Cryptolocker e APT: su “il cavallo di ritorno” c’è un venale informatico
“Ehqyhqxwl lq Dvhuqhw!”
Non si tratta di digitare scomposto o tentata burla ai danni del nostro lettore: è la trascrizione di “Benvenuti in Asernet!” utilizzando il codice di Cesare (o cifrario di Cesare), la più antica traccia storica nota di un algoritmo di cifratura.
I nazisti durante la seconda guerra mondiale utilizzavano la macchina Enigma per veicolare messaggi e ordini segretamente finché un gruppo di polacchi non riuscì a violarne l’algoritmo ribaltando a favore degli alleati le sorti belliche. L’idea alla base di questi mezzi è quella di rendere inaccessibili determinati contenuti a chi non ha la chiave per decifrarli.
Storia a parte, è dal 2013 e utilizzando la crittografia che alcuni software – “ransomware” o “cryptolocker”, in tecnicese – diffusi prevalentemente via posta elettronica o utilizzando porte quasi sempre aperte sui nostri computer, rendono inutilizzabili i nostri dati (foto, musica, documenti).
Intento palesemente malevolo, come avverte l’inquietante messaggio al termine della procedura di criptaggio dei file: si chiedono quasi sempre soldi, tipicamente trasferimento in denaro nel circuito Bitcoin, in cambio della chiave di de-cifratura che forse (davvero forse!) ci verrà data.
Dovremmo noi fidarci di chi, sostanzialmente, ci deruba e poi chiede di corrispondergli denaro poiché, garantisce, ci darà quanto serve per ripristinare i nostri dati? A proposito, denaro proporzionale alla quantità di dati crittografati. E già!
D’accordo, ma come identificarli o meglio, come proteggersi?
Potrebbe rivelarsi non banale individuarli.
I messaggi di posta elettronica sembrano provenire talora e apparentemente da utenti a noi conosciuti o in qualche maniera affidabili, talaltra arrivano davvero da utenti a noi noti, infettati a loro volta: il malware infatti farebbe uso degli indirizzi presenti nella rubrica del programma di posta dei nostri malcapitati conoscenti per propagarsi e continuarsi nell’infezione.
Ancora, vengono diffusi utilizzando meccanismi più oscuri all’utente medio: citiamone uno, il protocollo che consente le connessioni “Desktop Remoto” spessissimo abilitato su alcune versioni di Windows.
Indicheremo comunque un vademecum minimo per ovviare a questo tipo di problemi e, a seguire, cosa fare nel caso in cui “abbiamo attivato” l’infezione sul nostro computer.
Per proteggersi:
- Training dei nostri collaboratori: informarli che alla ricezione di mail inaspettate, spessissimo con allegati, è fondamentale vengano trattate come sospette: meglio cancellare e chiamare il mittente, ammesso che il numero telefonico eventualmente riportato sia un numero valido
- Dotarsi di un sistema firewall: un sistema software che protegge l’ambiente operativo, computer singolo o rete di computer che sia, dagli accessi esterni (anche interni!) non autorizzati
- Accertarsi che il sistema in uso disponga degli ultimi aggiornamenti rilasciati dalla casa produttrice
- Dotarsi di un buon software antivirus con scansione in tempo reale e possibilmente con gestione centralizzata
- Utilizzare un’efficiente strategia di backup: laddove gli antivirus e i firewall falliscano (e potrebbe accadere specie con le infezioni 0-day, ovvero le infezioni dell’ultim’ora in gergo) e in generale i sistemi di antintrusione che si ha disposizione non riconoscano l’oggetto infetto, disporre di una solida strategia di salvataggio dati riduce drasticamente l’impatto sulla produttività
D’accordo, sul mio computer adesso c’è il caos, che fare?
Semmai avessimo evidenza di file “che non riusciamo ad aprire”, che le nostre solite icone sono cambiate, che il desktop ha cambiato aspetto (colore, sfondo del desktop) e magari colleghiamo queste manifestazioni a seguire dello strano messaggio di posta elettronica che abbiamo aperto, il suggerimento immediato è:
- Scollegare il computer dalla rete
- Spegnerlo e possibilmente non riaccenderlo: più tempo è attivo più possibilità diamo al software malevolo di crittografare in nostri dati
A questo punto e con nessun backup disponibile potrebbe essere ancora possibile ripristinare la maggiore parte dei dati. Occorre rivolgersi ad un professionista esperto.