Cybersecurity

In ufficio ok, ma il PC di tuo fratello o del tuo amico?

18 Novembre 2014

Cosa accadrà in futuro sul fronte della sicurezza consumer?
Ecco le previsioni principali:

  • FBI/ICE MoneyPak;
  • Cryptolocker;
  • Applicazioni fasulle.
 

FBI/ICE MoneyPak
 


 

 
Durante l'ultimo anno abbiamo assistito ad alcune preoccupanti evoluzioni nel settore del ransomware.
FBI/ICE MoneyPak o Win32.Reveton hanno colpito pesantemente la community degli utenti PC.

Pur essendo stato osservato inizialmente nel 2012, solo nel 2013 è stato modificato quel tanto da diventare uno dei ransomware più fastidiosi e difficili da eliminare. Una volta scaricato sul computer e lanciato in esecuzione sotto forma di allegato di posta, "video codec" o simili, questo codice elimina tutti i safe mode, chiude il task manager e mostra esclusivamente la schermata qui sopra.

Diventa quindi impossibile lanciare qualsiasi applicazione come system restore o regedit dal momento che il ransomware ha effettuato l'hijack della shell Explorer. Molte di queste applicazioni si avviano anche nei nuovi account utente, pertanto l'unico metodo di rimozione possibile consiste nel fare boot da un disco con Linux per poi procedere all'eliminazione. Dal momento che questa tecnica è molto efficace (in particolare le varianti zero-day) contro la maggior parte degli antivirus, è probabile che si possa diffondere ulteriormente. Cambieranno i nomi e i tipici testi relativi a presunte "violazioni" predisposti per spaventare gli utenti, dato che man mano che le persone verranno a conoscenza delle minacce circolanti sarà davvero questione di poco aggiungere una nuova immagine e un nuovo testo per provarci ancora.

Cryptolocker 

 


 

 
Questo nuovo Cryptolocker che ha spaventato tutti non è uno scherzo. Una volta installato su un computer, questo ransomware consuma circa il 10% della potenza della CPU per criptare tutti i documenti presenti (*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpe, *.jpg, *.avi, *.mp3, *.wma, *.wmv, *.wav, *.divx, *.mp4, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c) senza farsene accorgere.
 
Una volta cifrati tutti i file residenti sull'hard disk locale e sui drive di rete mappati, appare la schermata qui sopra. A differenza delle versioni precedenti, che memorizzavano la chiave di decifrazione insieme con il codice, ora la chiave viene creata e conservata su un server remoto, ed è diversa per ciascuna infezione.
Questo non lascia praticamente alternative a meno di non possedere un backup o di aver salvato un punto di ripristino del sistema. Shadow Explorer è un tool che permette di ripristinare tutti i file salvati in un punto di ripristino mediante il servizio Volume Shadow Service integrato all'interno di Windows (solo le versioni Vista/7/8).

Da notare, tuttavia, che funziona solamente con i file presenti sul medesimo hard disk del sistema operativo, pertanto se si sono persi file residenti su altri dischi secondari o dischi di rete non c'è altra scelta se non quella di pagare. Una crescente percentuale di esemplari di Cryptolocker osservati esegue (purtroppo) anche questo comando:

“C:WindowsSYsWOW64cmd.exe” /C “C:WindowsSysnativevssadmin.exe” Delete Shadows /All /Quiet
eliminando qualunque speranza di poter usare strumenti come Shadow Explorer. Per il futuro ci si possono attendere tantissimi altri Cryptolocker con ulteriori trucchi per impedire il ripristino dei file e l'identificazione da parte degli antivirus.

 

Applicazioni fasulle

                          
L'indicizzazione dell'hard disk mostra i file effettivamente esistenti Una foto dell'ufficio ripresa dalla webcam

 

Lo scorso anno sono stati registrati  enormi passi avanti da parte delle applicazioni fasulle. Non solo i loro autori hanno dedicato maggiore impegno per creare interfacce più realistiche, ma addirittura si sono premurati di riuscire a scattare fotografie degli utenti colpiti! In particolare, abbiamo scoperto alcuni che minacciavano di riprendere gli utenti tramite la webcam del computer a meno che non si fosse pagata una certa somma di denaro entro dieci minuti o giù di lì.

Queste applicazioni sostenevano di aver "rilevato virus che hanno scattato queste fotografie per inviarle a utenti non autorizzati", per quanto non sia stato poi registrato alcun traffico di rete successivamente all'installazione iniziale dei componenti. Per il futuro ci si può attendere una convergenza tra questa tattica e le tecniche di Cryptolocker.
Considerata l'estrema violazione della privacy associata alla ripresa non autorizzata di fotografie tramite webcam, è possibile prevedere l'insorgere di varianti che minaccino l'effettiva diffusione delle immagini come leva per convincere a pagare il riscatto richiesto.

(Tratto dal blog di Webroot)

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti