomware, in generale. Se invece mi segui da poco e non sai di cosa sto parlando, allora il tuo informatico ha omesso qualche avviso di sicurezza.
Un ransomware è una minaccia informatica che, in pratica, ti impedisce di accedere al tuo PC o ai tuoi dati e richiede il pagamento di un riscatto (ransom) per consentirti di utilizzarli nuovamente.
I ransomware si dividono in due tipologie:
- Lockscreen ransomware, dove l’accesso al tuo PC viene impedito fino al pagamento (in realtà anche dopo aver pagato). Un esempio è il tristemente noto virus della polizia postale, che ti accusava di aver visionato materiale pedo-pornografico e chiedeva il pagamento di una multa;
- Encryption ransomware, dove i tuoi dati vendono crittografati e viene richiesto il pagamento di una somma in denaro per fornirti la chiave per decifrarli e utilizzarli nuovamente. L’esempio è, per l’appunto, CryptoLocker o una delle sue varianti, diffuso prevalentemente tramite mail. I più recenti casi che potresti aver sentito sono la mail del corriere SDA o quella di ENEL.
Perché torno a parlarne oggi, se già ne ho parlato molto in passato?
Il primo motivo per cui ne parlo è che ancora ieri un mio cliente ha aperto una mail con una finta fattura di un architetto (fattura.pdf.pdf1.exe), e quindi l’informazione non ha ancora fatto breccia nella testa di tutti. Fortunatamente per il cliente, tempo fa gli ho fornito un ottimo antivirus che ha bloccato l’infezione sul nascere, senza che i dati venissero compromessi.
Il secondo motivo è che ho letto in rete una cosa che mi ha fatto riflettere.
Pensa un po’, qualche genio del male ha ideato il nuovo servizio. Si chiama RaaS, acronimo di Ransomware-as-a-Service.
Sai cosa si intende con as-a-Service? Si intende “sotto forma di servizio”.
In pratica, se un minchione decidesse di voler cominciare a diffondere un ransomware e guadagnare soldi prelevandoli direttamente dalla tua saccoccia, non dovrebbe nemmeno perdere tempo a scrivere del codice per realizzarlo. Infatti, un altro minchione ha già tutto pronto e pacchettizzato. Dovranno solo accordarsi sul prezzo da chiedere (a te), e saranno pronti a dividersi i guadagni. L’autore del ransomware si beccherà una percentuale tra il 5% e il 20%, mentre la rimanenza andrà a colui che si occuperà della diffusione.
In pratica, è come se un rapinatore chiedesse i nominativi di qualcuno da derubare, e in cambio di questo offrisse una grande fetta di bottino, variabile tra l’80% e il 95%.
Considera che i destinatari di questa offerta sono, ovviamente, hacker già attivi e con una vasta rete di PC compromessi, una botnet che potrebbe essere utilizzata per diffondere il virus o potrebbe diventarne bersaglio.
Questo significa che il business del ricatto non risente crisi, e ci saranno nuove ondate sempre diverse che avranno, come unico limite, la fantasia di chi si occupa della distribuzione di massa.
Cosa fare per ridurre il tuo rischio al minimo?
Molto spesso, tramite il blog, vengo contattato da utenti che hanno preso un ransomware e mi chiedono supporto per recuperare i file crittografati.
Ti devo dire una cosa, perché è inutile che ce la raccontiamo.
Se non si intende sborsare quattrini, prendere un ransomware di tipo encryption, significa molto probabilmente aver perso i dati. Spesso significa perderli anche pagando quanto richiesto.
Per salvare i dati e le chiappe, l’unica cosa che puoi fare è prevenire, e la prevenzione in questo caso si basa su 3 elementi fondamentali:
- Formazione del personale. Se uno apre un file che si chiama fattura.pdf.pdf1.exe, convinto di trovarci un documento, siamo messi male. Ma molto male.
- Sistema di protezione attivo. Devi essere in condizione di non dover giustiziare l’impiegato che ha aperto il file del punto 1. Per farlo devi avere qualcosa che ti protegga. Devi avere un ottimo antivirus, e ti consiglio di mettere anche una protezione hardware perimetrale, con i servizi di controllo minacce attivi.
- Devi avere un sistema di disaster recovery. Pensa al peggio. L’errore umano dell’impiegato che apre la mail infetta, e il nuovo virus che per sfiga l’antivirus non sa ancora intercettare. Non puoi ridurti alla canna del gas per un simile evento, no? Devi essere quindi in grado di recuperare i dati, qualsiasi sia l’entità del danno che li ha distrutti.
Pensaci bene. E’ l’inesistenza di questi tre elementi chiave ad aver consentito, ai creatori di queste minacce, di incassare decine di milioni di dollari. Forse centinaia. Questi poco di buono sanno di poter contare su una grande vulnerabilità informatica: l’utente, con i suoi innumerevoli bug tra cui ne spiccano alcuni:
- Stress lavorativo. L’essere sempre di corsa molto spesso fa compiere azioni non ragionate.
- Ignoranza informatica. L’utente non sa distinguere un file eseguibile da un documento o un file audio.
- Menefreghismo di base. Spesso il PC del lavoro è considerato in modo diverso dal proprio dispositivo personale, e non si ritiene di doverci dedicare la stessa attenzione.
- Tendenza al risparmio compulsivo. Ho parlato con persone che non hanno una soluzione di backup e ripristino in azienda, “perchè costava troppo”.
- Errate convinzioni. Settimana scorsa ho parlato con un’azienda, dalle mie parti, che non ha mai messo un antivirus su nessun PC, “perché rallenta”.
- Consigli da parte di sprovveduti. Si, esatto. L’antivirus gratuito e il “programmino” che copia i dati a mezzanotte che ti ha consigliato tuo cugino sono proprio quelli che ti lasceranno a piedi nel momento del bisogno. E a tuo cugino, a quel punto, fischieranno le orecchie.
Queste caratteristiche costituiscono le fondamenta per la diffusione dei ransomware.
Siccome, se hai scelto di leggere fino a qui, credo che tu sia intenzionato a non farti mettere con le spalle al muro, ti consiglio di correre ai ripari, e subito. Anche se sei convinto di essere al sicuro, fai un bel controllo e verifica che tutto sia in ordine come credi. Non lasciare il fianco esposto
(Tratto da Andrea Monguzzi)
