Cerca nel blog

2019/04/23

Megalocker, ransomware che infetta senza installarlo

Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. La puntata è ascoltabile qui.

Le intrusioni informatiche a scopo di estorsione non sono una novità. Mettono una password nota solo agli intrusi sui dati della vittima e poi chiedono soldi per rivelare questa password e quindi consentire alla vittima di riavere accesso ai propri dati. Tuttavia queste incursioni si evolvono col tempo, ed è importante conoscerne gli sviluppi in modo da poterli contrastare.

Normalmente un attacco di questo genere richiede che la vittima scarichi qualcosa, per esempio un documento o un’app. L’esempio tipico in ambito aziendale è la finta fattura in formato PDF o Word, ricevuta via mail come allegato, che contiene al suo interno istruzioni automatiche o macro che scaricano e installano il virus che mette la password sui dati. Difendersi è quindi relativamente facile: basta usare un antivirus aggiornato e bel un po' di diffidenza e buon senso prima di aprire gli allegati.

Ma è da poco in circolazione un attacco che fa a meno di questo passo e riesce a bloccare i dati senza che la vittima debba scaricare o installare nulla. Questo rende molto più facile l’attacco, che si chiama NamPoHyu o MegaLocker e usa una tecnica ingegnosa: il programma che mette la password viene infatti eseguito sul computer degli aggressori, non su quello della vittima. È in sintesi un virus che agisce senza dover infettare.

Ma allora come fa a bloccare i dati della vittima? Il trucco è che gli aggressori che usano NamPoHyu approfittano del fatto che molti utenti sbagliano a impostare le proprie condivisioni dei dati e le lasciano accessibili a chiunque via Internet, per esempio perché vogliono usare un videogioco. Windows, in particolare, ha due condivisioni, C$ e ADMIN$, che vengono create automaticamente a ogni avvio. Queste condivisioni sono protette dalla password di amministratore. Se è una password ovvia, il criminale la può indovinare facilmente e così accedere da remoto ai dati della vittima e bloccarli in modo da poter poi chiedere un riscatto che solitamente varia fra 250 e 1000 dollari.

Per difendersi è quindi necessario non solo usare le precauzioni già viste, ma anche tenere sempre attive le protezioni informatiche standard, in particolare il firewall sul computer locale e sul router, senza mai disattivarle, neanche per prova o temporaneamente.

Sapere se si è vulnerabili a questo attacco a causa di condivisioni aperte verso Internet richiede un po’ di competenza informatica: bisogna infatti conoscere il proprio indirizzo IP pubblico e poi interrogarlo usando siti appositi, come Shodan.io. Nelle aziende medie e grandi, il responsabile della sicurezza informatica sa benissimo come procedere, ma tante piccole imprese non hanno queste competenze, e si vede: Shodan.io trova infatti oltre mezzo milione di computer vulnerabili a questa forma di intrusione in giro per il mondo.

Conviene quindi chiamare una persona esperta per un controllo periodico e fare una copia frequente dei propri dati, da tenere fisicamente scollegata da Internet e dai propri computer. Servirà come salvagente in caso di attacco andato a segno, consentendo di ripristinare i dati bloccati e di fare marameo all’aggressore.


Fonti: Cybersecurity360.it, Naked Security.


Nessun commento: