Ransomware e i BitCoin: considerazioni, dati e prevenzione

Come si può evincere dai continui messaggi fraudolenti e dagli articoli di giornale in questi giorni, il ransomware Cryptolocker e suoi affini (TeslaCrypt, ecc) sono tornati alla ribalta.

Secondo alcune stime, la nuova variante di Cryptolocker, ovvero la 4.0, in soli tre mesi di attività ha “riscosso” $ 330,000 in BitCoin, estorcendoli a 670 (stimati) vittime.

Imperva riporta che la nuova variante non differisce molto dalla precedente, in quanto il meccanismo rimane il medesimo con alcune migliore a livello tecnico.
La procedura usata dal Ransomware è la seguente:

  • Mail con allegato PDF (ovviamente con codice malevolo al suo interno) 
  • All’apertura dell’allegato il codice malevolo si attiva e si carica in memoria
  • Dopo l’attivazione, incomincia la criptazione del sistema e dei suoi dati 
  • Richiesta di riscatto di € 500 in Europa (in USA sono $ 700) richiedendo l’accesso via TOR per eseguire il pagamento in BitCoin
Per avere una visione più ampia del problema, la precedente variante del Cryptolocker, ha provocato danni a livello globale per qualcosa come $ 325 milioni di dollari: un numero impressionante.
A questo punto sorge una domanda relativa a BitCoin: perchè i criminali utilizzano questa moneta? Cosa possono fare le autorità?
BitCoin
Alan Woodward, nel suo blog, spiega molto bene un aspetto importante: l’anonimato. Vi è un luogo comune che porta a credere che eseguire transazioni con BitCoin non comporti alcuna tracciabilità delle operazioni eseguite e che queste rimangano anonime. Il professore spiega che NON c’è anonimato assoluto e che le operazioni eseguite con questa moneta sono pubblicate nel sito Blockchain.info: Bitcoin Block Explorer, al limite possono esser usati dei pseudonimi. 
Non avete ancora capito cos’è il Blockchain? Questo sito riporta una definizione esauriente: 

Perché nella Blockchain sono registrate tutte le transizioni fatte in Bitcoin dalla prima volta che è stato utilizzato (2009) ad oggi. Un libro contabile aperto, e controllabile da tutti. Tutti possono controllare la Blockchain. Ma nessuno la può possedere. La ragione è che ogni transizione deve essere approvata dal 50% più uno dei nodi della catena di blocchi. 

I criminali usano BitCoin in coppia con TOR, il quale però non garantisce il pieno anonimato, come abbiamo visto in diverse operazioni di polizia. 
La fonte di questi attacchi, come dicono gli esperti, è potenzialmente nei paesi dell’est ed in particolare in Russia, ove vi è una certa “tolleranza” verso gli hacker (non ne hanno mai estradato nessuno per reati di questo tipo) ma è anche vero che le operazioni di polizia non si fanno attendere, anche se con molti intoppi e problemi.
Oggi il problema è che MOLTI consigliano di pagare, cosa che francamente sorprende: pagare dei criminali è sempre una sconfitta.
Quindi, se siete in ambiente aziendale, possono esserci i seguenti aspetti da tenere in considerazione:
  • Sistemi Operativi aggiornati
  • Programmi aggiornati
  • Firewall perimetrale con funzionalità UTM 
  • Firewall Endpoint. Quasi tutti gli antivirus lo integrano, ma nella stragrande maggioranza dei casi la funzionalità è disattivata
  • Antivirus aziendali centralizzati
  • Accesso alle risorse con credenziali di basso profilo (user). Moltissimi utenti sono amministratori di sistema/dominio senza una reale necessità e senza una consapevole idea del danno che possono arrecare
  • Password forti
  • Minimizzare le share di rete
  • Formazione degli utenti
Se desiderate, date un occhiata a questo thread in Technet ove si è parlato di questo argomento
cryptolocker possiamo bloccare l’ algoritmo dal quale è stato tratto lo stralcio relativo agli aspetti su cui intervenire (Collega MVP NinoRCTN).
Fonte per informazioni statistiche e dati: CryptoWall Ransomware Gang Extorts $330,000 – DataBreachToday

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *