Negli ultimi anni sono tantissimi i ransomware in circolazione tanto da diventare una vera e propria crisi che ha colpito organizzazioni e grosse aziende. Secondo le statistiche di Cybersecurity Ventures, entro la fine del 2019 le aziende saranno colpite da ransomware ogni 14 secondi. I criminali otterranno da questi attacchi informatici un’entrata complessiva di 11,5 miliardi di dollari. Il 91% degli attacchi sono causati da spear phishing e-mail utilizzati per infettare il computer. Com’è nata questa minaccia di sicurezza informatica e quali sono i 10 ransomware più pericolosi degli ultimi anni che le aziende dovrebbero conoscere?

AIDS Info Disk: il primo ransomware della storia

Il primo ransomware passato alla storia fu il trojan AIDS, noto anche come PC Cybor. Fu programmato in QuickBasic 3.0 nel 1989 dal biologo statunitense Joseph Popp e diffuso tramite floppy disk inviati tramite servizi postali. Popp inviò 20.000 floppy disk da 5,25” a ricercatori fuori dagli Stati Uniti che stavano effettuando delle ricerche sull’AIDS. “PC Cybor Corporation” era il mittente fittizio delle lettere da cui provenivano i floppy disk con su scritto “AIDS Information – Introductory Diskettes”. I dischetti erano accompagnati da un opuscolo informativo in cui si affermava la necessità di acquistare una licenza per utilizzare il software. All’interno dei dischetti erano presenti due installabili: “INSTALL.EXE” e “AIDS.EXE”. Il primo era il malware effettivo. Una volta che il malware si era insediato nel PC sostituendosi al file AUTOEXEC.BAT, il file di avvio del sistemi Windows MS-DOS, veniva visualizzato un messaggio in cui veniva chiesto all’utente di rinnovare la licenza per poter continuare ad utilizzare il computer. Le stampanti connesse stampavano un documento in cui si invitava a inviare 189 dollari a una casella postale a Panama per una licenza annuale e ottenere istruzioni sul ripristino dei dati. L’installazione del ransomware è stata eseguita dal 5% degli utenti, pari a circa 1.000 computer.

Trojan AIDS
Il messaggio visualizzato dopo l’infezione del PC dal ransomware AIDS. Fonte: Wikipedia.

Il ransomware provocò danni notevoli alla scienza. Un’organizzazione italiana per la ricerca sulla cura all’AIDS perse a causa del ransomware circa 10 anni di risultati di studio. Joseph Popp venne arrestato dall’FBI nel gennaio del 1990 dopo essere stato notato da un funzionario di sicurezza all’aeroporto di Amsterdam Schiphol. Ciò impedì che inviasse 2 milioni di floppy fisk contenenti il ransomware. Fu dimesso dal carcere prematuramente nel 1991 a causa della sua salute mentale instabile.

Il legame tra ransomware, crittografia e criptovalute

Negli anni 2000 Archiveus, Gpcode, TROJ.RANSOM.A, Krotten, Cryzip e MayArchive furono i primi ad utilizzare una crittografia RSA sofisticata. Ad esempio Gpcode, identificato a giugno 2006, utilizzava uno schema crittografico RSA a 660 bit. Due anni dopo fu scoperta una nuova versione inizialmente ritenuta difficilmente decrittabile perché utilizzava una chiave RSA a 1024 bit. Archiveus invece è un virus per Windows Microsoft che richiede all’utente di effettuare un acquisto su un sito Internet per ottenere la password di decrittazione. A maggio 2006 è stata crackato il software ed è stata scoperta la password che recuperare i file infetti. Qualche anno dopo apparvero una serie di ransomware per così dire “polizieschi” dal momento che fingevano di essere avvertimenti da parte delle forze dell’ordine. Alle vittime veniva chiesto il pagamento di una multa per loro presunti atti illeciti. Contemporaneamente si iniziò a sfruttare la nuova generazione di servizi di pagamento anonimi per ottenere denaro senza essere scoperti. Cavalcando la possibilità di sfruttare l’anonimato e la non tracciabilità dei pagamenti, verso la fine del 2010 emerse una nuova tendenza tra i criminali informatici: l’uso delle criptovalute. Il Bitcoin in particolare è diventato la moneta dei riscatti informatici. Nel corso degli ultimi anni gli attacchi ransomware sono diventati una vera e propria minaccia, accompagnati da agenzie di spionaggio top secret e intrighi internazionali. È il caso ad esempio di WinLock a causa del quale le autorità russe hanno arrestato dieci persone ad agosto 2010.

I 10 ransomware più pericolosi degli ultimi anni

I ransomware sono oggi tra le principali minacce informatiche. Oggi lo scenario è molto diversificato con oltre 1.100 varianti pronte ad attaccare aziende e utenti privati. Il numero di vittime è in costante aumento e le tecnologie alla base dei ransomware è sempre più sofisticata. Qui vengono presentati i 10 ransomware più pericolosi degli ultimi anni. Alcuni potresti conoscerli già, speriamo non per tua diretta esperienza!

CryptoLocker

CryptoLocker è entrato in scena nel 2013 ed è stato molto probabilmente il primo ad aprire l’era dei ransomware su larga scala. Diffusosi tramite allegati e messaggi spam utilizzando il botnet Gameover ZeuS, ha utilizzato la crittografia della chiave pubblica RSA 2048 bit per criptare i file degli utenti in cambio di denaro. Secondo Avast, al suo apice tra la fine del 2013 e l’inizio del 2014, CryptoLocker aveva infettato oltre 500.000 computer utilizzando anche i cloni CryptoWall, Crypt0L0cker e TorrentLocker. Il software malevolo era piuttosto “elementare” ed è stato sconfitto grazie all’Operazione Tovar, una campagna congiunta tra FBI, Interpol, aziende di sicurezza e università. CryptoLocker ha aperto la strada a molte altre varietà di ransomware che si sono basati proprio sul suo codice per creare nuove minacce.

TeslaCrypt

Se all’inizio si era presentato come una variante di CryptoLocker, questo ransomware ha poi ottenuto una sua identità grazie al suo particolare modus operandi. TeslaCrypt ha preso di mira i file ancillari associati ai videogiochi, come partite salvate, mappe, contenuti scaricabili e simili. Per i gamer si tratta spesso di file importanti, salvati localmente piuttosto che su cloud o unità esterne. Nel 2016 TeslaCrypt ricopriva il 48% degli attacchi ransomware a livello mondiale. Alle vittime veniva richiesto un riscatto pari a 500 dollari in bitcoin. Una caratteristica che gli ha permesso di colpire così tante vittime è stata il suo costante evolversi. Agli inizi del 2016 era possibile ripristinare i file solo con l’intervento degli hacker creatori. La sorpresa arrivò a maggio 2016 quando i creatori di TeslaCrypt decisero di metter fine alle proprie attività malevole e offrirono al mondo la chiave di decodifica principale. Dopo qualche giorno ESET rilasciò un tool gratuito per decrittare i computer infetti.

SimpleLocker

Sappiamo tutti come il mobile abbia preso piede nella nostra vita e sia diventato il dispositivo elettronico più utilizzato. Questo nuovo trend non poteva non essere sfruttato dagli hacker. Tra la fine del 2015 e il 2016 abbiamo assistito a un escalation di attacchi ransomware a dispositivi con sistema operativo Android fino a quattro volte in più.

android ransomware
Gli attacchi ransomware su dispositivi Android hanno visto un aumento fino a 4 volte. Fonte: Kaspersky Lab.

All’inizio si tratta si trattava di attacchi che rendevano difficile l’accesso ai file impedendo agli utenti di accedere a sezioni dell’interfaccia utente. Alla fine del 2015 si diffuse SimpleLocker, conosciuto anche come Andr/Slocker-A, il primo vero ransomware su Android. SimpleLocker si diffonde come trojan downloader mascherato da app. Una volta installato, scansiona il dispositivo e utilizzando la crittografia AES cambia l’estensione dei file in .ENC. Raccoglie inoltre informazioni come il numero IMEI, il modello, il produttore e li invia a un server C2. Le versioni più recenti erano in grado di accedere alla fotocamera e mostrare una foto della vittima per spaventarla e convincerla a pagare il riscatto. SimpleLocker è nato in Europa dell’Est, ma la maggior parte delle sue vittime sono state localizzate negli Stati Uniti. SimpleLocker non rappresenta più una minaccia oggi. Su questa pagina è possibile trovare dettagliate informazioni su come rimuovere SimpleLocker su diversi modelli Android.

Cerber

Cerber è un esempio di tecnologia ransomware evoluta che sfrutta la crittografia RSA avanzata. Viene distribuito come ransomware-as-a-service (RaaS), una sorta di “programma di affiliazione” per i criminali informatici. Chiunque può acquistarlo e farlo circolare sul web in cambio del 40% dei profitti. Il software malevolo ha preso come target gli utenti del pacchetto Office 365 su cloud. Utilizza un’elaborata campagna di phishing che ad oggi ha colpito milioni di utenti in tutto il mondo. Unica eccezione i paesi dell’Europa orientale. L’attacco avviene così: in genere la vittima riceve un’e-mail con in allegato un documento Microsoft Office infetto. Una volta aperto, il ransomware può funzionare silenziosamente in background durante la fase di crittografia non destando nessun sospetto. Una volta completata la crittografia dei file, l’utente trova una nota con il riscatto nelle cartelle infette e spesso anche come sfondo del desktop. Al suo apice agli inizi del 2017, Cerber rappresentava il 26% di tutti gli attacchi ransomware. Ad oggi sono disponibili vari decodificatori che possono aiutare a decrittare i file.

SamSam

Gli attacchi ransomware noti come SamSam sono apparsi alla fine del 2015, ma sono cresciuti solo qualche anno dopo riuscendo a mettere in ginocchio obiettivi di alto profilo in particolare negli Stati Uniti. SamSam ha alle spalle un solido modello organizzativo piuttosto che una struttura tecnica. Nel 2015 e 2016 venivano sfruttare le vulnerabilità JBoss. Poi nel 2018 SamSam ha forzato password deboli o sfruttato le vulnerabilità su RDP, server basati su Java e server FTP per ottenere accesso alla rete delle vittime. Sembra che gli attacchi SamSam siano manuali e che quindi ci sia qualcuno dietro la tastiera ad attaccare la rete e rendere i file inaccessibile con la crittografia RSA-2048. Si tratta di un attacco studiato e il riscatto varia in base al livello e al volume dei dati della vittima, nonché della sua disponibilità a pagare.

samsam ransomware
Gli attacchi del ransomware SamSam nel 2018. Fonte: Symantec.

Analizzando il wallet Bitcoin del gruppo SamSam è emerso, ad esempio, che l’ospedale statunitense Hancock Health il 13 gennaio 2018 alle 2:31 del mattino ha versato il riscatto di 4 bitcoin pari a circa 51.000 euro. Nel giro di due ore i sistemi della struttura sanitaria sono stati ripristinati.

WannaCry

WannaCry è uno dei ransomware più pericolosi, nonché uno dei maggiori attacchi informatici di sempre. Per la prima volta il termine ransomware entrò nel dibattito pubblico e nella stampa mondiale. A maggio 2017 erano caduti vittime 200 mila utenti in circa 150 paesi tra cui grosse aziende, organizzazioni e istituzioni pubbliche. Si tratta della prima ondata di attacchi con strumenti di hacking trapelati dalla NSA. WannaCry utilizza l’exploit EternalBlue e un bug di Microsoft nell’implementazione del protocollo SMB. Nonostante Microsoft avesse rilasciato un aggiornamento di sicurezza, molti computer non erano stati ancora aggiornati.

wannacry schermata
La schermata con la richiesta di riscatto che appare nei computer bloccati da WannaCry.

WannaCry ha sfruttato proprio questa lacuna diffondendosi in modo aggressivo su tutti i dispositivi collegati in rete. Una sua caratteristica pericolosa è il fatto che si autoinstalla nel computer criptando i file con l’estensione .WCRY. L’estorsione è pari a 300 dollari in bitcoin da pagare entro i primi 3 giorni, poi vengono raddoppiati a 600. Se il pagamento non avviene entro una settimana tutti i file andranno persi. Due anni dopo la diffusione mondiale di WannaCry, si conta che ancora due milioni di computer siano ancora esposti all’attacco.

Petya e NotPetya

Dopo WannaCry, l’era dei ransomware è stata confermata da NotPetya. Petya era un pacchetto ransomware risalente al 2016. Poche settimane dopo l’epidemia di WannaCry, iniziò a diffondersi in una versione aggiornata, che sulle tracce dell’ormai noto ransomware WannaCry, sfruttava l’exploit EternalBlue. Data la sua evoluzione nel tempo venne cambiato il nome in NotPetya. Il ransomware in data 28 giugno 2017 è stato registrato per l’80% in Ucraina, secondi dati ESET. Al secondo posto c’era la Germania al 9%. Anche NotPetya si è diffuso principalmente via e-mail allegando un file con estensione .doc, .xls, .ppt o .pdf. Il file può essere visualizzato tranquillamente ma all’insaputa dell’utente viene installato e avviato un dropper che scarica da Internet il malware vero e proprio. Una volta criptati i file, il PC viene reso inutilizzabile e viene chiesto un riscatto di 300 dollari in bitcoin. La differenza fondamentale tra Petya e gli altri ransomware come WannaCry, è che invece di crittografare ogni file, questo ransomware punta direttamente al boot loader del PC.

Bad Rabbit

Bad rabbit segue le orme di WannaCry e NotPetya. Ha colpito organizzazioni prevalentemente in Russia e nell’Europa orientale travestito da installazione Adobe Flash. Si diffonde tramite download drive-by su siti web compromessi in cui è stato inserito nel codice HTML o nei file Java utilizzando JavaScript. Una volta scaricato e installato, il PC viene bloccato. Il riscatto è di 280 dollari in bitcoin con una scadenza di 40 ore per effettuare il pagamento.

bad rabbit ransomware
Il ransomware Bad Rabbit si è diffuso nel 2017 attaccando in particolare la Russia, ma anche Bulgaria, Turchia e Germania. Fonte: Kaspersky.

Ryuk

Ryuk è un ransomware che ha colpito molto tra il 2018 e il 2019 mirando specificamente organizzazioni che possono sborsare parecchio e a cui non è possibile avere tempi di inattività. Tra le vittime si annoverano quotidiani americani e il servizio idrico del North Carolina alle prese con le conseguenze dell’uragano Florence. Il ransomware utilizza algoritmi militari robusti come RSA4096 e AES-256. Una caratteristica particolarmente subdola di Ryuk è che può disabilitare l’opzione “Ripristino configurazione di sistema” di Windows sui computer infetti. Ciò rende ancora più difficile recuperare i dati crittografati senza pagare i criminali. Le richieste di riscatto erano inoltre particolarmente elevate in corrispondenza all’importanza delle vittime. Gli analisti ritengono che il codice sorgente di Ryuk sia in gran parte derivato da Hermes, un prodotto del gruppo Lazarus della Corea del Nord. Ciò non significa che il ransomware sia gestito dallo stato coreano. McAfee ritiene che Ryuk sia stato costruito su un codice di un produttore di lingua russa, in parte perché il ransomware non viene eseguito su computer in cui la lingua è impostata su russo, bielorusso e ucraino. Qui è possibile trovare dettagliate informazioni per eliminare Ryuk su diversi sistemi operativi Windows.

GandCrab

GandCrab è considerato il ransomware multimilionario più popolare e diffuso nel 2018 e 2019. Per evitare il rilevamento i criminali informatici dietro a GandCrab hanno fatto forte affidamento sulle macro di Microsoft Office, VBScript e PowerShell. GandCrab utilizza un modello ransomware-as-a-service (RaaS) per massimizzare la distribuzione focalizzandosi soprattutto sul phishing via e-mail. Le richieste di riscatto vanno da 500 a 600 dollari. Secondo un report di gennaio 2018, GandCrab ha infettato oltre 48.000 nodi in un mese. Nonostante tutti gli sforzi e i successi nel recupero dei dati, non si è ancora riuscito a debellare la minaccia dal momento che il team di criminali apporta continuamente modifiche. A marzo 2019, erano in circolo 9 distinte varianti del ransomware. L’Europol, in collaborazione con la polizia rumena, la procura generale e Bitdefender, ha hackerato i server di GandCrab per ottenere le chiave e ha realizzato un prodotto che permette di decifrare i file gratuitamente per la versione del software malevolo 1,4 fino a 5.1.

Minore numero di attacchi, maggiore percentuale di successo

Dopo aver presentato i ransomware più pericolosi degli ultimi anni è importante sottolineare però che tra il 2018 e il 2019 è stato registrato un certo declino. Il calo è considerevole e ha delle ragioni alla base. Gli attacchi ransomware sono sempre più personalizzati per obiettivi specifici. Vengono gestiti da sofisticati strumenti di controllo e gestione in tempo reale, come avviene ad esempio con SamSam e Ryuk. Gli attacchi mirati colpiscono un numero molto ristretto di organizzazioni, ma hanno un tasso di successo molto più elevato. Un inferiore numero di attacchi non si traduce dunque in un calo delle entrate per gli aggressori. Bisogna dunque continuare a restare vigili ed adottare misure di sicurezza in grado di proteggerci da tali minacce sempre più sofisticate. Per avere maggiori informazioni su come difenderti dai ransomware ti rimandiamo al nostro articolo dedicato.

Simone Catania

Classe 88, nato e cresciuto ai piedi dell’Etna, il cognome non mente. Non scrivo l’apostrofo invece dell’accento. Addomestico la punteggiatura per professione.

X