skip to main | skip to sidebar
8 commenti

Rivincita contro il ransomware: intrusi buoni bloccano i criminali

Il ransomware si è rivelato estremamente redditizio per i criminali informatici: moltissimi utenti che non prendono precauzioni (ossia che non fanno un backup offline dei propri dati e aprono disinvoltamente qualunque allegato ricevuto via mail) si trovano con il computer infetto e sono costretti a pagare un riscatto via Internet per riavere accesso ai propri dati, bloccati da una password complicatissima nota soltanto ai criminali. L’alternativa è perdere tutto, e se i dati sono aziendali o professionali questo implica spesso dover chiudere l’attività, con i danni che ne conseguono.

Di solito mi tocca raccontare l’ennesima storia di vittime che hanno perso tutto, ma stavolta c’è una buona notizia: uno dei ransomware più diffusi al mondo (secondo le analisi di Fortinet), denominato Locky, è stato sgominato almeno temporaneamente da un’incursione di white hat (o “hacker buoni”) che si sono infiltrati in uno dei server che controllano Locky e hanno sostituito il suo carico infettante, quello che viene iniettato nei computer delle vittime, con un contenuto innocuo.

La società di sicurezza informatica Avira, infatti, spiega che Locky funziona in questo modo: i criminali che gestiscono Locky mandano alle vittime delle mail che sembrano delle fatture o degli avvisi di scadenza di pagamenti importanti (per esempio multe). A queste mail sono allegati dei file ZIP che contengono un Javascript. Se l’utente apre l’allegato e il suo computer è impostato per eseguire automaticamente i Javascript ricevuti via mail da Internet (cosa che non dovrebbe fare ma che spesso avviene), questa esecuzione scarica dal server dei criminali un programma che inizia la cifratura dei dati della vittima.

Gli intrusi buoni hanno sostituito questo programma con un testo semplice che contiene le parole “STUPID LOCKY”, chiara presa in giro dei criminali, così bravi a entrare nei computer altrui ma non altrettanto bravi a impedire agli altri di entrare nei loro sistemi informatici. Di conseguenza, chi cade nella trappola di Locky non scarica nulla di pericoloso e quindi si salva.

Quanto durerà questa paralisi dei misfatti di Locky? Probabilmente non molto a lungo: i criminali dovranno riorganizzare le proprie difese. Ma almeno per un po’ questo ransomware non potrà fare vittime. Nel frattempo, visto che l’attacco colpisce principalmente gli utenti Windows, vale la pena di dare un’occhiata ai consigli di Microsoft su come difendersi dalle mail contenenti Javascript.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (8)
Se faccio un backup dei dati su cloud usando spazi come Dropbox o google drive, sono al sicuro dai ransomware?
Io devo essere sincero: non riesco a concepire chi usa provider mail gratuiti e quindi senza protezione.
Io ne uso uno a pagamento (comunque alla portata di tutti coloro possano permettersi un computer, non certo una cosa da ricchi) e le mail a rischio mi vengono bloccate direttamente dal provider senza che io abbia bisogno di altro (certo, ho anche l'antivirus, ma quello mi serve per quando navigo sul web... fosse solo per le mail sarebbe disoccupato).
@DanyFlorence - per essere al sicuro non dovresti avere i servizi cloud sempre attivi - ovvero dovresti avviarli per sincronizzare di volta in volta i file su pc, quindi chiudere il processo.
@Attivissimo - come fare per bloccare l'esecuzione dei Javascript da email?
@Mauro:

Io uso gmail (o google apps, ma da quel punto di vista è lo stesso), e la stragrande maggioranza me li blocca, ma qualcosa passa... non so cosa possa implementare un servizio a pagamento, ma un email proveniente da un contatto, ben scritta e con un link a un sito 0-day che ti fa scaricare il file con un pretesto la vedo difficile da bloccare.

@DanyFlorence:

Con i ransomware attuali sì, e non è semplice che in futuro riescano a compromettere anche servizi cloud (che solitamente mantengono anche lo storico delle versioni precedenti dei file), però un backup offline sarebbe comunque consigliabile in caso di utenza aziendale o comunque dati particolarmente importanti.
@Mauro
Ad oggi, un servizio a pagamento e uno gratuito non sono dissimili riguardo antispam e antivirus.
Ciò che paghi é altro (e.g. nessuna pubblicità, gestioni aggiuntive tipo gigamail, backup, spazio di archiviazione, calendari, possibilità di gestione caselle, alias e domini, ecc).
usare un firewall con la funzione blocco javascript attiva..........
Usare la testa prima di tutto! Sembra scontato ma tutti questi attacchi partono dal presupposto che l'utente faccia la sua parte...purtroppo; e si sa che siamo nella maggioranza dei casi, l anello più debole di una infrastruttura tecnologica.Non Ci sono sistemi che tengano...questi potranno solo limitare il danno,ma se non ci si mette un po' di attenzione nell'uso quotidiano di questi strumenti, saremo sempre esposti.