Cybercrimine: Cryptolocker re del 2015
Il ransomware è stato lo strumento più utilizzato nel mondo del cybercrimine, grazie anche a Bitcoin e Tor.
In attività dal 2013, Cryptolocker è il malware più remunerativo che gli hacker hanno a disposizione, poiché consente di codificare i documenti privati e richiedere un riscatto per la loro restituzione: inserito nell’allegato di una mail fasulla, il file viene spacciato come PDF (con tanto di estensione “.pdf” finale) e quindi scaricato dall’utente. A questo punto Cryptolocker viene lanciato e parte la ricerca di file con determinate estensioni, i quali, una volta individuati, vengono criptati con un codice pubblico e copiati in una cartella specifica. Al termine di questa operazione l’utente riceve il messaggio con il quale viene avvertito del fatto.
Tutto ciò avviene in maniera estremamente accurata, dal momento che Cryptolocker geolocalizza l’IP delle vittime in modo da inviare un messaggio nella lingua target e comunicare al malcapitato la somma da versare in cambio della decodificazione dei file, con la minaccia di eliminare il codice di decriptazione in caso di mancato pagamento entro una certa data di scadenza, costringendo l’utente a ricorrere al servizio di un’azienda che spesso appartiene al mittente della mail.
Per assicurarsi l’an0nimato e per continuare ad utilizzare questo metodo indisturbati, gli hacker si sono avvalsi dei pagamenti tramite Bitcoin e dell’utilizzo di Tor per contattare le vittime: entrambi i servizi, infatti, rendono difficile l’identificazione da parte delle autorità.
Diventati sempre più frequenti nel 2014, questi cyber-attacchi hanno raggiunto l’apice durante il 2015, e hanno visto lo spostamento del target dai privati alle aziende, alle quali veniva chiesto un riscatto di diverse centinaia di euro per singolo file. Inoltre, l’utilizzo di questo strumento è stato ottimizzato dai gruppi criminali, i quali non hanno più commesso alcuni di quegli errori di codifica che avevano permesso alle aziende specializzate in sicurezza di recuperare i file tramite tool appositi.
Come affrontare i nuovi mezzi del cybercrimine
A differenza dei malware tradizionali, Cryptolocker non è di natura invasiva (si elimina automaticamente dal sistema una volta effettuata la codifica) e non è minacciato dall’attività di rivelazione degli anti-virus, dal momento che il codice è in grado di analizzare le tecnologie presenti e sapere se esse siano in grado di individuarlo, modificando sé stesso nel caso lo fossero o installandosi nei sistemi di elaborazione per codificare i file, venendo così scambiato per un’abituale attività del sistema.
Un metodo efficace per la prevenzione di questo rischio è il monitoraggio di ogni processo in esecuzione sul PC; tuttavia esso è altamente dispendioso in termini di tempo ed attenzione. Per una protezione meno controllata, ma comunque efficace, si può decidere di ricorrere ai criteri di restrizione dei software e alle funzioni di AppLocker per impedire ai file allegati di venire eseguiti all’interno di quelle aree dove Cryptolocker opera.
Detto questo, non resta che vedere se, nel 2016, le aziende e le autorità riusciranno a sviluppare nuovi sistemi di prevenzione automatizzata per questa tipologia di minacce.