Dall’exploit del 2013, quando venne alla ribalta Cryptolocker, i cosiddetti “ransomware” hanno avuto una diffusione sempre maggiore, divenendo il rischio maggiore per la sicurezza informatica delle aziende. A giugno 2016, da un’analisi di Computer Crime and Intellectual Property Section (CCIPS), risultano 4000 attacchi di ransomware al giorno, con un incremento del 300% rispetto ai 1000 attacchi al giorno del 2015.
Ma di cosa si tratta? E’ un software che viene installato sul dispositivo che viene attaccato, che procede poi a crittografare tutti i file di tipo applicativo e office. L’operazione di crittografia non avviene solo sui file del dispositivo infettato, ma anche su tutte le risorse di rete a cui il dispositivo ha accesso: in questo modo vengono interessati anche i file che si trovano su altri dispositivi, server, storage presenti nella LAN. Completata la crittografia, l’utente viene avvertito che se vuole poter utilizzare nuovamente i propri file, deve procedere al pagamento di un importo, di norma definito in bitcoin: una valuta virtuale, utilizzabile solo in rete, che permette di non essere facilmente tracciati.
I file crittografati non possono essere utilizzati, in quanto il loro contenuto è stato modificato completamente: l’unico modo per poterli riavere funzionanti è di ricevere un programma specifico, che contiene la “chiave privata” con la quale poter decrittografare i file.
Alcune chiavi crittografiche sono state individuate, ma sono relative ad infezioni ransomware “datate”, non recenti.
Se si viene attaccati da virus recenti e si sceglie di non pagare il riscatto, i file crittografati vanno considerati definitivamente persi: l’unica salvezza è nelle copie di backup.
L’infezione può arrivare da link presenti su siti non “ufficiali”, da software scaricati da internet, da allegati o link contenuti nelle email, tramite supporti di memoria come usb key. Una delle ultime modalità sfruttate dagli hacker è l’utilizzo di accessi remoti a dispositivi della rete aziendale.
Come difendersi? E’ necessario ridurre al minimo il rischio di essere infettati e, nello stesso tempo, essere preparati in caso di infezione: ciò che vedremo nel prossimo post sui cryptovirus.
Stay tuned.