I ransomware sono una minaccia in crescita in tutto il mondo, che miete nuove vittime in maniera regolare e apparentemente senza sosta. Sebbene la maggior parte delle famiglie di ransomware impedisca alle vittime di accedere ai propri documenti, immagini, database e altri file crittografandoli ma offra una chiave di de-crittografia, non si è mai del tutto garantiti che il pagamento del riscatto sia una misura risolutiva. Infatti, in molte occasioni non si ha modo di accedere nuovamente ai propri dati che restano persi. Alcune varianti di ransomware usano metodi diversi, ma non meno creativi per l’estorsione specializzandosi per ambito.
I ricercatori Check Point hanno stilato una categorizzazione tratta da alcuni recenti incidenti di sicurezza informatica per informare e favorire la divulgazione a fini di aumento della awareness:
Ransomware IoT oriented
I dispositivi intelligenti sono noti per essere una facile preda dei malintenzionati per vari scopi. Nell’agosto 2016, un gruppo di ricercatori di sicurezza ha dimostrato la propria capacità di prendere il controllo dei termostati di un edificio e aumentare la temperatura fino a 99 gradi Celsius. Questa è stata la prima dimostrazione di questo tipo di attacco, che ha utilizzato un modo creativo per fare pressione sulle vittime e spingerle a pagare il riscatto per non rischiare conseguenze come un allagamento o un incendio in casa.
Nel novembre 2016, i viaggiatori della linea metropolitana MUNI di San Francisco non hanno potuto acquistare i biglietti presso le erogatrici automatiche a causa di un attacco ransomware sulla rete della MUNI. In questo caso, gli hacker hanno chiesto $70.000 in Bitcoin.
Nel gennaio 2017, sembra che un hotel di lusso in Austria abbia subito un attacco al proprio sistema di gestione delle chiavi elettroniche, che ha causato difficoltà agli ospiti nell’entrare e uscire dalle loro camere. Gli aggressori hanno richiesto $1.500 in Bitcoin ma va detto che esistono dubbi sulla veridicità di quest’ultimo episodio.
Il crescente utilizzo di dispositivi IoT probabilmente li renderà un vettore di attacco sempre più comune in futuro. Ad esempio, il potenziale sfruttamento di vulnerabilità all’interno di defibrillatori cardiovascolari impiantabili e smart, può consentire a un utente malintenzionato di mettere la vita della vittima a serio rischio fino al pagamento del riscatto.
Ransomware che tengono i dati in ostaggio
Un approccio più diretto consiste nel furto dei dati alle vittime minacciandole di renderli pubblici a meno che non venga pagato un riscatto entro una certa scadenza. Questo modus operandi generico è stato utilizzato da diverse famiglie e campagne di malware. Ad esempio, a maggio 2016, sono stati rubati, i dati di oltre 10 milioni di clienti di uno dei principali centri commerciali della Corea del Sud compresi nomi, indirizzi e numeri di telefono. I malintenzionati hanno richiesto un riscatto di $2.664 in Bitcoin per evitare la messa online delle informazioni rubate.
Un altro esempio è Charger, un ransomware che blocca lo schermo dei dispositivi Android scoperto dai ricercatori di Check Point nel gennaio 2016. Il malware si annida all’interno di un’app mobile denominata EnergyRescue, scaricata da Google Play. Gli hacker hanno minacciato di vendere i dati rubati dai dispositivi, se nona vessero ricevuto un riscatto di 0,2 Bitcoin (circa $180).
Ransomware DDoS
Un altro metodo a disposizione dei malintenzionati è minacciare di condurre un attacco Denial of Service a meno che non venga pagato un riscatto. Questo tipo di ransomware è particolarmente comune contro le banche grazie al crescente uso di botnet per gli attacchi DDoS, ed è molto attraente in quanto è molto più semplice da sviluppare di un “tradizionale” ransomware per la crittografia dei file. Questo vettore di attacco ha fatto notizia nel gennaio 2017 quando è stato utilizzato in un attacco contro il portale web della banca britannica Lloyds. Gli hacker hanno inviato una minaccia di DDoS con una richiesta di 100 Bitcoin (del valore di circa $94.000).
Blocco dello schermo
Alcuni ransomware bloccano semplicemente lo schermo impedendo l’utilizzo dei dispositivi delle vittime. Ci sono diversi modi di condurre un attacco di blocco dello schermo, ma solitamente vengono annullate tutte le opzioni per chiudere un programma o per spegnere il dispositivo.
Esempi di questo tipo di ransomware sono DeriaLock (dicembre 2016), che colpisce i PC e richiede un pagamento di $30 per lo sblocco; e Flocker (maggio 2015), un ransomware di blocco dello schermo che colpisce gli smartphone e le smart-TV Android e che richiede una iTunes gift card del valore di $200 come metodo di pagamento.
Le infezioni hanno spesso lo stesso punto di partenza: lo spear phishing, una mail o un messaggio che contiene un link malevolo che se clickato porta il malware sul dispositivo. Quindi fino a che non torniamo con la seconda parte, dedicata a tutti i mezzi per la protezione, per favore “non cliccate su link di sconosciuti” o se sono amici fategli una telefonata prima, ne approfittate per un saluto e potreste scoprire che eravate il bersaglio di un attacco targetizzato che ha sfruttato l’account di un amico in termini di ingegneria sociale. L’Amico vi sarà grato e voi avrete schivato un rischio.
Stay tuned!