Attenzione al ransomware. Il programma che prende “in ostaggio” il tuo dispositivo

 
 
Tratto da www.garanteprivacy.it
 

L’emergenza sanitaria da Covid2019 – che porta molte più persone e per molto più tempo ad essere connesse online e ad utilizzare dispositivi digitali – sembra essere affiancata da un pericoloso “contagio digitale”, alimentato da malintenzionati che diffondono software “malevoli” per varie finalità illecite. Una delle attività più diffuse e dannose è attualmente il cosiddetto ransomware.

  1. Cos’e’ il ransomware?

Il ransomware è un programma informatico dannoso (“malevolo”) che può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto (in inglese, “ransom”) da pagare per “liberarli”.

La richiesta di pagamento, con le relative istruzioni, compare di solito in una finestra che si apre automaticamente sullo schermo del dispositivo infettato. All’utente viene minacciosamente comunicato che ha poche ore o pochi giorni per effettuare il versamento del riscatto, altrimenti il blocco dei contenuti diventerà definitivo.

Ci sono due tipi principali di ransomware:

  • i cryptor (che criptano i file contenuti nel dispositivo rendendoli inaccessibili);
  • i blocker (che bloccano l’accesso al dispositivo infettato).
  1. Come si diffonde?

Anche se in alcuni casi (non molto frequenti) il ransomware può essere installato sul dispositivo tramite sofisticate forme di attacco informatico (es: controllo da remoto), questo tipo di software malevoli si diffonde soprattutto attraverso comunicazioni ricevute via e-mail, sms o sistemi di messaggistica che:

  • sembrano apparentemente provenire da soggetti conosciuti e affidabili (ad esempio, corrieri espressi, gestori di servizi, operatori telefonici, pubbliche amministrazioni, ecc.), oppure da persone fidate (colleghi di lavoro, conoscenti);
  • contengono allegati da aprire (spesso “con urgenza”), oppure link e banner da cliccare (per verificare informazioni o ricevere importanti avvisi), ovviamente collegati a software malevoli.

In altri casi, il ransomware può essere scaricato sul dispositivo quando l’utente:

  • clicca link o banner pubblicitari su siti web (un canale molto usato è rappresentato dai siti per adulti) o social network;
  • naviga su siti web creati ad hoc o “compromessi” da hacker per diventare veicolo del contagio ransomware.

Il ransomware può essere diffuso da malintenzionati anche attraverso software e app (giochi, utilità per il PC, persino falsi anti-virus), offerti gratuitamente per invogliare gli utenti al download e infettare così i loro dispositivi.

E’ bene ricordare che ogni dispositivo “infettato” ne può “contagiare” altri. Il ransomware può diffondersi sfruttando, ad esempio, le sincronizzazioni tra dispositivi, i sistemi di condivisione in cloud, oppure può impossessarsi della rubrica dei contatti e utilizzarla per spedire automaticamente ad altre persone messaggi contenenti link e allegati che diventano veicolo del ransomware.

  1. Come difendersi?

La prima e più importante forma di difesa è la prudenza. Occorre evitare di aprire messaggi provenienti da soggetti sconosciuti o con i quali non si hanno rapporti (ad es. un operatore telefonico di cui non si è cliente, un corriere espresso da cui non si aspettano consegne, ecc.) e, in ogni caso, se si hanno dubbi, non si deve cliccare su link o banner sospetti e non si devono aprire allegati di cui si ognora il contenuto.

Anche se i messaggi provengono da soggetti a noi noti, è comunque bene adottare alcune piccole accortezze. Ad esempio:

– non aprire mai allegati con estensioni “strane” (ad esempio, allegati con estensione “.exe” sono a rischio, perché potrebbero installare applicazioni di qualche tipo nel dispositivo);

– non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento);

scaricare preferibilmente app e programmi da market ufficiali, i cui gestori effettuano controlli sui prodotti e dove è eventualmente possibile leggere i commenti di altri utenti che contengono avvisi sui potenziali rischi;

– se si usa un pc, si può passare la freccia del mouse su eventuali link o banner pubblicitari ricevuti via e-mail o presenti su siti web senza aprirli (così, in basso nella finestra del browser, si può vedere l’anteprima del link da aprire e verificare se corrisponde al link che si vede scritto nel messaggio: in caso non corrispondano, c’è ovviamente un rischio).

E’ inoltre utile:

  • installare su tutti i dispositivi un antivirus con estensioni anti-malware;
  • mantenere costantemente aggiornati il sistema operativo oltre che i software e le app che vengono utilizzati più spesso;
  • utilizzare dei sistemi di backup che salvino (anche in maniera automatica) una copia dei dati (sono disponibili soluzioni anche libere e gratuite per tutti i sistemi operativi). Con un corretto backup, in caso di necessità, si potranno così ripristinare i dati contenuti nel dispositivo, quantomeno fino all’ultimo salvataggio.
  1. Come liberarsi dal ransomware?

Pagare il riscatto è solo apparentemente la soluzione più facile. Oltre al danno economico, si corre infatti il rischio di non ricevere i codici di sblocco, o addirittura di finire in “liste di pagatori” potenzialmente soggetti a periodici attacchi ransomware.

La soluzione consigliata è quella di rivolgersi a tecnici specializzati capaci di sbloccare il dispositivo.

Un’alternativa efficace è quella di formattare il dispositivo: ma in questo caso, oltre ad eliminare il malware, si perdono tutti i dati in esso contenuti. Per questo è fondamentale (come suggerito) effettuare backup periodici dei contenuti (che è sempre una buona prassi) in modo da non perderli in caso di incidenti (es: danneggiamento del dispositivo, ecc.) o attacchi informatici che necessitano di interventi di ripristino.

E’ sempre consigliabile segnalare o denunciare l’attacco ransomware alla Polizia postale (https://www.commissariatodips.it), anche per aiutare a prevenire ulteriori illeciti.

È possibile, inoltre, rivolgersi al Garante nel caso si voglia segnalare una eventuale violazione in materia di dati personali (furto di identità, sottrazione di dati personali, furto di contenuti, ecc.), seguendo le indicazioni della pagina https://www.garanteprivacy.it/home/diritti/come-agire-per-tutelare-i-tuoi-dati-personali.

26 Ottobre 2020

Funzionamento della sandbox in LibraESVA

Per eludere le capacità di rilevazione del malware, molte campagne di attacco (incluse diverse di ransomware) si sono basate su mail che non contenevano direttamente il malware, ma che avevano un collegamento ad un file malevolo.

In questa situazione nel il modulo antispam, ne il modulo antimalware, potevano rilevare l’oggetto e bloccare l’azione da parte dell’utente.

Una delle novità più interessanti nell’ultima versione (4.0.0) di LibraESVA è la funzionalità Sandbox.

La funzionalità sandbox riscrive l’url di tutti i collegamenti

riscrittura

effettua una analisi del contenuto

analisi

 

 

se il collegamento è considerato sicuro l’utente viene reindirizzato verso la pagina richiesta, mentre il collegamento è considerato malevolo viene presentata una maschera di blocco all’utente.

bloccoL’utente può comunque accettare il rischio e proseguire nella navigazione raggiungendo l’indirizzo pericoloso.

La funzionalità sandbox è disattiva per default, può essere attivata dal menu: System / Content Analisys / Antispam Action Settings attiva sandbox

La scansione del contenuto non viene effettuata in locale dalla virtual appliance, ma viene effettuata dagli EsvaLabs, la struttura che effettua studi continui sullo spam e sulle campagne di attacco basate su email.

argonavislab

Argonavis ti invita a richiedere una prova di 30 giorni di LibraESVA, per provare sul tuo dominio gli straordinari risultati di filtraggio dello spam e dei malware allegati a messaggi di posta elettronica.

Richiedi Informazioni

15 Settembre 2016

Rilasciato LibraESVA 4.0

E’ stata rilasciata la versione 4.0 di LibraESVA.

libraesva

La nuova versione include correzione a problemi noti, nuove funzionalità e migliorie a funzionalità esistenti.

Problemi Corretti

– Corretto problema che causava il blocco del servizio HTTPD
– Corretto un errore che duplicava le whitelist
– Corretto un problema sul rilascio di archivi annidati nella funzione “Dangerous content release override”
– Corretto un errore sul job di Backup
– Corretto un problema sul wizard del Cluster
– Corretto un problema su Rule Score Override
– Migliorato il supporto ad UTF-8 nelle Custom Spam Rules
– Corretto un problema che si verificava durante l’aggiunta di un dominio
– Corretto un problema sulla configurazione di SSL in apache
– Corretto un problema sulle blacklist
– Corretto un problema sul download del Maillog
– Migliorate le prestazioni di LocalRBL
– Corretto un problema sul rilascio di archivi protetti da Password
– Corretto un problema sulle API per ISP

Nuove Funzionalità

– Nuova interfaccia Web
– Aggiunta la nuova funzionalità URL Sandbox
– Aggiunta High Availability Distributed
– Aggiunto un nuovo plugin Graymail
– Aggiunto il supporto ai certificati Crittografici
– Aggiunta l’azione Forward per i messaggi clean
– Filechecks archive è attivato per tutti i domini
– La richiesta di rilascio del messaggio dalla quarantena viene notificato all’amministratore
– Le impostazioni di Clean Messages sono state separate dalle impostazioni di Quarantine Retention
– Aggiunto il filtro Bounced emails nelle funzioni di ricerca
– Nuove funzionaiità offerte dalle API
– Aggiunta l’opzione SMTP Delay warning
– File con estensione .jar vengono bloccati di default
– Motore di scansione aggiornato
– Aggiunta la possibilità di vedere lo stato di aggiornamento dei compomenti di Libra Esva

Tutti i clienti LibraESVA sono incoraggiati a procedere all’aggiornamento.

NOTE: Questo aggiornamento può impiegare oltre 5 minuti di tempo per completarsi e richiede il riavvio del sistema al termine.
Prima di installare l’aggiornamento è buona prassi effettuare uno snapshot della macchina virtuale.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-3-6-5-0-to-3-7-0-0-upgrade-script

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Richiedi Informazioni

14 Settembre 2016

Ransomware Fantom

Sembra un aggiornamento critico di Windows, mentre invece è solo il maschera dietro cui si nasconde Fantom, uno delle ultime varianti di Ransomware scoperte.

Il gruppo MalwareHunterTeam, che ha disoffuscato il codice, ha potuto osservare che dal punto di vista crittogratico assomiglia agli altri Ransomware basati su EDA2, genera una chiave AES a 128 bit da usare per crittografare tutti i file, a sua volta anche la chiave viene crittata con l’algoritmo RSA e viene caricata su un server di Command & Control gestito dai criminali.

cleanup

Una volta iniziato il processo di crittografia dei file, il sistema mostra una maschera tipica di quando è in corso un aggiornamento di Windows, tuttavia la percentuale non riguarda l’aggiornamento del sistema, ma la crittazione dei file presenti.

windows-update-screen

Al termine delle operazioni di crittografia i file colpiti avranno la propria estensione modificata in .fantom ed in ciascuna cartella si potrà trovare il file  DECRYPT_YOUR_FILES.HTML con le istruzioni per pagare il riscatto.

Al momento l’unico modo per decrittare i file è avere la chiave memorizzata sul server Command & Control, ma il suggerimento come al solito è quello di non pagare.

Sicuramente non si tratta di un ransomware particolarmente originale sotto il punto di vista tecnico, ma è originale il suo camuffamento sotto la forma di Windows Update.

Ricordiamo i principali metodi per evitare di essere infettati:

  1. Un ottimo sistema antispam, che filtri messaggi di spam ed i malware allegati
  2. Un ottimo sistema antimalware in grado di filtrare anche le minacce sconosciute
  3. Educare gli utenti a tenere comportamenti corretti evitando di aprire messaggi il cui contenuto non è chiaro.

argonavislab

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

5 Settembre 2016

Arrestato gruppo criminale Lurk, autore di Angler Kit

All’inizio del mese di giugno una importante organizzazione di criminali informatici, chiamata Lurk, è stata arrestata dalle forze dell’ordine russe.

Il gruppo Lurk era specializzato in frodi online con software Remote Banking Service e sofisticati meccanismi di furto, sempre rivolte verso il settore bancario. Lurk è anche l’autore di Angler Kit, di cui avevamo già parlato Angler: un kit di exploit utilizzato anche per la diffusione di ransomware e della sua grandissima diffusione.

Si ritiene che Angler Kit non sia stato creato con l’intenzione di essere ridistribuito, ma doveva rimanere riservato per permettere al gruppo di effettuare le loro frodi, tuttavia a partire dal 2013 Angler è stato uno dei malware più distribuiti secondo la filosofia “Malware as a Service”, ovvero viene reso disponibile, pronto per l’utilizzo ad altri gruppi di criminali informatici in cambio di una sottoscrizione o di una percentuale dei proventi delle truffe effettutate.

Secondo Ruslan Stoyanov di Kaspersky Lab la scelta di cambio di strategia fatta dal gruppo Lurk, di espandere il business di questo kit di malware è dipesa dalla necessità di dover guadagnare molti più soldi per pagare una struttura molto complessa.

“Crediamo che la decisione del gruppo Lurk di concedere l’accesso ad Angler sia in parte dovuta alla necessità di pagare le fatture. Dal momento in cui Angler ha iniziato a essere dato in concessione, la profittabilità del business principale del gruppo – le rapine informatiche alle aziende – ha iniziato a calare a causa di una serie di misure di sicurezza implementate dagli sviluppatori software dei sistemi bancari remoti, che rendevano il furto molto più difficile per gli hacker. Tuttavia, all’epoca Lurk aveva un’imponente infrastruttura di rete e moltissimi membri dello “staff”…e tutto doveva essere pagato. Hanno quindi deciso di espandere il proprio business e per certi versi ci sono riusciti. Mentre il trojan bancario Lurk rappresentava una minaccia solo per le organizzazioni russe, Angler è stato utilizzato per attacchi agli utenti di tutto il mondo”, ha spiegato Ruslan Stoyanov, Head of Computer incident investigations department di Kaspersky Lab.

kaspersky-logo

Le informazioni raccolte dalla speciale Divisione per le Indagini sugli Incidenti Informatici allestita da Kaspersky Lab sono risultate determinanti per identificare i componenti del gruppo.

Lo studio approfondito di questi fenomeni criminali, oltre ad assicurare alla legge i delinquenti, crea nel gruppo di ricerca Kaspersky Lab un know-how di conoscenze che vengono trasferite nei prodotti Kaspersky Lab e garantiscono ottimi risultati nella protezione del business.

argonavislab

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

 

 

31 Agosto 2016

Blog & News

Categorie