Cyber Security: cosa succede quando si viene infettati da un Ransomware

Attività e funzioni di un Ransomware 

Come già riportato nel precedente articolo  le attività e le funzioni di un ransomware sono quelle di bloccare un dispositivo infettato, di codificare i dati in esso contenuti tramite algoritmi di crittografia e di presentare una schermata contenente le informazioni di sblocco, previa la richiesta del pagamento di un riscatto stabilito dall’attaccante. Pertanto le attività di un ransomware possono essere suddivise nelle seguenti tre fasi:

• infezione del dispositivo;
• cifratura dei dati;
• presentazione delle indicazioni sul pagamento del riscatto.

Infezione del dispositivo

Il dispositivo viene infettato inoculando del codice malevole all’interno del sistema, questo può avvenire in svariati modi, essenzialmente questa possibilità è data dall’utilizzo improprio di memorie di massa esterne al sistema informatico (floppy disk, CD, chiavette USB, Hard Disk esterni, etc.) a cui vengono collegati ad esempio per trasferire dati; per mezzo degli allegati presenti nelle mail o da link a siti predisposti in anticipo per la diffusione dei payload; tramite il download di file scaricati da internet, oppure tramite una rete locale che presenti qualche vulnerabilità al suo interno; tramite wi-fi non sicure e perfino per mezzo della connessione Bluetooth.

Partendo dai vari casi susseguitesi nel tempo, possiamo dire senza dubbio che riguardo ai primi eventi, il codice infetto veniva passato durante lo scambio di dati tra dispostivi, ad esempio durante la copia di dati da un floppy disk all’hard disk o scaricando programmi dalla rete, che una volta installati attivavano il codice malevole (definito payload), che veniva eseguito all’insaputa dell’utente.

A seguire gli hacker hanno iniziano a sfruttare i messaggi di posta elettronica, in particolare sfruttando il fatto che il client di posta elettronica Outlook Express, apriva in automatico gli allegati presenti nelle mail; anche se corretta questa vulnerabilità da parte della Microsoft, la posta elettronica viene ancora oggi sfruttata come principale veicolo di infezione, sempre per mezzo degli allegati (in particolare tramite file del pacchetto office o file pdf) e con la speranza che l’utente vada ad aprirli, in questa ottica vengono organizzate vere e proprie campagne virali con messaggi ingannevoli che giocano sulle emozioni dell’utente e lo inducono ad aprire gli allegati che contengono il codice infetto.

Un’altra possibilità di intrusione è data da siti web preparati appositamente dagli hacker, che ad esempio permettono di scaricare copie di programmi (anche legittimi) ma che al loro interno contengono anche il malware (ben camuffato); alcuni promuovono adware (termine che sta per advertising supported software), ossia software freeware resi disponibili gratuitamente ma che al loro interno contengono annunci pubblicitari; un altro esempio sono i siti che diffondono crack, ossia software che vanno ad interagire con la licenza del prodotto per renderlo disponibile in tutte le sue funzionalità, ma che a loro volta contengono il payload del malware.

Nel tempo si è passato poi a sfruttare le tecniche di ingegneria sociale in cui le vittime vengono aggirate con tecniche di pishing e spear-pishing, sempre messaggi di posta elettronica ingannevoli che re-indirizzano le vittime su siti contraffatti e contenenti il codice malevolo, che viene scaricato per poi entrare in azione successivamente.

Le minacce per i dispositivi mobili (smartphone e tablet) possono venire dal Bluetooth che molte volte resta sempre attivo ed utilizzato per lo scambio di file, oltre che da applicazioni (app) non affidabili che vengono scaricate, il più delle volte senza eccessivo controllo; stesso discorso per i dispositivi della IoT (Internet of Things, Internet delle cose) che dispongono molte volte di connessioni sempre attive che sono utilizzate per la programmazione o per lo scambio di dati con il resto della strumentazione.

Citiamo come ultima tecnica utilizzata per penetrare i dispositivi quella delle vulnerabilità presenti nei software (una su tutti, il programma Adobe, sia il Flash Player che Acrobat Reader), nel sistema operativo, nei firmware, una nota importante che bisogna sempre rimarcare: è che i programmi devono essere sempre tenuti aggiornati, anche se non utilizzati, poiché comunque potrebbero essere in esecuzione, ad esempio perché avviati in automatico dal sistema operativo.

Normalmente in questa fase l’obiettivo degli attaccanti è solo quello di entrare nel dispositivo, predisponendosi poi a scaricare il payload che va realmente a criptare i dati contenuti nel dispositivo e mostrare la pagina con la richiesta di riscatto, molte volte dopo il riavvio del dispositivo, od al verificarsi di un determinato evento.

Cifratura dati

Il secondo passo ossia la codifica dei dati presenti nel dispositivo, può avvenire grosso modo in due modalità a seconda che il malware sia un crytpor o un locker, nel primo caso tramite la cifratura dei dati o meglio dei file veri e propri presenti nel dispositivo ed accessibili all'utente oggetto di attacco, utilizzando algoritmi di crittografia al fine di rendere i dati illeggibili, nel secondo caso tramite la cifratura delle strutture dati del sistema operativo o di parte di esse, ossia quelle che permettono di mantenere l'organizzazione dei dati all'interno del dispositivo, facendo perdere così traccia dei collegamenti ai dati presenti, anche se i dati restano intatti nel dispositivo stesso.

Ritornando al primo caso, una volta che il dispositivo è stato infettato, il programma infetto (il payload, descritto al paragrafo precedente) in qualche modo viene attivato e si connette al sito dell’attaccante, scaricando un nuovo programma che si occuperà di cifrare i dati realmente, quest'ultimo può essere anche uno script (principalmente VBScript per i sistemi Windows) che utilizza programmi di cifratura già esistenti nel dispositivo della vittima. In quest'ultimo caso lo script è molto più piccolo in termini di dimensioni da scaricare e soprattutto da nascondere ai sistemi di sicurezza quali antivirus, firewall, etc.

Ritornando al secondo caso, la modalità di inizio della contaminazione non cambia, quello che cambia è la modalità operativa, ossia piuttosto che criptare i dati (operazione che richiede tempo), si vanno a cifrare le strutture dati preposte all'organizzazione dei dati all'interno del dispositivo, che rappresentano solo una piccola quantità dei dati presenti nel sistema operativo, in particolare si agisce sulla struttura organizzativa del file system, che è il contenitore dei dati del nostro dispositivo. 

...continua la lettura nel pdf