sicurezza informatica

L’identikit del Ransomware: come funziona e perché è cosi pericoloso

di Salvatore Lombardo, ICT Expert & Information Security contributor |

Nel 2017 Wannacry ha segnato un punto di rottura gettando le basi verso un nuovo modo di concepire quelli che sarebbero stati gli attacchi ransomware futuri.

I Ransomware in primo piano tra le principali minacce alla sicurezza informatica, continuano ad affliggere l’Italia che, secondo quanto emerge dal Report di Trend Micro Research, nel 2019 risulta il secondo Paese più colpito in Europa (dopo la Germania), con il 12,68% dei casi di tutto il continente. 

Anche dal rapporto Clusit 2020, purtroppo, non giungono buone notizie che anzi ne confermano un aumento del +23% con una frequenza percentuale pari a quasi la metà (46%) di tutte le tipologie di malware osservate.

I principali ransomware

Negli anni gli sviluppatori ne hanno trasformato caratteristiche e connotati sino a realizzare, nell’arco di un trentennio (trojan Aids 1989 – Reveton 2012 – Wannacry 2017), potenti e pericolose entità malevole ibride capaci non solo semplicemente di cifrare dati e chiedere un riscatto ma anche di diffondersi massivamente in rete, interrompere la continuità operativa e causare gravi fughe di dati sensibili (Maze), diventando, di fatto, una delle più grandi minacce alla sicurezza del cyber spazio.

La diffusione dei dispositivi IoT, dei servizi cloud e della digitalizzazione ha inoltre accresciuto il grosso potenziale di pericolosità dei malware del riscatto, portandoli a influenzare non solo la nostra vita quotidiana, minando la sicurezza dei nostri dispostivi ma anche a compromettere servizi e intere reti aziendali.

Certamente il famigerato Wannacry nel 2017, avendo infettato migliaia di computer e fatto crollare alcune tra le maggiori istituzioni sanitarie mondiali, con la sua diffusione globale ha segnato un punto di rottura gettando le basi verso un nuovo modo di concepire quelli che sarebbero stati gli attacchi ransomware futuri. 

Identikit Ransomware
La nuova generazione di attacchi ransomware colpisce i sistemi informativi con varie azioni malevole e adoperando diverse componenti ausiliarie.
Azioni malevole
sequestro file, criptando dischi e contenuti digitali;compromissione dell’operatività stessa dei sistemi colpiti, rendendoli inutilizzabili;esfiltrazione dei dati sensibili, intimandone la divulgazione pubblica.
Componenti ausiliarie
una componente cryptolocker per la cifratura di file e il bloccato dei sistemi;una componente worm per autoreplicarsi all’interno della rete target;una componente exploit per la sua diffusione, sfruttando vulnerabilità e tecniche di evasione;una componente exfiltration per la fuga di dati anche attraverso tecniche di sniffing e sql injection.
Ulteriore aggravante
Non è scontato che il danno e i relativi problemi possano effettivamente risolversi con il pagamento del riscatto (solitamente richiesto in criptovaluta bitcoin).

Procedura d’attacco di un ransomware

È possibile rappresentare una kill chain per un verosimile ransomware suddividendo le fasi della procedura d’attacco in quattro step principali.

1. La campagna d’infezione e ricognizione generale

Per la trasmissione dell’infezione, esiste una vasta gamma di canali che può essere utilizzata nelle campagne ricognitive.

Il più diffuso è il phishing. Non è una novità, purtroppo, come siano frequenti le infezioni causate dall’apertura incauta di messaggi e allegati apparentemente leciti ma che in realtà nascondono codici malevoli (statisticamente il 30% di questi messaggi viene aperto senza alcun indugio con il 10% dei casi in cui vengono letti anche i relativi allegati o link).

Ma bene si adattano per la trasmissione dell’infezione anche quei canali che sfruttano:

  • la navigazione su siti compromessi e le vulnerabilità dei browser per veicolare i malware tramite il “drive by download”;
  • le tecniche di bundle per nascondere payload dentro programmi propinati gratuitamente, oppure l’utilizzo di teste di ponte come il sofisticato framework Emotet;
  • gli attacchi brute force contro i servizi di desktop remoto (RDP, VNC, etc.) per l’accesso/controllo non autorizzato di server e sistemi.

Il codice malevolo una volta scaricato ed eseguito procederà così a diffondersi verticalmente sul sistema colpito, con furto di credenziali e abuso di privilegi, e a divulgarsi lateralmente sull’intera rete del sistema esposto, sfruttando vulnerabilità note e non risolte (EternalBlue, BlueKeep).

2. La preparazione dello scenario d’attacco con persistenza e ricognizione interna

Una volta portata a segno l’infezione, il ransomware per procedere all’allestimento di un proprio ambiente di lavoro adeguato:

  • dialoga solitamente con un server C2 (Command & Control) ricevendo opportune istruzioni per l’acquisizione del controllo del sistema e la generazione e lo scambio delle chiavi di cifratura (solitamente con una crittografia asimmetrica vengono scambiate una coppia di chiavi. La chiave pubblica viene usata per crittografare l’ambiente del sistema colpito, mentre quella privata, oggetto del riscatto, servirà per l’eventuale decrittografia non sempre garantita).
  • Successivamente avvia una ricognizione interna allo scopo di trovare dati e repository rispettando lo svolgimento delle azioni pianificate.

3. La crittografia del Ransomware

In possesso di tutte le informazioni necessarie e dopo aver allestito il proprio ambiente di lavoro il ransomware passa all’azione procedendo alla crittografia o talvolta alla distruzione e sempre più frequentemente anche all’esfiltrazione dei dati, bloccando il sistema e compromettendo anche copie di sicurezza e di backup. 

4. L’esito finale

Una volta crittografati e/o esfiltrati i dati e paralizzata la rete, il lavoro è compiuto. L’attacco si manifesta tramite la consueta richiesta di riscatto.

Conclusioni

È possibile individuare segnali spia preventivi tenendo sotto controllo alcuni elementi potenzialmente suscettibili nella successione temporale della kill chain. In particolare, considerando che la maggior probabilità di successo questi attacchi la ottengono se riescono a superare la prima fase di ricognizione, risulta quanto mai imprescindibile essere in grado di rilevare avvisaglie intervenendo il prima possibile sui precursori.

Ciò non toglie che, a fronte di possibili eventi non rilevati o che evadono i controlli, occorrerà sempre e comunque monitorare tutta la finestra temporale della kill chain, attivando misure mirate a bloccare, durante la ricognizione malevola interna, gli eventuali movimenti laterali, l’escalation di privilegi e la comunicazione con la centrale di controllo. 

Come accade per la sicurezza fisica, nella vita reale, anche in ambito informatico non è possibile garantire una protezione assoluta ma è certamente possibile intervenire per attenuare l’esposizione al rischio.

Allo scopo possono risultare efficaci le seguenti attività di contrasto:

  • Limitare gli accessi remoti, qualora non protetti tramite autenticazione multi fattore;
  • segmentare la rete tenendo separati e isolati i sistemi critici;
  • aggiornare periodicamente sistemi e applicazioni;
  • disattivare gli account amministrativi convenzionali, utilizzandone eventualmente altri creati ad hoc;
  • adottare dei sistemi di telemetria sull’attività di rete e degli host;
  • custodire adeguatamente le copie di sicurezza, adottando strategie di backup preferibilmente con soluzioni offline o cloud;
  • integrare nella propria cultura la consapevolezza della sicurezza e delle buone regole di condotta, verificandone l’attuazione con audit periodici.