Un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Alcune forme di ransomware ad esempio, bloccano il sistema, intimando l'utente a pagare per sbloccare il proprio dispositivo, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro. Certamente classificati come i peggiori malware in circolazione, poiché in grado di mettere in ginocchio intere aziende o gli enti pubblici con un loro attacco, oggi conosceremo alcuni tra i predatori più feroci e letali del Web: I Ransomware!
Salve a tutti Amici del Web e bentornati sul mio Blog! Io sono Lorenzo, e oggi sono qui per parlarvi dei predatori del web più letali in circolazione: i Ransomware! Vi invito a leggere l'articolo fino alla fine per poter comprendere a pieno l'argomento trattato ed evitare di perdervi i miei preziosi consigli! Ma prima di cominciare, vi ricordo di Iscrivervi al mio Canale YouTube, attivando la campanella degli avvisi e di lasciare un bel mi piace per supportarmi, ma non perdiamoci in chiacchiere e diamoci dentro!
Salve a tutti Amici del Web e bentornati sul mio Blog! Io sono Lorenzo, e oggi sono qui per parlarvi dei predatori del web più letali in circolazione: i Ransomware! Vi invito a leggere l'articolo fino alla fine per poter comprendere a pieno l'argomento trattato ed evitare di perdervi i miei preziosi consigli! Ma prima di cominciare, vi ricordo di Iscrivervi al mio Canale YouTube, attivando la campanella degli avvisi e di lasciare un bel mi piace per supportarmi, ma non perdiamoci in chiacchiere e diamoci dentro!
1) PC Cyborg, il primo Ransomware
Partiamo con un po' di storia. Il primo ransomware noto, fu il trojan AIDS, noto anche come "PC Cyborg", scritto nel 1989 in QuickBasic 3.0 dal biologo statunitense Joseph Popp e diffuso tramite floppy disk inviati tramite servizi postali. Il Ransomware seguiva un payload il quale mostrava all'utente un messaggio in cui si diceva che la licenza di un qualche software installato o di MS DOS era scaduta, criptava i file dell'hard disk e obbligava l'utente a pagare 189 dollari alla "PC Cyborg Corporation" per sbloccare il sistema. “PC Cyborg Corporation” era il mittente fittizio delle lettere da cui provenivano i floppy disk con su scritto “AIDS Information – Introductory Diskettes”. I dischetti erano accompagnati da un opuscolo informativo in cui si affermava la necessità di acquistare una licenza per utilizzare il software. All’interno dei dischetti erano presenti due file eseguibili: “INSTALL.EXE” e “AIDS.EXE”. Il primo era l'installer del malware vero e proprio. Una volta installato, il malware andava sostituendosi al file AUTOEXEC.BAT, ovvero il file di avvio del sistemi Windows MS-DOS, e faceva visualizzare un messaggio a video in cui veniva chiesto all’utente di rinnovare la propria licenza software per poter continuare ad utilizzare il computer. Le stampanti connesse stampavano un documento in cui si invitava a inviare 189 dollari a una casella postale a Panama per una licenza annuale e ottenere istruzioni sul ripristino dei dati. L’installazione del ransomware è stata eseguita dal 5 per cento degli utenti che hanno ricevuto i dischi, ovvero circa 1.000 computer. Popp successivamente fu dichiarato incapace di intendere e di volere e non fu processato, ma promise di devolvere i proventi del malware alla ricerca per la cura dell'AIDS. A seguito di questo, furono creati molti altri Ransomware, che ancora oggi, minacciano il web.
2) Reveton
Uno dei più noti Ransomware, cominciò a diffondersi nell'ormai lontano 2012. Basato sul trojan Citadel (che era a sua volta basato sul trojan Zeus), il suo payload mostrava un avviso che sembrava provenire dalla polizia federale (da cui prese il nome "trojan della polizia"), affermando che il computer era stato utilizzato per attività illegali (ad esempio per il download di software pirata o di materiale pedopornografico). L'avviso informava l'utente che, per sbloccare il proprio sistema, avrebbe dovuto pagare una multa usando un voucher di un servizio di credito prepagato anonimo. Per rendere maggiore l'illusione che il computer fosse sotto controllo della polizia federale, lo schermo mostrava anche l'Indirizzo IP della macchina, e alcune versioni mostravano addirittura dei filmati della webcam del PC per far sembrare che l'utente fosse anche ripreso dalla polizia. Reveton si diffuse inizialmente in Europa all'inizio del 2012, successivamente comparvero alcune varianti localizzate, che si differenziavano per il logo dell'agenzia federale mostrato, e che variava in base alla nazionalità dell'utente: ad esempio le varianti usate nel Regno Unito riportavano il logo del Metropolitan Police Service, o della PRS for Music (una società di gestione collettiva di diritti d'autore), che accusava l'utente di aver scaricato illegalmente dei file musicali, o ancora il logo della Police National E-Crime Unit. In una dichiarazione per avvisare la popolazione riguardo al malware, la Metropolitan Police affermò che non avrebbero mai bloccato un computer in quel modo nel corso di un'indagine. Nel maggio 2012 i ricercatori della Trend Micro che investigavano su potenziali minacce scoprirono varianti destinate agli Stati Uniti d'America e al Canada, il che fece pensare che gli autori potevano aver pianificato di colpire anche utenti del Nord America. Per l'agosto del 2012 una nuova variante di Reveton comparve negli USA: comunicava il dovuto pagamento di una multa di 200 dollari all'FBI, da effettuare usando una MoneyPak card. Nel febbraio 2013, un cittadino russo fu arrestato a Dubai dalle autorità spagnole per la sua connessione con una cerchia criminale che sfruttava Reveton; dieci altri individui furono arrestati con l'accusa di riciclaggio. Nell'agosto 2014 Avast! dichiarò che erano state trovate nuove varianti di Reveton che nel loro payload contenevano anche malware per sottrarre le password del sistema.
3) CryptoLocker
Certamente uno dei più temuti e famosi. Questo Ransomware a criptazione apparve per la prima volta nel settembre del 2013. Per funzionare, generava una coppia di chiavi RSA a 2048 bit, le caricava su un server command-and-control e criptava i file con estensioni contenute in una particolare whitelist. Il malware minacciava poi di cancellare la chiave privata se entro tre giorni dall'infezione non fosse stato versato un pagamento di riscatto tramite Bitcoin o tramite voucher prepagati. A causa della dimensione notevole delle chiavi, gli analisti dell'epoca, e tutti coloro colpiti dal worm, ritennero Cryptolocker estremamente difficile da contrastare. Anche dopo la scadenza stabilita, si poteva comunque ottenere la chiave privata utilizzando uno strumento online (aumentando il prezzo del riscatto di circa 2300 dollari o l'equivalente in BitCoin). CryptoLocker successivamente fu isolato subito dopo l'annientamento del botnet Gameover ZeuS, annunciato ufficialmente dal dipartimento di Giustizia statunitense il 2 giugno 2014. Il dipartimento iscrisse al registro degli indagati l'hacker russo Evgeniy Bogachev a causa del suo presunto coinvolgimento nella diffusione e sviluppo del botnet. Si stima che prima della sua rimozione il ransomware abbia estorto all'incirca 3 milioni di dollari.
4) TeslaCrypt
Compare inizialmente come una variante di CryptoLocker, tuttavia questo Ransomware ha poi ottenuto una sua identità ed una sua nomea, grazie al suo particolare modus operandi e ai files specifici che colpiva. TeslaCrypt infatti, prendeva di mira i file associati ai videogiochi, come file di salvataggio, mappe, contenuti scaricabili, patch e simili. Per il povero gamer colpito, si tratta spesso di files importanti, in quanto permettono il buon funzionamento del gioco o contengono i progressi di gioco ottenuti. La criticità è dovuta al fatto che, generalmente, si tratta di files salvati localmente piuttosto che su cloud o unità di archiviazione esterne. Nel 2016 TeslaCrypt ricopriva il 48 per cento degli attacchi ransomware a livello mondiale. Una cifra mostruosa. Una caratteristica che gli permise di poter mietere così tante vittime è stato il suo costante evolversi. Evitando di mantenere quindi il codice originale, difficilmente veniva contrastato. Agli inizi del 2016 era possibile ripristinare i file solo con l’intervento degli hacker creatori e per farlo, le vittime dovevano pagare un riscatto pari a 500 dollari in bitcoin. La sorpresa arrivò poi a maggio 2016 quando i creatori di TeslaCrypt decisero di mettere fine alle proprie malefatte e offrirono al mondo intero la chiave di decodifica principale. Dopo qualche giorno ESET rilasciò un tool gratuito per decrittare i computer infetti.
5) WannaCry
WannaCry è uno dei ransomware più pericolosi, temuti e terribili mai concepiti, nonché uno dei maggiori attacchi informatici di sempre. Per la prima volta, grazie a lui ed al suo operato, il termine ransomware entrò nel dibattito pubblico e nella stampa mondiale. A maggio 2017 si stima avvesse mietuto 200 mila vittime in circa 150 paesi tra cui grosse aziende, organizzazioni e istituzioni pubbliche. Si tratta della prima ondata di attacchi con strumenti di hacking trapelati dalla NSA. Di fatti, WannaCry utilizza l’exploit EternalBlue e un bug di Microsoft nell’implementazione del protocollo SMB per poter infettare le proprie vittime. Nonostante Microsoft avesse rilasciato un aggiornamento di sicurezza, molti computer non riuscirono ad aggiornarsi in tempo, rimanendo scoperti a questo e altri attacchi informatici. WannaCry infatti, ha sfruttato proprio questa mancanza, per diffondersi in modo aggressivo su tutti i dispositivi possibili collegati in rete. Una sua caratteristica, che lo ha reso celebre e molto pericoloso è l'autoinstallazione che effettua nel computer infettato, criptandone i file con l’estensione .WCRY. L’estorsione richiesta è pari a 300 dollari in bitcoin da pagare entro i primi 3 giorni, e successivamente raddoppiati a 600 nel caso non si pagasse. Se il pagamento non dovesse avvenire entro una settimana, il Ransomware promette che tutti i file andranno persi. Due anni dopo la diffusione mondiale di WannaCry, si conta che ancora due milioni di computer non avessero aggiornato il Sistema Operativo, rimanendo quindi esposti ad un suo potenziale e letale attacco.
6) Petya e NotPetya
Dopo WannaCry, l’era dei ransomware è stata segnata da Petya prima, e NotPetya dopo. Petya era un pacchetto ransomware risalente al 2016. Poche settimane dopo l’epidemia di WannaCry, iniziò a diffondersi in una versione aggiornata, sfruttando l’exploit EternalBlue di Windows reso noto dalle azioni di WannaCry. La sua evoluzione nel tempo portò a chiamare poi il software malevolo con il nome di NotPetya. Il ransomware in data 28 giugno 2017 è stato registrato per l’80 per cento in Ucraina, secondi dati ESET. Al secondo posto c’era la Germania al 9 per cento. Anche NotPetya si è diffuso principalmente via e-mail allegando un file con estensione .doc, .xls, .ppt o .pdf. Il file in allegato può essere visualizzato tranquillamente, ma non è innocuo. Alla sua apertura, all’insaputa dell’utente, viene avviato e installato un dropper che scarica da Internet il Ransomware vero e proprio. Una volta criptati i file, il PC viene reso inutilizzabile e viene chiesto un riscatto di 300 dollari in bitcoin. La differenza sostanziale tra Petya/NotPetya e gli altri ransomware citati, è il modus operandi, che agisce non sulla criptazione di ogni file, ma direttamente del boot loader del PC.
Partiamo con un po' di storia. Il primo ransomware noto, fu il trojan AIDS, noto anche come "PC Cyborg", scritto nel 1989 in QuickBasic 3.0 dal biologo statunitense Joseph Popp e diffuso tramite floppy disk inviati tramite servizi postali. Il Ransomware seguiva un payload il quale mostrava all'utente un messaggio in cui si diceva che la licenza di un qualche software installato o di MS DOS era scaduta, criptava i file dell'hard disk e obbligava l'utente a pagare 189 dollari alla "PC Cyborg Corporation" per sbloccare il sistema. “PC Cyborg Corporation” era il mittente fittizio delle lettere da cui provenivano i floppy disk con su scritto “AIDS Information – Introductory Diskettes”. I dischetti erano accompagnati da un opuscolo informativo in cui si affermava la necessità di acquistare una licenza per utilizzare il software. All’interno dei dischetti erano presenti due file eseguibili: “INSTALL.EXE” e “AIDS.EXE”. Il primo era l'installer del malware vero e proprio. Una volta installato, il malware andava sostituendosi al file AUTOEXEC.BAT, ovvero il file di avvio del sistemi Windows MS-DOS, e faceva visualizzare un messaggio a video in cui veniva chiesto all’utente di rinnovare la propria licenza software per poter continuare ad utilizzare il computer. Le stampanti connesse stampavano un documento in cui si invitava a inviare 189 dollari a una casella postale a Panama per una licenza annuale e ottenere istruzioni sul ripristino dei dati. L’installazione del ransomware è stata eseguita dal 5 per cento degli utenti che hanno ricevuto i dischi, ovvero circa 1.000 computer. Popp successivamente fu dichiarato incapace di intendere e di volere e non fu processato, ma promise di devolvere i proventi del malware alla ricerca per la cura dell'AIDS. A seguito di questo, furono creati molti altri Ransomware, che ancora oggi, minacciano il web.
2) Reveton
Uno dei più noti Ransomware, cominciò a diffondersi nell'ormai lontano 2012. Basato sul trojan Citadel (che era a sua volta basato sul trojan Zeus), il suo payload mostrava un avviso che sembrava provenire dalla polizia federale (da cui prese il nome "trojan della polizia"), affermando che il computer era stato utilizzato per attività illegali (ad esempio per il download di software pirata o di materiale pedopornografico). L'avviso informava l'utente che, per sbloccare il proprio sistema, avrebbe dovuto pagare una multa usando un voucher di un servizio di credito prepagato anonimo. Per rendere maggiore l'illusione che il computer fosse sotto controllo della polizia federale, lo schermo mostrava anche l'Indirizzo IP della macchina, e alcune versioni mostravano addirittura dei filmati della webcam del PC per far sembrare che l'utente fosse anche ripreso dalla polizia. Reveton si diffuse inizialmente in Europa all'inizio del 2012, successivamente comparvero alcune varianti localizzate, che si differenziavano per il logo dell'agenzia federale mostrato, e che variava in base alla nazionalità dell'utente: ad esempio le varianti usate nel Regno Unito riportavano il logo del Metropolitan Police Service, o della PRS for Music (una società di gestione collettiva di diritti d'autore), che accusava l'utente di aver scaricato illegalmente dei file musicali, o ancora il logo della Police National E-Crime Unit. In una dichiarazione per avvisare la popolazione riguardo al malware, la Metropolitan Police affermò che non avrebbero mai bloccato un computer in quel modo nel corso di un'indagine. Nel maggio 2012 i ricercatori della Trend Micro che investigavano su potenziali minacce scoprirono varianti destinate agli Stati Uniti d'America e al Canada, il che fece pensare che gli autori potevano aver pianificato di colpire anche utenti del Nord America. Per l'agosto del 2012 una nuova variante di Reveton comparve negli USA: comunicava il dovuto pagamento di una multa di 200 dollari all'FBI, da effettuare usando una MoneyPak card. Nel febbraio 2013, un cittadino russo fu arrestato a Dubai dalle autorità spagnole per la sua connessione con una cerchia criminale che sfruttava Reveton; dieci altri individui furono arrestati con l'accusa di riciclaggio. Nell'agosto 2014 Avast! dichiarò che erano state trovate nuove varianti di Reveton che nel loro payload contenevano anche malware per sottrarre le password del sistema.
3) CryptoLocker
Certamente uno dei più temuti e famosi. Questo Ransomware a criptazione apparve per la prima volta nel settembre del 2013. Per funzionare, generava una coppia di chiavi RSA a 2048 bit, le caricava su un server command-and-control e criptava i file con estensioni contenute in una particolare whitelist. Il malware minacciava poi di cancellare la chiave privata se entro tre giorni dall'infezione non fosse stato versato un pagamento di riscatto tramite Bitcoin o tramite voucher prepagati. A causa della dimensione notevole delle chiavi, gli analisti dell'epoca, e tutti coloro colpiti dal worm, ritennero Cryptolocker estremamente difficile da contrastare. Anche dopo la scadenza stabilita, si poteva comunque ottenere la chiave privata utilizzando uno strumento online (aumentando il prezzo del riscatto di circa 2300 dollari o l'equivalente in BitCoin). CryptoLocker successivamente fu isolato subito dopo l'annientamento del botnet Gameover ZeuS, annunciato ufficialmente dal dipartimento di Giustizia statunitense il 2 giugno 2014. Il dipartimento iscrisse al registro degli indagati l'hacker russo Evgeniy Bogachev a causa del suo presunto coinvolgimento nella diffusione e sviluppo del botnet. Si stima che prima della sua rimozione il ransomware abbia estorto all'incirca 3 milioni di dollari.
4) TeslaCrypt
Compare inizialmente come una variante di CryptoLocker, tuttavia questo Ransomware ha poi ottenuto una sua identità ed una sua nomea, grazie al suo particolare modus operandi e ai files specifici che colpiva. TeslaCrypt infatti, prendeva di mira i file associati ai videogiochi, come file di salvataggio, mappe, contenuti scaricabili, patch e simili. Per il povero gamer colpito, si tratta spesso di files importanti, in quanto permettono il buon funzionamento del gioco o contengono i progressi di gioco ottenuti. La criticità è dovuta al fatto che, generalmente, si tratta di files salvati localmente piuttosto che su cloud o unità di archiviazione esterne. Nel 2016 TeslaCrypt ricopriva il 48 per cento degli attacchi ransomware a livello mondiale. Una cifra mostruosa. Una caratteristica che gli permise di poter mietere così tante vittime è stato il suo costante evolversi. Evitando di mantenere quindi il codice originale, difficilmente veniva contrastato. Agli inizi del 2016 era possibile ripristinare i file solo con l’intervento degli hacker creatori e per farlo, le vittime dovevano pagare un riscatto pari a 500 dollari in bitcoin. La sorpresa arrivò poi a maggio 2016 quando i creatori di TeslaCrypt decisero di mettere fine alle proprie malefatte e offrirono al mondo intero la chiave di decodifica principale. Dopo qualche giorno ESET rilasciò un tool gratuito per decrittare i computer infetti.
5) WannaCry
WannaCry è uno dei ransomware più pericolosi, temuti e terribili mai concepiti, nonché uno dei maggiori attacchi informatici di sempre. Per la prima volta, grazie a lui ed al suo operato, il termine ransomware entrò nel dibattito pubblico e nella stampa mondiale. A maggio 2017 si stima avvesse mietuto 200 mila vittime in circa 150 paesi tra cui grosse aziende, organizzazioni e istituzioni pubbliche. Si tratta della prima ondata di attacchi con strumenti di hacking trapelati dalla NSA. Di fatti, WannaCry utilizza l’exploit EternalBlue e un bug di Microsoft nell’implementazione del protocollo SMB per poter infettare le proprie vittime. Nonostante Microsoft avesse rilasciato un aggiornamento di sicurezza, molti computer non riuscirono ad aggiornarsi in tempo, rimanendo scoperti a questo e altri attacchi informatici. WannaCry infatti, ha sfruttato proprio questa mancanza, per diffondersi in modo aggressivo su tutti i dispositivi possibili collegati in rete. Una sua caratteristica, che lo ha reso celebre e molto pericoloso è l'autoinstallazione che effettua nel computer infettato, criptandone i file con l’estensione .WCRY. L’estorsione richiesta è pari a 300 dollari in bitcoin da pagare entro i primi 3 giorni, e successivamente raddoppiati a 600 nel caso non si pagasse. Se il pagamento non dovesse avvenire entro una settimana, il Ransomware promette che tutti i file andranno persi. Due anni dopo la diffusione mondiale di WannaCry, si conta che ancora due milioni di computer non avessero aggiornato il Sistema Operativo, rimanendo quindi esposti ad un suo potenziale e letale attacco.
6) Petya e NotPetya
Dopo WannaCry, l’era dei ransomware è stata segnata da Petya prima, e NotPetya dopo. Petya era un pacchetto ransomware risalente al 2016. Poche settimane dopo l’epidemia di WannaCry, iniziò a diffondersi in una versione aggiornata, sfruttando l’exploit EternalBlue di Windows reso noto dalle azioni di WannaCry. La sua evoluzione nel tempo portò a chiamare poi il software malevolo con il nome di NotPetya. Il ransomware in data 28 giugno 2017 è stato registrato per l’80 per cento in Ucraina, secondi dati ESET. Al secondo posto c’era la Germania al 9 per cento. Anche NotPetya si è diffuso principalmente via e-mail allegando un file con estensione .doc, .xls, .ppt o .pdf. Il file in allegato può essere visualizzato tranquillamente, ma non è innocuo. Alla sua apertura, all’insaputa dell’utente, viene avviato e installato un dropper che scarica da Internet il Ransomware vero e proprio. Una volta criptati i file, il PC viene reso inutilizzabile e viene chiesto un riscatto di 300 dollari in bitcoin. La differenza sostanziale tra Petya/NotPetya e gli altri ransomware citati, è il modus operandi, che agisce non sulla criptazione di ogni file, ma direttamente del boot loader del PC.
E questa era la mia personalissima Top Ransomware più pericolosi del web! Spero che il mio articolo vi sia piaciuto, eventualmente fatemelo sapere qui sotto nei commenti o con un bel Mi Piace sul mio Canale. Se mi aiuterete a far raggiungere a questo video raggiunge i 50 Like, farò uscire un suo seguito dove spiego nel dettaglio il funzionamento dei Ransomware e i vari sistemi di prevenzione da essi. Vi invito come sempre a seguirmi sui social se volete rimanere in contatto con me, e quindi interagendo con me tramite Instagram, o con un post sul Gruppo Facebook o la Pagina Facebook e ricordate di iscrivervi al mio Canale Telegram per ricevere la mia "Ogni Tanto Letter" settimanale con le news più interessanti del settore informatico. Se avete dubbi o consigli o se vuoi suggerirmi il tema del mio prossimo video, non esitate a farmelo sapere qui sotto nei commenti! E se vuoi supportarmi, condividi il video con i tuoi amici, io ti ringrazio, e noi, ci becchiamo alla prossima!