Cerca nel blog

2016/05/05

Rivincita contro il ransomware: intrusi buoni bloccano i criminali

Il ransomware si è rivelato estremamente redditizio per i criminali informatici: moltissimi utenti che non prendono precauzioni (ossia che non fanno un backup offline dei propri dati e aprono disinvoltamente qualunque allegato ricevuto via mail) si trovano con il computer infetto e sono costretti a pagare un riscatto via Internet per riavere accesso ai propri dati, bloccati da una password complicatissima nota soltanto ai criminali. L’alternativa è perdere tutto, e se i dati sono aziendali o professionali questo implica spesso dover chiudere l’attività, con i danni che ne conseguono.

Di solito mi tocca raccontare l’ennesima storia di vittime che hanno perso tutto, ma stavolta c’è una buona notizia: uno dei ransomware più diffusi al mondo (secondo le analisi di Fortinet), denominato Locky, è stato sgominato almeno temporaneamente da un’incursione di white hat (o “hacker buoni”) che si sono infiltrati in uno dei server che controllano Locky e hanno sostituito il suo carico infettante, quello che viene iniettato nei computer delle vittime, con un contenuto innocuo.

La società di sicurezza informatica Avira, infatti, spiega che Locky funziona in questo modo: i criminali che gestiscono Locky mandano alle vittime delle mail che sembrano delle fatture o degli avvisi di scadenza di pagamenti importanti (per esempio multe). A queste mail sono allegati dei file ZIP che contengono un Javascript. Se l’utente apre l’allegato e il suo computer è impostato per eseguire automaticamente i Javascript ricevuti via mail da Internet (cosa che non dovrebbe fare ma che spesso avviene), questa esecuzione scarica dal server dei criminali un programma che inizia la cifratura dei dati della vittima.

Gli intrusi buoni hanno sostituito questo programma con un testo semplice che contiene le parole “STUPID LOCKY”, chiara presa in giro dei criminali, così bravi a entrare nei computer altrui ma non altrettanto bravi a impedire agli altri di entrare nei loro sistemi informatici. Di conseguenza, chi cade nella trappola di Locky non scarica nulla di pericoloso e quindi si salva.

Quanto durerà questa paralisi dei misfatti di Locky? Probabilmente non molto a lungo: i criminali dovranno riorganizzare le proprie difese. Ma almeno per un po’ questo ransomware non potrà fare vittime. Nel frattempo, visto che l’attacco colpisce principalmente gli utenti Windows, vale la pena di dare un’occhiata ai consigli di Microsoft su come difendersi dalle mail contenenti Javascript.

8 commenti:

DanyFlorence ha detto...

Se faccio un backup dei dati su cloud usando spazi come Dropbox o google drive, sono al sicuro dai ransomware?

Mauro ha detto...

Io devo essere sincero: non riesco a concepire chi usa provider mail gratuiti e quindi senza protezione.
Io ne uso uno a pagamento (comunque alla portata di tutti coloro possano permettersi un computer, non certo una cosa da ricchi) e le mail a rischio mi vengono bloccate direttamente dal provider senza che io abbia bisogno di altro (certo, ho anche l'antivirus, ma quello mi serve per quando navigo sul web... fosse solo per le mail sarebbe disoccupato).

PIER ha detto...

@DanyFlorence - per essere al sicuro non dovresti avere i servizi cloud sempre attivi - ovvero dovresti avviarli per sincronizzare di volta in volta i file su pc, quindi chiudere il processo.

PIER ha detto...

@Attivissimo - come fare per bloccare l'esecuzione dei Javascript da email?

Tukler ha detto...

@Mauro:

Io uso gmail (o google apps, ma da quel punto di vista è lo stesso), e la stragrande maggioranza me li blocca, ma qualcosa passa... non so cosa possa implementare un servizio a pagamento, ma un email proveniente da un contatto, ben scritta e con un link a un sito 0-day che ti fa scaricare il file con un pretesto la vedo difficile da bloccare.

@DanyFlorence:

Con i ransomware attuali sì, e non è semplice che in futuro riescano a compromettere anche servizi cloud (che solitamente mantengono anche lo storico delle versioni precedenti dei file), però un backup offline sarebbe comunque consigliabile in caso di utenza aziendale o comunque dati particolarmente importanti.

Verzasoft ha detto...

@Mauro
Ad oggi, un servizio a pagamento e uno gratuito non sono dissimili riguardo antispam e antivirus.
Ciò che paghi é altro (e.g. nessuna pubblicità, gestioni aggiuntive tipo gigamail, backup, spazio di archiviazione, calendari, possibilità di gestione caselle, alias e domini, ecc).

Unknown ha detto...

usare un firewall con la funzione blocco javascript attiva..........

Paolo ha detto...

Usare la testa prima di tutto! Sembra scontato ma tutti questi attacchi partono dal presupposto che l'utente faccia la sua parte...purtroppo; e si sa che siamo nella maggioranza dei casi, l anello più debole di una infrastruttura tecnologica.Non Ci sono sistemi che tengano...questi potranno solo limitare il danno,ma se non ci si mette un po' di attenzione nell'uso quotidiano di questi strumenti, saremo sempre esposti.