Nelle ultime settimane si sono registrate nuove ondate di attacchi attraverso invio di mail contenenti il virus Cryptolocker, che imperversa ormai da un pò di tempo sul web. Il preoccupante fenomeno corre sulla rete sotto forma di e-mail che, una volta aperta, scatena un virus in grado di crittografare al malcapitato tutti i dati riguardanti fornitori, bilanci o altro rendendo di fatto irrecuperabili le informazioni aziendali e personali.
Funziona così: ti arriva una mail, apri il documento allegato, passa qualche ora e sul computer ti appare una scritta a tutto schermo: "Se stai leggendo questo messaggio, significa che tutti i tuoi file sono stati bloccati. Per riaverli devi pagare"
La soluzione prospettata dal messaggio per risolvere il problema è quella di pagare un "riscatto" (di solito di svariate centinaia di euro) con un particolare sistema di pagamento di moneta virtuale denominato "bitcoin".
Questo tipo di minaccia è chiamata "ransomware". Si tratta di virus che criptano i dati di un computer e chiedono un riscatto per renderli nuovamente leggibili dall'utente. Non sfruttano falle informatiche ma l'ingenuità o - più frequentemente - la distrazione degli utenti.
E' importante non cedere al ricatto, anche perchè non è certo che dopo il pagamento vengano restituiti i file criptati, ma attuare delle misure informatiche per contrastare questa nuova importante minaccia.
Tenere sempre aggiornato il software del proprio computer, munirsi di un buon antivirus, fare sempre un backup, ovvero una copia dei propri file, ma soprattutto fare attenzione alle mail che ci arrivano, specialmente se non attese, evitando di cliccare sui link o di aprire gli allegati, sono i consigli più importanti da seguire per impedire l'infezione del Cryptolocker.
Anche i computer Apple vengono colpiti da questa minaccia. Molti credono erroneamente che i prodotti Apple siano immuni da attacchi hacker, virus e malware in genere. KeRanger è il primo ransomware che ha iniziato a colpire i computer di casa Apple con Mac OS X.
Il sistema di diffusione usato è però diverso dal famoso Cryptolocker che sta letteralmente martoriando l'ambiente Windows. KeRanger ha iniziato a diffondersi come trojan nascosto all'interno dell'installer della versione 2.90 di Transmission BitTorrent Client, un client BitTorrent (programma peer to peer usato per scaricare film, musica ed altro) open source.
Il sito ufficiale di Transmission è stato compromesso per diffondere il ransomware. Apple ha provveduto a ritirare il certificato digitale che permetteva l'installazione del malware, mentre la versione 2.91 del programma non contiene il file infetto. Non è chiaro come sia avvenuto il contagio, ma la cosa più probabile è che i cybercriminali abbiano preparato accuratamente l'operazione trovando un modo per bucare il sito ufficiale dell'applicazione e studiando come incorporare il codice del ransomware nell'installer del programma.
Questo ha creato la prima vera infezione di ransomware su Mac OS X. Il ransomware, dopo esser stato installato, attende qualche giorno prima di attivarsi, il suo funzionamento è molto simile a Cryptolocker: una volta installato, va a caccia di file da criptare e dopo un pò visualizza un avviso con le istruzioni su come pagare il "riscatto" per ottenere la chiave di decodifica. Nel caso il Mac risulti infetto l'unico sistema per risolvere il problema è quello di ripristinare un backup precedente l'infezione.
APT Blocker
Le aziende che si affidano soltanto a software antivirus non possono più considerarsi protette. Quel che rende le minacce odierne così pericolose è la possibilità di trasformarsi in un codice che può insinuarsi in prodotti basati su certificati qualificati alla ricerca di un modello di malware riconoscibile. WatchGuard, azienda leader nella gestione di apparati per la sicurezza, ha realizzato per i propri firewall APT Blocker, che si basa sull'analisi comportamentale per determinare se un file è maligno.
APT Blocker identifica ed inoltra i file sospetti a un sandbox di ultima generazione su cloud, un ambiente virtuale in cui il codice viene analizzato, emulato e infine eseguito per determinarne il potenziale di minaccia. Minacce avanzate, tra cui quell persistenti APT (Advanced Persistent Threats) sono progettate per riconoscere i metodi di rilevamento e rimanere nascoste.
L'emulazione dell'intero sistema di APT Blocker - che simula l'hardware fisico, incluse CPU e memoria - fornisce il massimo livello di visibilità del comportamento dei malware, ed è inoltre estremamente difficile da rilevare per i malware avanzati. APT Blocker non solo fornisce un nuovo livello di protezione contro il malware avanzato, ma lo fa in modo semplice ed intuitivo.
Autore
Nazzareno Manzo
Innovation Manager – Security Specialist
Socio fondatore della SNAP, ho condiviso gran parte degli studi e delle prime ...