Nome
Cognome
Email
Password
Ho letto e accetto l'informativa sulla privacy
Vi autorizzo al trattamento dei miei dati per ricevere informazioni promozionali mediante posta, telefono, posta elettronica, sms, mms, effettuare analisi statistiche, sondaggi d'opinione da parte di Edizioni Master S.p.A.
Si No
Vi autorizzo alla comunicazione dei miei dati per ricevere informazioni promozionali mediante posta, telefono, posta elettronica, sms, mms, effettuare analisi statistiche, sondaggi d'opinione da parte di aziende terze.
Si No
FacebookTwitterRSS
PMI Dome

Ransomware: la nuova frontiera del malware informatico

I cybercriminali stanno lentamente modificando le strategie di attacco utilizzando tecniche "ransomware", che prevedono un 'rapimento' dei dati e la richiesta di un riscatto in cambio della decrittazione degli stessi.
Redazione PMI-dome

Il cyberterrorismo è il nuovo aspetto della mafia moderna. Ricattare, lanciare attacchi DDoS (denial of service, letteralmente’ negazione’ del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio) contro siti web chiedendo poi riscatti, dimostra come i malware writer hanno capito come è possibile fare molti soldi.


I cybercriminali stanno lentamente modificando le loro strategie di attacco contro le aziende, abbandonando i tradizionali cyberattacchi su vasta scala in favore di tecniche "ransomware", che prevedono la criptazione (rapimento) dei dati degli utenti e la richiesta di un riscatto in cambio della decrittazione degli stessi.

Questo tipo di software nocivo infetta un PC, esegue la criptazione di alcuni dati e poi mostra un avviso che invita la vittima a mandare soldi per ottenere la chiave di decrittazione necessaria per accedere nuovamente ai dati in ostaggio. Non si tratta di una tipologia di codice troppo nuova.
Tra gli esempi più recenti troviamo Cryzip, scoperto a Marzo 2006, e GPCode, scoperto a Maggio 2005.
Cryzip e GPCode non hanno causato danni su vasta scala, ma si ritiene ritiene che dal 2008 in poi  i cybercriminali saranno in grado di affinare le tecniche di programmazione di questi Trojan.

Questi malware (software maliziosi) agiscono prevalentemente in base alle seguenti modalità: criptando il contenuto di alcune cartelle o di alcuni file del pc vittima, oppure inibiscono completamente l'utilizzo con l'avvertimento (di solito con un file .txt o .word) che se entro certo numero di minuti non viene effettuato un versamento in denaro verrebbe avviata una procedura di cancellazione progressiva di dati contenuti nell'hardware della macchina.

Il fenomeno, pare, sarebbe nato dall'intuizione di alcuni hackers russi e si trattava di richieste estorsive che si aggiravano intorno ai trecento dollari, denaro che doveva essere pagato tramite Cryzip, ovvero tramite il poco noti ai più sistema di pagamenti e-Gold. Negli ultimi tempi, tuttavia, i malfattori hanno ridotto le proprie pretese al fine di adeguarsi ad una platea più ampia, seppure meno abbiente, e fra i sistemi di pagamento accettati vi sono anche i noti Western Union e Paypal.

L'ultimo ransomware rilevato scoperto è stato Troj/Ransom-A, che richiede 'solo' 10.99 dollari di riscatto da inviare via Western Union. Questo metodo  non si limita (per così dire) a fare danni al computer, ma lucchetta i dati (documenti, foto, e altro) con una cifratura sofisticatissima con chiave a 1024 bit: se si vuole ritornare in possesso,si deve pagare una tagente (o un "pizzo" del terzo millennio) ai gestori del virus.
La lunghezza della chiave significa che la decifrazione per forza bruta è sostanzialmente impossibile, per cui l'unica maniera per riavere i propri dati sembra essere quella di pagare il riscatto.

Il virus si fa riconoscere perché aggiunge l'estensione "._CRYPT" in fondo all'estensione preesistente dei file che bloccato e poi colloca nella medesima cartella/directory un file "!_READ_ME_!.txt" che spiega come procedere per far avere il riscatto.
Questa è una minaccia emergente "Ransomware": documenti e file personali sotto scacco si tratta di componenti nocivi che, una volta insediatisi sul sistema, tentano di estorcere del denaro all’utente crittografando, provvedono a crittografare file e documenti personali rendendone impossibile la consultazione senza conoscere la chiave per decifrarli. I file dell'utente vengono insomma tenuti "in ostaggio" chiedendo una somma di denaro variabile (in questo caso tra 100 e 200 dollari) per il riscatto. Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300 dollari sarebbe molto più semplice che aspettare un decodificatore che arrivi da chissà dove…

Il trojan, una volta individuati i file da criptare, li codifica con un algoritmo proprietario e lascia un documento in formato txt riportando la seguente scritta:
"Hello, your files are encrypted with RSA-4096 algorithm. You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: [email address] and provide us your personal code [personal code]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team".

(tradotto: "Ciao, i tuoi file sono criptati con un algoritmo RSA-4096. Avrai bisogno di almeno qualche anno per decifrare questi file senza il nostro software. Tutte le tue informazioni private degli ultimi 3 mesi sono stati raccolti e inviati a noi. Per decrittare i file dovrai acquistare il nostro software. Il prezzo è 300 dollari. Per acquistare il nostro software ti invitiamo a contattarci all'indirizzo: [indirizzo email] e fornirci il tuo codice personale [codice personale]. Dopo che l'acquisto sarà andato a buon fine ti invieremo il tuo strumento di decodifica, e le vostre informazioni private verranno eliminate dal nostro sistema. Se non ci contatterai entro il 07/15/2007 le tue informazioni private verranno condivise e perderai tutti i tuoi dati. Glamorous team").

Fortunatamente, i dati non sono stati codificati con l'algoritmo sopra illustrato, bensì con un algoritmo molto più semplice da decodificare. Inoltre le informazioni quali username e password vengono collezionate utilizzando tecniche simili a quelle utilizzate dai rootkit, cioè prendendo il controllo di alcune API di sistema (Application Programming InterfaceAPI ), e ricavandone i dati.

Anche questi dati vengono codificati attraverso un altro algoritmo e, questa volta, vengono inviati ad un server remoto, dove i malware writer possono tranquillamente scaricarli e decodificarli. Ho già parlato diverse volte degli attacchi a siti web che sono in costante crescita che hanno l'obbiettivo di inserire virus e malware per rubare dati agli utenti dei siti oppure di scontri e guerra online tra singole nazioni come Cina, Russia, Usa o la Nato. Ho anche  già scritto di virus che una volta installati sul pc lo riescono a bloccare interamente o alcune cartelle come quella "documenti" dove di solito si tengono files importanti e richiedono, poi, una password per sbloccare pc o directory. Ovviamente la password viene rilasciato dietro un riscatto, un pagamento. Un altro fenomeno del cyber-crimine che è attivato anche in Italia e ultimamente anche nella nostra regione.

 

Come avviene l’attacco nel dettaglio

Una volta eseguito il file, il trojan tenta di iniettarsi all’interno del file di sistema winlogon.exe.

Se l’attacco ha successo, da winlogon.exe il trojan tenta di iniettarsi in svchost.exe e poi negli altri processi. Per partire all'avvio di sistema, si aggiunge nella directory di sistema di Windows come ntos.exe (per esempio C:\WINDOWS\system32\ntos.exe) e si aggiunge nella seguente chiave di registro:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
“Userinit” = “[systemdir]\ntos.exe” Questo permette al malware di partire in posizione privilegiata all’avvio di sistema, prima rispetto a molti altri processi. Crea inoltre una directory nascosta sotto system32, chiamata wsnpoemche contiene video.dll e audio.dll.

Il trojan ha tre payload (un pacchetto, ad un frame o ad un'altra unità per la trasmissione dei dati.) : criptare i file sull’hard disk e poi minacciare, rubare credenziali dell’utente del pc, aprire un socks server.

Per criptare i dati il trojan scansiona l’hard disk alla ricerca dei file che hanno una delle seguenti estensioni:


.12m .3ds .3dx .4ge .4gl .7z .a .a86 .abc .acd .ace .act .ada .adi .aex .af3 .afd .ag4 .ai .aif .aifc .aiff .ain .aio .ais .akf .alv .amp .ans .ap .apa .apo .app .arc .arh .arj .arx .asc .asm .ask .au .bak .bas .bb .bcb .bcp .bdb .bh .bib .bpr .bsa .btr .bup .bwb .bz .bz2 .c .c86 .cac .cbl .cc .cdb .cdr .cgi .cmd .cnt .cob .col .cpp .cpt .crp .cru .csc .css .csv .ctx .cvs .cwb .cwk .cxe .cxx .cyp .d .db .db0 .db1 .db2 .db3 .db4 .dba .dbb .dbc .dbd .dbe .dbf .dbk .dbm .dbo .dbq .dbt .dbx .dfm .djvu .dic .dif .dm .dmd .doc .dok .dot .dox .dsc .dwg .dxf .dxr .eps .exp .f .fas .fax .fdb .fla .flb .frm .fm .fox .frm .frt .frx .fsl .gtd .gif .gz .gzip .h .ha .hh .hjt .hog .hpp .htm .html .htx .ice .icf .inc .ish .iso .jar .jad .java .jpg .jpeg .js .jsp .key .kwm .lst .lwp .lzh .lzs .lzw .ma .mak .man .maq .mar .mbx .mdb .mdf .mid .mo .myd .obj .old .p12 .pak .pas .pdf .pem .pfx .php .php3 .php4 .pgp .pkr .pl .pm3 .pm4 .pm5 .pm6 .png .ppt .pps .prf .prx .ps .psd .pst .pw .pwa .pwl .pwm .pwp .pxl .py .rar .res .rle .rmr .rnd .rtf .safe .sar .skr .sln .swf .sql .tar .tbb .tex .tga .tgz .tif .tiff .txt .vb .vp .wps .xcr .xls .xml .zip


Una volta trovati, codifica questi file con un algoritmo di codifica fortemente modificato che ricorda l’algoritmo RC4. Dopo che sono stati codificati, il trojan crea il file read_me.txt in ogni directory in cui ha criptato dei files. Nel readme c’è la scritta del ricatto.

Per rubare le informazioni, il trojan fa uso di tecniche simili a quelle utilizzate dai rootkit user mode, modificando l’Import Address Table. Una volta collezionate le credenziali, il trojan le salva all’interno di un file e le cripta prima di uploadarle su un server remoto. L’algoritmo usato è particolarmente semplice e fa uso di alcune semplici operazioni matematiche su ogni byte del file da criptare.

Al momento si provvede a cifrare, 143 differenti tipologie di file cancellando le versioni originali dal disco fisso, e suggerisce agli utenti vittime del malware di tentare si recuperare i propri documenti ricorrendo ad apposite utilità di ripristino dei dati.


Il primo consiglio - se dovesse accadervi - è quello di tentare il ripristino dei dati eliminati ad esempio con un nuovissimo prodotto PhotoRec, scaricabile  dal web.


 

Alessandro Sigismondi

Alessandro Sigismondi, è informatico, esperto e consulente in Computer Forensics e Network Forensics, docente in Sistemi Informatici e Sicurezza di Rete e consulente legale presso Tribunali e Procure italiane in materia di crimini informatici. Collabora come consulente presso Maxima Srloperando come Perito presso Tribunali e Procure italiane in qualità di esperto in Crimini Informatici partecipando ad indagini sia italiane che a livello europeo, analizzando i reati informatici in ogni loro aspetto sia come tecnico che approfondendo la materia del penale informatico. Collabora inoltre con l'Osservatorio internazionale Cards, iniziativa senza scopo di lucro che opera per accrescere e diffondere informazioni, formazione, comprensione e adozione dell’utilizzo della Smart Card e dei nuovi sistemi di pagamento.
Per contattare l'autore potete scrivere a  alsigismo|chiocciola|gmail.com

Condividi

Lascia un commento

Nome:

Mail:

Oggetto:

Commento:

CAPTCHA

Codice controllo:

I servizi di informazione di i-dome.com in Feed RSS

Perché equiparare la blogosfera con le testate giornalistiche tradizionali?

Si può fare del buon giornalismo anche senza alcuna tessera professionale, ma c’è chi afferma che nella blogosfera, c’è una netta prevalenza delle opinioni rispetto alle notizie. Riflessioni sul Fact-Checking e il Blog Power.

Come calcolare l'IMU

Due nuove aliquote e uno strumento per semplificare il calcolo

Pianificare le ferie con Excel

Perché aspettare l’ultimo momento per definire le vacanze in azienda? Grazie al foglio di calcolo, è facile realizzare il piano ferie e garantire, allo stesso tempo, la continuità delle attività

Accesso rapido