Alfonso Maruccia

Come cambia il ransomware

Gli autori di malware ricattatori si inventano nuove strategie, dalle chiavi crittografiche salvate offline alla minaccia di pubblicare online i file della vittima. Dall'FBI arriva un monito sorprendente, ancorché pratico: pagate il riscatto. A ProtonMail, però, non è servito

Roma - I modelli comportamentali del ransomware sono in evoluzione, gli autori di malware seguono nuove strade per far progredire il business criminale e le autorità federali statunitensi si dicono impotenti di fronte alla minaccia dei file criptati. La soluzione migliore è pagare.

Una delle alternative più interessati al tradizionale modello di ransomware controllato da remoto arriva dalla Russia, dove ignoti cyber-criminali hanno ideato una minaccia che sostituisce le chiavi crittografiche salvate online con quelle offline integrate direttamente nei file criptati.

All'atto dell'infezione, il malware crea una chiave RSA pubblica e la salva nei metadati dei file criptati, comunicando altresì agli utenti che i loro documenti sono finiti in ostaggio; a quel punto l'utente può contattare i criminali via posta elettronica allegando un sample di file infetto, ricevendo in cambio la richiesta di un pagamento in rubli e l'eventuale chiave privata necessaria a decriptare i documenti.
Al di là del meccanismo di funzionamento completamente offline, dicono i ricercatori, il ransomware Ransomcrypt.U (come classificato da Symantec) non è particolarmente sofisticato e l'unico payload di cui è dotato riguarda l'infezione dei file.

Un altro modello alternativo di estorcere denaro dagli utenti è quello perseguito da Chimera, ransomware che segue la solita strada della cifratura remota dei file ma vi aggiunge la minaccia di diffondere i file criptati online nel caso in cui la vittima non pagasse gli oltre 600 euro in Bitcoin richiesti per la decodifica. La minaccia è in realtà teorica, dicono i ricercatori, perché nulla dimostra che i file degli utenti vengano effettivamente trasferiti su un server remoto dopo la cifratura.

Quale che sia il modello di business seguito dagli autori, in ogni caso, il ransomware è un problema che sovente si dimostra quasi impossibile da risolvere con l'immediatezza di un tool antivirale: secondo l'agente dell'FBI Joseph Bonavolonta, il consiglio migliore che si può dare alle vittime della crittografia malevola è semplicemente di pagare il riscatto per decodificare i file infetti.
A ProtonMail, il servizio di email sicure tenuto sotto scacco da un attacco DDoS, pagare il riscatto non è servito: solo dopo una settimana, e con la collaborazione di numerosi esperti, il provider svizzero è riuscito a liberarsi da una seconda ondata di attacchi.

Alfonso Maruccia
Notizie collegate
  • SicurezzaRansomware all'attacco dei server LinuxIndividuata una nuova genìa di codice malevolo pensata per prendere in ostaggio i file sui server Linux, chiedendo poi un riscatto in cambio della loro decodifica. Fortunatamente il meccanismo non funziona come dovrebbe
  • SicurezzaProtonMail, giorni di passioneIl servizio europeo di posta elettronica sicura vittima di un attacco DDoS di notevole portata. Costretta a pagare il riscatto, la società finisce offline perché il flusso di bit malevoli non si interrompe
  • SicurezzaTox, ransomware come servizioMcAfee identifica una nuova minaccia estorsiva, che per giunta permette a chiunque di diventare un cyber-criminale con pochi semplici passi. Non sarà l'ultimo caso del genere, prevede la security company
63 Commenti alla Notizia Come cambia il ransomware
Ordina
  • Direi che la preoccupazione che i file degli utenti vengano diffusi, almeno in Italia, con "la banda larga" che ci ritroviamo, sia un problema da poco. Per pubblicare i file ci vuole tanto upload a disposizione e noi non ne abbiamoSorride
    non+autenticato
  • Più che altro non ce n'è bisogno, visto come l'italiano medio già pubblica di tutto e di più in rete, e di sua spontanea volontà.
    non+autenticato
  • ... di ripristinare la pena di morte, e di applicarla a questi reati.
    non+autenticato
  • Che si può prendere (si può essere infetti) il malware ransomware di vari tipi anche solo navigando in siti porno appositi o dove si scarica musica, con firefox aggiornato, con adblock plus pure acceso , e con l'antivirus acceso e usando windows 7 aggiornato. Che forse è utile un anti exploit come malware bytes's anti exploit ,HitmanPro.Alert, emet, o altri simili.

    E poi che per nascondersi i delinquenti usano tor dove poter pagare sotto di esso con bitcoin.

    E alto rischio c'è pure con le email spam e gli allegati infetti.
    -----------------------------------------------------------
    Modificato dall' autore il 11 novembre 2015 13.57
    -----------------------------------------------------------
    user_
    1026
  • Oltre il fatto che usare il cervello è sempre utile (quindi mai cliccare su allegati provenienti da mail sospette/sconosciute oppure cliccare su "strani" popup/banner che si aprono navigando su internet) vi chiedevo se questi accorgimenti servano a prevenire queste minacce quando navigo su internet:
    1) uso Chrome con ScriptSafe ed AdBlock sempre attivi
    2) Ho installato CriptoPrevent (versione free) che blocca l'esecuzione di files nelle cartelle da dove questi ramsonware solitamente si attivano.
    3) Ho AntiMalawareByte (versione a pagamento) che dovrebbe fornire una protezione sempre attiva da questi malaware. A questo ho affiancato Avast (versione free) con antivirus standard.
  • - Scritto da: MESCAL.
    > Oltre il fatto che usare il cervello è sempre
    > utile (quindi mai cliccare su allegati
    > provenienti da mail sospette/sconosciute oppure
    > cliccare su "strani" popup/banner che si aprono
    > navigando su internet) vi chiedevo se questi
    > accorgimenti servano a prevenire queste minacce
    > quando navigo su
    > internet:
    > 1) uso Chrome con ScriptSafe ed AdBlock sempre
    > attivi
    > 2) Ho installato CriptoPrevent (versione free)
    > che blocca l'esecuzione di files nelle cartelle
    > da dove questi ramsonware solitamente si
    > attivano.
    > 3) Ho AntiMalawareByte (versione a pagamento) che
    > dovrebbe fornire una protezione sempre attiva da
    > questi malaware. A questo ho affiancato Avast
    > (versione free) con antivirus
    > standard.
    forse e' pure troppoCon la lingua fuori al 99% dipende dalle abitudini dell'utente. Io sono l'esempio lampante... la cfg di questo PC, in mano ad un altro, sarebbe un unico blob di crapware, malware, ransomware e botnet dotato di vita propria (xp, flash e firefox obsoleti)Sorride
    non+autenticato
  • Forse hai ragione ma la sicurezza non è mai troppa, soprattutto perchè ho letto di gente che si è infettata con sti ramsonware semplicemente aprendo pagine internet... è vero che faccio il backup su HD esterno di tutti i miei dati almeno una volta al mese (e quindi non sarebbe un problema recuperare tutti i miei dati) ma comunque di beccarmi sto schifo proprio non mi và...
  • l'unico investimento serio è puntare sul software aggiornato e, dove possibile, implementare rigide politiche riguardo l'installazione e la manipolazione dei file eseguibili

    non è possibile che la modifica di un'eseguibile in /bin sia una password più in là

    o che addirittura si possano installare bellamente eseguibili nelle directory utente e mandarli automaticamente in esecuzione come avviene su Windows
    non+autenticato
  • - Scritto da: collione
    > l'unico investimento serio è puntare sul software
    > aggiornato e, dove possibile, implementare rigide
    > politiche riguardo l'installazione e la
    > manipolazione dei file
    > eseguibili
    >
    > non è possibile che la modifica di un'eseguibile
    > in /bin sia una password più in
    > là

    Non capisco il senso di questa frase.

    > o che addirittura si possano installare
    > bellamente eseguibili nelle directory utente e
    > mandarli automaticamente in esecuzione come
    > avviene su
    > Windows

    Guarda, il problema è semplice: un browser, un client email, un qualsiasi programma che sia connesso a Internet dovrebbero:

    (a) non poter scrivere al di fuori di un certo "recinto". Un browser non dovrebbe poter scrivere al di fuori della directory do download e della cache.

    (b) non poter nè eseguire nè "vedere" il filesystem al di fuori del loro "recinto".

    E la tecnologia per fare tutto questo esiste da decenni.

    Il problema è che poi esce il marchettaro che PRETENDE che l'utonto possa scaricare direttamente su desktop ed eseguire l'installazione di un programma senza lasciare il browser.
    non+autenticato
  • - Scritto da: ...

    > Non capisco il senso di questa frase.

    ottieni i privilegi di root et voilà, puoi modificare tutti gli eseguibili che vuoi

    > (a) non poter scrivere al di fuori di un certo
    > "recinto". Un browser non dovrebbe poter scrivere
    > al di fuori della directory do download e della
    > cache.

    si ok, ma per poter scrivere anche in quelle directory c'è bisogno che al processo browser vengano concessi i permessi per accedere al filesystem, quindi ( per come sono organizzati i filesystem attuali ) girare con i permessi dell'utente corrente

    la sandbox che dici tu funziona finchè non si trova un'exploit nel browser

    > (b) non poter nè eseguire nè "vedere" il
    > filesystem al di fuori del loro
    > "recinto".

    è quello che fa chrome, in particolare su linux con i mount namespaces

    ma il discorso dell'exploit continua a valere, cioè la sandbox funziona con gli script "onesti" non con i disonesti che sanno come bucarla

    > Il problema è che poi esce il marchettaro che
    > PRETENDE che l'utonto possa scaricare
    > direttamente su desktop ed eseguire
    > l'installazione di un programma senza lasciare il
    > browser.

    è vero in alcuni casi, ma gli attacchi drive-by sono completamente automatici e partono con l'iniezione di codice nel processo del browser
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: ...
    >
    > > Non capisco il senso di questa frase.
    >
    > ottieni i privilegi di root et voilà, puoi
    > modificare tutti gli eseguibili che
    > vuoi
    >
    > > (a) non poter scrivere al di fuori di un
    > certo
    > > "recinto". Un browser non dovrebbe poter
    > scrivere
    > > al di fuori della directory do download e
    > della
    > > cache.
    >
    > si ok, ma per poter scrivere anche in quelle
    > directory c'è bisogno che al processo browser
    > vengano concessi i permessi per accedere al
    > filesystem, quindi ( per come sono organizzati i
    > filesystem attuali ) girare con i permessi
    > dell'utente
    > corrente
    >
    > la sandbox che dici tu funziona finchè non si
    > trova un'exploit nel
    > browser

    Si riesce a mettere addirittura Apache in chroot (vedi OpenBSD), figuriamoci se non è possibile mettere Firefox.

    >
    > > (b) non poter nè eseguire nè "vedere" il
    > > filesystem al di fuori del loro
    > > "recinto".
    >
    > è quello che fa chrome, in particolare su linux
    > con i mount
    > namespaces

    No, non lo è. Con Chrome puoi leggere file ovunque, eseguire file ovunque, salvare file ovunque (con i privilegi dell'utente corrente). La sandbox che millanta di avere non è una vera sandbox.

    >
    > ma il discorso dell'exploit continua a valere,
    > cioè la sandbox funziona con gli script "onesti"
    > non con i disonesti che sanno come
    > bucarla

    Già, ma se il processo nella sandbox non ha i diritti di scrivenre, leggere o eseguire al di fuori del recinto gli script si attaccano. Non potranno mai infettare il sistema, per quanto il programma sia bucato. Dovrebbero bucare sia il programma SIA il la sandbox, e c'è una bella differenza.

    > > Il problema è che poi esce il marchettaro che
    > > PRETENDE che l'utonto possa scaricare
    > > direttamente su desktop ed eseguire
    > > l'installazione di un programma senza
    > lasciare
    > il
    > > browser.
    >
    > è vero in alcuni casi, ma gli attacchi drive-by
    > sono completamente automatici e partono con
    > l'iniezione di codice nel processo del
    > browser

    Ripeto, se un programma è bucato non può comunque bucare la sandbox che lo controlla. Sono due cose differenti. Bisognerebbe bucare SIA il programma SIA la sandbox e quest'ultima cosa è molto meno facile, essendo un software comunque decisamente meno complesso di un browser con plugin vari.
    non+autenticato
  • - Scritto da: ...

    > Si riesce a mettere addirittura Apache in chroot
    > (vedi OpenBSD), figuriamoci se non è possibile
    > mettere
    > Firefox.

    e infatti si può fare di più ( sotto linux ) con lxc

    ma vale sempre il solito discorso, ovvero finchè non si trova qualche bug ( nel kernel nel caso di lxc )

    > No, non lo è. Con Chrome puoi leggere file
    > ovunque, eseguire file ovunque, salvare file
    > ovunque (con i privilegi dell'utente corrente).
    > La sandbox che millanta di avere non è una vera
    > sandbox.

    il browser può leggere file ovunque, ma gli script no

    la sandbox funziona perfettamente, solo che sarebbe una limitazione inaccettabile non dare accesso ai file dell'utente

    quando l'utente vuole fare l'upload di una foto su instagram, che si fa? gli si dice di andare al diavolo?

    e poi dovrebbe essere il sistema operativo ad implementare questo tipo di limitazioni, cosa che effettivamente avviene con Android, ma che non ha risolto il problema del malware

    > Già, ma se il processo nella sandbox non ha i
    > diritti di scrivenre, leggere o eseguire al di
    > fuori del recinto gli script si attaccano. Non

    a quel punto hai creato un browser castrato, cosa che l'utente non è disposto ad accettare

    come ho scritto su, Android fa così e usa un meccanismo farraginoso per ripristinare un minimo di capacità di condivisione dati tra le app

    tuttavia i malware continuano a prosperare

    il punto è che l'unico modo per rendere il malware innocuo, è rendere l'utente altrettanto innocuo, ovvero mettergli in mano un fermacarte


    > potranno mai infettare il sistema, per quanto il
    > programma sia bucato. Dovrebbero bucare sia il
    > programma SIA il la sandbox, e c'è una bella
    > differenza.

    ma già oggi è così

    il browser fa girare gli script in sandbox, ma le sandbox sono software complessi e quindi ricchi di vulnerabilità

    il meccanismo che proponi non è implementabile da un software applicativo, dev'essere il sistema operativo a farlo

    > Ripeto, se un programma è bucato non può comunque
    > bucare la sandbox che lo controlla. Sono due cose

    ma la sandbox è bucabile a sua volta, e le recenti edizioni del pwn2own hanno dimostrato che siamo ben lontani da sandbox invulnerabili
    non+autenticato
  • - Scritto da: collione
    > il punto è che l'unico modo per rendere il
    > malware innocuo, è rendere l'utente altrettanto
    > innocuo, ovvero mettergli in mano un
    > fermacarte
    in alluminio e con gli spigoli arrotondati?A bocca aperta
    non+autenticato
  • Io apro le mie email in formato testo direttamente dal server (con magicmailmonitor) guardo cosa c'è dentro (sono sufficienti meno di 10 secondi) e poi se sono apposto le scarico in locale Cylon
    non+autenticato
  • Ripetete con me:

    "Il backup e' Bello, Il Backup e' Buono, Il Backup e' mio amico, Il Backup mi fa dormire sereno alla notte..."
    non+autenticato
  • - Scritto da: Basilisco di Roko
    > Ripetete con me:
    >
    > "Il backup e' Bello, Il Backup e'
    > Buono, Il Backup e' mio amico, Il Backup mi fa
    > dormire sereno alla notte..."

    >

    Parole sante!
    Già sentite altroveOcchiolino

    Aggiungerei anche:
    1 il backup è meglio se te lo fai a mano e non usando 'sincronizzazioni'
    2 fallo su drive esterni da scollegare materialmente subito dopo (evita il cloud).
    3 controllalo ogni tanto
    4 fanne più di uno e mettili in posti diversi
    non+autenticato
  • E ogni tanto quando si gironzola abbastanza fare anche il ripristino anche se non ce n'è veramente bisogno , non si sa mai ... il backup non è molto utile se rimane solo sui dischi di backupSorride
    non+autenticato
  • Sottoscrivo tutto, ma ho qualche riserva su 1 e 2 dell'ultima lista.

    1. Ad esperienza, a fare i backup a mano, si finisce sempre che la volta che serve è la volta che ti sei dimenticato. Meglio un bel sistema client-server che ogni volta che entri nel raggio d'azione della (W)LAN di casa, parte e fa un bel backup incrementale su qualche PC/SAN in casa.

    2. La proposta è buona, ma come per sopra, finisce sempre che ti sei dimenticato di riconnetterlo la volta che ti serviva.

    Ne aggiungerei invece un'altra alla lista: "Non sovrascrivere i backup! Tieni l'ultimo, ma anche il penultimo ed il terzultimo!!"

    A voler esser fini:"Fate un Full backup ogni tanto, e copiatelo a mano su un disco disconnesso. Fate tanti tanti incrementali in automatico e teneteli tutti fino al prossimo full backup".


    Ma il salto quantico è sempre il primo:"Comunque tu lo faccia, fai il backup (non in cloud)!".
    non+autenticato
  • - Scritto da: Skywalker
    > Sottoscrivo tutto, ma ho qualche riserva su 1 e 2
    > dell'ultima
    > lista.
    >
    > 1. Ad esperienza, a fare i backup a mano, si
    > finisce sempre che la volta che serve è la volta
    > che ti sei dimenticato. Meglio un bel sistema
    > client-server che ogni volta che entri nel raggio
    > d'azione della (W)LAN di casa, parte e fa un bel
    > backup incrementale su qualche PC/SAN in
    > casa.
    >
    > 2. La proposta è buona, ma come per sopra,
    > finisce sempre che ti sei dimenticato di
    > riconnetterlo la volta che ti
    > serviva.
    >
    > Ne aggiungerei invece un'altra alla lista: "Non
    > sovrascrivere i backup! Tieni l'ultimo, ma anche
    > il penultimo ed il
    > terzultimo!!"
    se usi la regola (1) la terza che hai scritto, diventa fondamentale, imho. causa grosso rischio di backuppare la merda (non necessariamente sw poi compromesso) prima che te ne accorgi
    non+autenticato
  • - Scritto da: Federico
    > - Scritto da: Basilisco di Roko
    > > Ripetete con me:
    > >
    > > "Il backup e' Bello, Il Backup e'
    > > Buono, Il Backup e' mio amico, Il Backup mi fa
    > > dormire sereno alla notte..."

    > >
    >
    > Parole sante!
    > Già sentite altroveOcchiolino
    >
    > Aggiungerei anche:
    > 1 il backup è meglio se te lo fai a mano e non
    > usando
    > 'sincronizzazioni'
    > 2 fallo su drive esterni da scollegare
    > materialmente subito dopo (evita il
    > cloud).
    > 3 controllalo ogni tanto
    > 4 fanne più di uno e mettili in posti diversi

    Tutto giusto, ma riferito essenzialmente a partizione di sistema, netta, senza dati tuoi. I tuoi dati che ti interessano li tieni fuori linea, gli HD USB3 costano ormai meno di 40 euro a TeraByte.
  • Si, ma prima di fare il backup sarebbe opportuno accertarsi comunque di non avere un sistema già infetto ... altrimenti si fa il backup di un sistema infetto e serve a molto poco.
    non+autenticato
  • C'è una estensione su firefox che permette di avere tutta quella sicurezza? Visto che su firefox si possono fare tante modifiche con le estensioni... Affinchè si possa navigare su tutti i siti esistenti con la massima sicurezza senza rischi di exploit e malware.
    user_
    1026
  • Perchè firefox ? ce ne sono tanti di browser ... ho detto una cosa diversa: indipendentemente dal browser devi accertarti di fare il backup di un sistema pulito, altrimenti non serve a niente.
    Cosa credi che esiste il browser perfetto? Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • perchè io uso firefox e cerco un'estensione per risolvere questo rischio dei ransomware.
    user_
    1026
  • Se vuoi essere più tranquillo usa Firefox in una sandbox oppure in una macchina virtuale ...
    non+autenticato
  • era un attacco dds mi pareva. forse hanno pagato xche la linea del provider coinvolgeva anche una banca, che magari ha pagato lei?

    coi file crittati forse pagare resta l'unica possibilita, paghi il non avere fatto bene tutti i backup. (..chi e' senza peccato ..ecc..)
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)