CryptoLocker

In questa pagina introduco brevemente il fenomeno del CryptoLocker spiegandone le cause e le modalità di funzionamento. Cercherò poi di proporre alcune possibili buone pratiche da seguire per ridurre il rischio.

Alcune note sul fenomeno

Che cos'è?

CryptoLocker è una categoria di programmi malevoli il cui compito è quello di rendere inaccessibili i files degli utenti cifrandoli.
Tramite questa operazione un file non può più essere letto, tutto il suo contenuto è stato trasformato in modo da risultare illeggibile sia all'occhio umano che ai programmi che normalmente dovrebbero aprirlo.
Una volta terminata questa operazione il virus segnala che tutti i files sono inaccessibili e che, pagando, è possibile scaricare un programma che permette di ripristinarli.

Chi produce questi virus?

Nonostante molti pensino che siano le stesse case produttrici di antivirus a produrli, la situazione è molto diversa.
Dietro a queste realtà si cela la criminalità organizzata.
Queste organizzazioni realizzano profitti enormi in modo illecito, profitti talmente grandi che recentemente sono stati eseguiti arresti di persone dedite al riciclaggio del denaro ottenuto in questo modo. Per avere un'idea dei profitti basti pensare che questi prodotti vengono messi in vendita a cifre oscillanti tra le poche centinaia di euro fino a centinaia di migliaia di euro.
Acquistare un prodotto di questo tipo permette, a fronte di un investimento, di ottenere in poco tempo ritorni economici di diversi ordini di grandezza rispetto a quanto speso. Una frazione di coloro che vengono attaccati tramite cryptolocker paga quanto richiesto, va tenuto conto, inoltre, che acquistando pacchetti di questo tipo è possibile inviare messaggi di posta infetti a milioni o decine di milioni di utenti di computers in tutto il mondo.
Molto spesso chi compie questi reati si organizza per compierli da paesi diversi da quelli colpiti in modo da rendere molto difficile essere perseguiti. Spesso chi viene colpito non denuncia l'attacco.

Chi viene colpito?

Non esiste un target specifico. Vengono colpiti più utenti possibile senza distinzione. Non è interesse dei criminali colpire specifici obiettivi (ad esempio grandi aziende, enti pubblici o banche), ma colpire il maggior numero di PC perchè sui grandi numeri (e sul fatto che le richieste di denaro non sono mai molto grandi) sono sicuri di guadagnarci. Che venga colpita un'azienda che non riesce più ad accedere ai dati, o una persona che ha le fotografie dei propri figli o nipoti sul pc, non fa nessuna differenza. Rivuoi i tuoi dati? Paga.

Come posso essere sicuro che non sarò mai colpito da questo problema?

Non puoi.
Clusit (l'associazione italiana per la sicurezza informatica) nel suo rapporto 2015 sostiene:

la vera questione per i difensori non è più “se”, ma “quando” si subirà un attacco informatico (dalle conseguenze
più o meno dannose), e quali saranno gli impatti conseguenti

Se uso un antivirus posso considerarmi al sicuro?

No.
Gli attaccanti usano minacce di vari tipi:

  • zero days exploit: queste sono delle falle nei sistemi operativi non ancora scoperte e/o chiuse dal produttore del sistema. Chi scopre una falla sconosciuta può comunicarla al produttore del software oppure rivenderla al mercato nero delle organizzazioni di cui abbiamo parlato prima. Un informazione di questo tipo può essere pagata anche centinaia di migliaia di euro. Chi viene in possesso di questa informazione può avere accesso ai pc che utilizzano quel sistema in modo indisturbato, l'antivirus non rileva nulla.
  • zero days malware: la maggior parte degli antivirus si basa su un sistema di firme. Queste sono dei piccoli files di dimensioni fisse che individuano in modo univoco il segmento di codice usato dal virus. Un cambiamento, anche minimo, nel programma, produce una firma diversa. E' facile, pertanto, produrre diversi virus partendo da un originale. Va notato, inoltre, che dal momento della scoperta di una variante all'aggiornamento delle firme passa del tempo. In questo periodo il virus è inarrestabile.

 

L'antivirus è un presidio di sicurezza fondamentale ma, come vedremo a breve, deve essere costantemente aggiornato e monitorato e non può essere considerato, da solo, sufficiente.

Cosa posso fare per ridurre il rischio?

Antivirus

Un antivirus può essere di buona qualità ma se nessuno lo controlla come facciamo ad essere sicuri che sia aggiornato e che stia proteggendo correttamente i PC? Gli antivirus che consigliamo ai nostri clienti sono dotati di un sistema che ci permette di verificarne lo stato, di essere informati di eventuali problemi in tempo reale (ad esempio pc con antivirus non aggiornato) e di intervenire tempestivamente.

Firewall

I firewall che installiamo presso i nostri clienti utilizzano un antivirus perimetrale.  Questo permette di bloccare i virus prima ancora che entrino nella rete. Inoltre il sistema permette di stabilire quali applicazioni possono accedere ad internet. In questo modo un eventuale cryptolocker non potrà contattare il proprio server per ottenere le chiavi di cifratura e portare a termine il proprio compito.

Aggiornare i sistemi

Abbiamo visto che non è possibile avere un sistema operativo esente da falle di sicurezza. Abbiamo visto che non è possibile avere un antivirus perfetto. Ma se a questi limiti intrinseci sommiamo la mancanza di aggiornamenti rendiamo il nostro sistema ancora più insicuro. Le falle chiuse dal produttore del sistema non verranno chiuse e le nuove firme dei virus non verranno aggiunte.

Backup

Nel caso peggiore che l'attacco riesca, non è ancora tutto perduto; un buon sistema di backup permette di ripristinare i files criptati permettendo di recuperarli. L'aggettivo "buon" riferito al backup significa che il salvataggio devere essere:

  • effettuato regolarmente
  • controllato (vanno controllati i messaggi prodotti dal sistema di backup per intervenire tempestivamente in caso di problemi)
  • verificato: periodicamente vanno effettuati test di ripristino per sincerarsi che i dati siano effettivamente disponibili
  • conservato al sicuro: se il dispositivo su cui sono memorizzati i dati salvati è accessibile al sistema il virus potrà accedervi e criptarli lo stesso; i supporti di copia (cassette, dischi esterni, etc) devono essere riposti in un luogo sicuro quando non sono utilizzati

Non ci limitiamo solo a fornire un "buon" sistema di backup ma anche ad attivare le modalità necessarie a tenerlo sotto controllo.

Conclusioni

Abbiamo visto cos'è CriptoLocker e come contrastarlo ma questo, ad un Imprenditore, non può bastare. Per trasformare delle buone idee in prassi aziendali è necessario un valido supporto sia dal punto di vista tecnico-informatico che strategico-organizzativo.

Nexus Sistemi è stata pensata proprio per questo.