I ransomware ( o cryptovirus ) sono in continua evoluzione, sia per il comportamento che per i modi di diffusione e infezione.
Mentre prima l’infezione avveniva tramite allegato email o link maligno, adesso sempre più spesso avviene tramita la violazione della funzionalità di desktop remoto.
Il desktop remoto è una delle funzionalità che vengono utilizzate per acquisire il controllo del computer senza essere fisicamente presente alla consolle ; generalmente viene utilizzato per il telelavoro, o per effetture assistenza tecnica e sistemistica sui computer remoti. Tale funzionalità consente di operare sul computer controllato come se si fosse fisicamente seduti alla postazione di lavoro. Nei sistemi più importanti viene anche utilizzato per permettere di utilizzare risorse residenti su server remoti, mediante l’apertura di diverse sessioni (una per utente) in quanto permette di avere prestazioni accettabili anche in presenza di connessioni internet scadenti o sovrautilizzate.
Proprio la diffusione di questa funzionalità., soprattutto nelle strutture di piccole dimensioni, ha portato ad un diffondersi di questo genere di attacchi. L’hacker si infiltra sfruttando una vulnerabilità del sistema operativo o tentando un attacco a forza bruta, cercando cioè di indovinare utente e password. Una volta “dentro” il sistema installerà il software maligno o metterà questo software in condizioni di partire non appena un utente con credenziali amministrative accederà al sistema.
Una volta attivato, il ransomware, inizierà ad infettare (cryptare) tutti i file ai quali ha accesso, incluse le condivisioni accessibili sulla rete.
Per essere sicuri di provocare il maggior danno possibile, e quindi di ottenere il pagamento del riscatto, l’attaccante provvederà a cancellare il contenuto delle copie shadow (quelle copie di backup create automaticamente da windows) lanciando il comando:
e alla fine di tutto questo lavoro, come risultato finale ci troveremo con i nostri file criptati ed una richiesta di riscatto contenente le istruzione e l’ammontare della cifra (in BitCoin)
Come facciamo a difenderci dai ransomware (o cryptovirus)?
Diciamo che, nel caso di infezioni propagate per email o tramite link maligni, serve soprattutto prestare molta attenzione ai contenuti. Per esempio vanno lette con molta attenzione le email e non vanno sottovalutati i sospetti che potrebbero nascere spontanei; ad esempio, molto difficilmente un ente pubblico o on fornitore di energia ci offrirà per email un rimborso. Bisogna anche prestare attenzione durante la navigazione; un tipico esempio sono le infezioni propagate con la scusa di installare un aggiornamento di Adobe reader, Java, o qualche altro software.
Nel caso dei ransomware propagati e diffusi tramite desktop remoto, bisognerebbe evitare di rendere accessibili queste connessioni via rete internet. Buona norma sarebbe quindi utilizzare delle VPN per evitare di rendere visibili e, quondi attaccabili, le nostre connessioni. Un’altra buona norma sarebbe quella, al fine di evitare gli attacchi a forza bruta di usare le policy di sicurezza fornite con i sistemi windows :
nel caso in esempio, il sistema si bloccherà per 15 minuti se verranno inserite le credenziali errate per 3 volte nell’arco di 15 minuti.
Per il resto, non dimenticate che, salvo rarissimi casi, i file cryptati sono irrecuperabili e, nel caso voi decideste di pagare il riscatto richiesto, state trattando con del criminali e non avete nessuna garanzia che dopo il pagamento vi saranno restituiti tutti i vostri dati.
E soprattutto non sarete mai certi che, tra i dati che vi saranno restituiti non si celino altre minacce latenti, pronte ad una nuova infezione. La sola sicurezza che avete a vostra disposizione resta sempre e soltanto una valida e attenta strategia di backup.