Torna Cryptolocker, il programma che prende in ostaggio i dati

Cryptolocker è un programma di blocco. Il suo scopo? Cifrare i dati contenuti nell’hard disk della vittima e visualizzare il messaggio con il quale viene chiesto un pagamento in cambio delle chiavi di decrittazione, sotto la minaccia di perdere i dati.

Con il termine “Malware” si indica un “MALicious softWARE”, ovvero un programma distruttivo o disturbante che si inserisce nel sistema e lo priva di alcune componenti essenziali o ne altera il normale funzionamento.

“Ransomware”, invece, individua una specifica categoria di programmi finalizzata a chiedere un riscatto (ransom) al malcapitato utente della rete che entra in contatto con un server compromesso o commette l’errore di scaricare un file già infetto, solitamente attraverso una email apparentemente proveniente da un indirizzo affidabile.

Cryptolocker – programma di blocco tramite cifratura – è il nome con il quale è stata identificata una particolare categoria di Ransomware che si caratterizza per l’esecuzione della cifratura dei dati presenti sugli hard disk delle vittime, alle quali viene richiesto un riscatto – da versare solitamente entro tre giorni – per ottenere la chiave di accesso agli archivi (affinché tornino leggibili), che altrimenti vengono distrutti.

I Bromium Labs, il 12 marzo 2015, hanno identificato una nuova variante di Cryptolocker, che hanno chiamato TeslaCrypt per distinguerla dalle versioni precedenti.

Come opera il programma di blocco. In alcune versioni di Cryptolocker, il costo della chiave di decrittazione cresce con il passare delle ore e ogni tentativo di rimozione del virus determina l’immediata distruzione delle chiavi, con conseguente perdita dei dati.

L’infezione viene diffusa attraverso siti Web compromessi, basati sul noto Content Management System chiamato WordPress.

Attraverso una clip Flash, l’utente viene reindirizzato all’Angler Exploit Kit, che verifica innanzitutto la presenza di macchine virtuali e di prodotti antivirus nel sistema, per selezionare lo schema di aggressione più adatto tra i vari disponibili.

Il programma procede, quindi, alla scansione dei file presenti nel sistema, alla ricerca delle principali estensioni di documenti, foto, filmati e, particolare di non secondaria importanza, degli archivi dei giochi più diffusi.

Sembra, infatti, che questa specifica variante del redivivo Cryptolocker sia stata studiata per superare le difese dei sistemi informatici degli utenti sfruttando le porte aperte dai canali di comunicazione utilizzati dai giocatori e dimostra un’evoluzione dei cibercriminali, sempre più orientata a nicchie di mercato ben precise.

Dopo aver eseguito la scansione, il programma inizia a cifrare gli archivi presenti in ogni disco rigido collegato al sistema, utilizzando la cifratura RSA basata su chiavi asimmetriche della lunghezza di 2048 bit, prelevate collegandosi a un server della rete TOR, sul quale torneranno disponibili dopo il pagamento del riscatto.

Nel caso di archivi sincronizzati con servizi come Drive o Dropbox, anche i file presenti sul Cloud subiscono la stessa sorte.

Terminata la cifratura, appare il messaggio che informa l’utente dei tempi e delle modalità di pagamento del riscatto (tramite Bitcoin) e di sblocco della cifratura, al fine di recuperare i dati.

Sia il sito che contiene le chiavi di decrittazione, che il conto che riceve il pagamento, sono ovviamente parte del deep Web e sfruttano l’anonimato garantito dalla rete cifrata TOR e dallo strumento di pagamento noto come Bitcoin.

Colpiti quattro ospedali di Los Angeles. Secondo Wikipedia, il primo Cryptolocker – apparso nel 2013 – ha fruttato ai suoi programmatori oltre 3 milioni di dollari di proventi prima che venisse trovato un rimedio.

La maggior parte dei Ransomware aggredisce i computer dotati di sistemi operativi Microsoft, nei quali il kernel non è separato e protetto, rispetto alle aree in cui vengono elaborati di dati delle applicazioni, e risulta quindi più vulnerabile.

Tuttavia, a luglio del 2013, è stato individuato anche un Ransomware specifico per OS X – sistema operativo di Apple – che, pur non riuscendo a compromettere i dati, impediva l’uso corretto del browser Internet.

Tra le vittime illustri dei Ransomware, si annovera il canale di notizie in diretta dell’ABC australiana – ABC news 24 – interrotto per circa mezz’ora, nell’ottobre del 2014 e spostato negli studi di Melbourne a causa dell’infezione nota come Cryptowall

È del mese di febbraio 2016 la notizia di quattro ospedali di Los Angeles paralizzati da una nuova versione di Cryptolocker, che ha impedito l’accesso alle cartelle cliniche dei pazienti per diverse ore, fino al pagamento della stratosferica somma di 40 bitcoin, circa 17.000 dollari.

Uno dei quattro ospedali non è riuscito a reperire i fondi in tempo e ha perso tutti i dati, con conseguente necessità di evacuazione e di ripetizione di tutte le analisi e anamnesi sui pazienti.

Non sono state registrate vittime, ma di certo l’operatività della struttura sanitaria è stata seriamente compromessa per alcuni giorni.

L’evento ha destato notevole allarme nella comunità statunitense, perché per la prima volta si è avuta contezza del rischio informatico a danno di strutture critiche come gli ospedali.

Le vittime preferiscono procedere al pagamento e non correre rischi. Sebbene esistano dei metodi per cercare di rimuovere la cifratura e recuperare la visibilità dei dati, le vittime preferiscono solitamente procedere al pagamento e non correre rischi.

Paradossalmente, proprio l’affidabilità dei criminali costituisce la principale motivazione che spinge le realtà colpite dal virus a eseguire il versamento delle somme richieste a titolo di riscatto.

Una sorta di “sindrome di Stoccolma” di estrazione informatica, che è perfettamente comprensibile ed è tanto più giustificata quanto più sono importanti i dati che hanno subito la cifratura.

Occorre rilevare, in ogni caso, che uno dei principali motivi di soccombenza, da parte dei soggetti colpiti dal virus, è la mancanza di una corretta politica di backup e di un piano di disaster recovery.

Secondo gli esperti, le procedure di salvataggio dei dati dovrebbero prevedere una frequenza parametrata all’importanza e alla quantità delle informazioni trattate e una rotazione dei supporti adeguata per numero e affidabilità.

In uno studio professionale o in un’azienda di piccole dimensioni, in cui non vi sia un aggiornamento quotidiano dei dati, sono ritenuti indispensabili un salvataggio a settimana e la rotazione di almeno tre supporti, al fine di garantire che anche la perdita di uno di essi non comprometta più di quindici giorni di lavoro.

Alla crescita di importanza della realtà interessata, dei dati trattati o della frequenza di aggiornamento, deve ovviamente corrispondere un incremento dei salvataggi e un maggior numero di supporti.

Di vitale importanza, inoltre, la programmazione di una procedura per la riattivazione della piena operatività aziendale, anche presso altra struttura e con altri sistemi informatici, entro un termine prestabilito, avendo a disposizione almeno un supporto di backup.

Che cosa dice il Codice per la riservatezza dei dati personali. In Italia, le procedure di backup e disaster recovery sono espressamente previste dal Codice per la riservatezza dei dati personali, D.Lgs. 196/2003, e incluse tra le misure di sicurezza che ogni titolare del trattamento deve rispettare per non incorrere nelle pesanti sanzioni civili e penali previste dalla norma.

A ciò si aggiunga che, dal punto di vista civilistico e risarcitorio, il trattamento dei dati personali è considerato attività pericolosa ex art. 2050 cc (art. 15, D.Lgs. 196/2003), con conseguente inversione dell’onere della prova a carico del titolare, che dovrà dimostrare di aver adottato tutte le misure idonee a evitare che il danno si verificasse.

Dal punto di vista della tutela del bene giuridico, consistente nell’affidabilità dei sistemi di trattamento dei dati e, indirettamente, dell’economia e dell’ordine pubblico, i reati ipotizzabili a carico dei soggetti che hanno realizzato e divulgano programmi come Cryptolocker sono quelli di diffusione di programmi destinati a danneggiare dati e informazioni (art. 615 quinquies cp), di danneggiamento di dati e informazioni (art. 635) e di estorsione (art. 629 cp), oltre a ogni altro reato ravvisabile nelle specifiche condotte, variabili in base alle modalità concrete di aggressione (nel caso di un ospedale, ad esempio, si potrebbe ravvisare anche l’ipotesi di danneggiamento di dati e informazioni di pubblica utilità, di cui all’art. 635 bis cp).

Una pena da cinque a dieci anni di reclusione. Il reato di cui all’art. 615 quinquies cp si concretizza con la sola diffusione o messa a disposizione del virus, senza dover attendere la manifestazione del danno ai sistemi informatici o ai dati e programmi in essi contenuti.

È, quindi, sufficiente che il Ransomware sia stato inviato a una persona, o che anche un solo utente abbia raggiunto il server dal quale viene distribuito, per ritenere perpetrato il reato, che prevede fino a due anni di reclusione.

L’estorsione si considera consumata (ma anche il tentativo è punibile) nel momento in cui il programma ha raggiunto il suo scopo primario, che è quello di cifrare i dati contenuti nell’hard disk e visualizzare il messaggio con il quale viene chiesto il pagamento in cambio delle chiavi di decrittazione, sotto la minaccia di perdere i dati.

Il reato è considerato particolarmente esecrabile dall’ordinamento e comporta l’applicazione di una pena da cinque a dieci anni di reclusione.

Altrettanto prevedibile l’applicazione della sanzione di cui all’art. 635 del codice penale (da sei mesi a tre anni di reclusione), nell’ipotesi di tentativo o di consumazione del reato di danneggiamento di dati e informazioni presenti su un sistema informatico, consistente, nello specifico, nel rendere inservibili temporaneamente o definitivamente i dati sottoposti a cifratura dal Ransomware.

Anche l’amministratore di sistema e il titolare del trattamento dei dati sottoposti a cifratura, tuttavia, non possono dormire sonni tranquilli nell’ipotesi in cui non abbiano curato adeguatamente le misure di sicurezza dei sistemi informatici e dell’organizzazione che ha subito l’attacco informatico.

Ove dovesse rilevarsi, a seguito del danno subito dall’azienda e dai clienti della stessa, una mancata o inadeguata formazione del personale dipendente (il Ransomware, di solito, viene scaricato e attivato accidentalmente, in seguito all’utilizzo di un link contenuto in una email), ovvero una mancata o inadeguata adozione di misure di sicurezza, si applicherebbero, le sanzioni civili e penali previste dal D.Lgs. 196/2003, che prevedono fino a due anni di arresto e fino a 120.000 euro di sanzione amministrativa, a seconda delle responsabilità accertate.

Fonte: Sicurezza magazine

FBI-CSI: rapporto sicurezza 2002

Il 7 aprile 2002, il Computer Security Institute di S. Francisco ha annunciato i risultati del settimo rilevamento annuale di dati sulla criminalità informatica.
Come ogni anno, l’Istituto, in collaborazione con la Computer Intrusion Squad del FBI, ha inviato circa 3000 questionari anonimi ad altrettante aziende, al fine di monitorare la situazione dei crimini informatici e della sicurezza dei sistemi.
Lo studio è basato sulle risposte di 503 affiliati, prevalentemente istituzioni pubbliche, università ed aziende, e conferma la tendenza degli anni precedenti alla classificazione dei reati informatici come condotte delittuose di natura essenzialmente economica.
Il 90% delle aziende consultate riferisce di aver rilevato problemi di sicurezza negli ultimi dodici mesi e di aver subito, per tali motivi, perdite finanziarie stimabili in circa 500 milioni di dollari.
Tra i problemi più rilevanti la sottrazione di informazioni riservate e le frodi finanziarie, tipologie di reati che confermano le finalità essenzialmente economiche della criminalità informatica. Circostanza, questa, che contrasta in modo evidente con le notizie spesso diffuse dai mass-media tradizionali, secondo i quali i problemi più rilevanti per aziende ed istituzioni deriverebbero dall’attività degli hackers.
In realtà, il rilevamento eseguito dal Computer Security Institute rende palese come il fenomeno della criminalità informatica sia più correttamente riconducibile alla tipologia del white collar crime (crimine dal colletto bianco), in cui soggetti dotati di capacità informatiche comuni (al contrario degli hackers) utilizzano le proprie conoscenze o la propria posizione in azienda per porre in essere condotte delittuose dalle quali trarre un ingiusto profitto con altrui danno.
In sostanza, al vecchio impiegato che in passato fuggiva con la cassa dell’azienda si è oggi sostituito un colletto bianco che cede informazioni riservate ad aziende concorrenti o sottrae fondi alla propria azienda grazie a trasferimenti telematici.
Non è da sottovalutare neppure l’attività della criminalità organizzata, che, potendo contare su risorse tecnologiche e finanziarie di notevole entità, non ha difficoltà a procedere al reclutamento di informatici di alto livello che possano utilizzare le intrinseche debolezze di molti sistemi operativi e programmi applicativi per perpetrare reati di varia natura (spionaggio industriale, danneggiamento dei sistemi informatici di aziende concorrenti, sottrazione di informazioni riservate, ecc.), senza necessariamente dover ricorrere al dipendente corrotto che agevoli tali condotte dall’interno.
In tal senso è interessante rilevare che, per il quinto anno consecutivo, il sondaggio del CSI ha permesso di constatare che molte aziende (circa il 75%) citano la connessione ad Internet come fonte di problemi di varia natura.
La maggior parte dei problemi riguarda tentativi di intrusione e attacchi del tipo denial of service (assalti finalizzati a rendere temporaneamente inutilizzabile il sistema) ma, ancora una volta, viene riscontrato un elevato abuso di risorse tecnologiche aziendali da parte dei dipendenti e l’inosservanza delle misure di sicurezza poste a protezione dei sistemi.
Il 78% delle aziende consultate, lamenta infatti l’uso di Internet, da parte dei propri impiegati, per il download di materiale pornografico o di software illegale, e l’uso della mailbox aziendale per fini personali.
A ciò si aggiungono i problemi derivanti dalla scarsa attenzione prestata alle policy aziendali in materia di sicurezza informatica e riservatezza dei dati e dall’installazione di programmi non autorizzati dall’amministratore di sistema, che spesso si rivelano i principali mezzi di propagazione dei virus informatici.
Anche la situazione dei siti web, per le aziende che esercitano il commercio elettronico non è rosea. Spesso, infatti, viene rilevato l’accesso non autorizzato alle risorse disponibili o un cattivo uso delle stesse da parte degli utenti accreditati.
Molti gli attacchi subiti dai siti durante l’anno appena trascorso: il 25% delle aziende ha riscontrato da uno a cinque aggressioni, mentre il 39% dichiara di aver subito oltre dieci assalti.
In crescita i danneggiamenti (70% contro il 60% del 2000) e le frodi finanziarie (6% contro il 3% del 2000), mentre sono sorprendentemente in diminuzione gli attacchi di tipo denial of service (55% contro il 60% del 2000).
Dall’esame del rilevamento, nel suo complesso, e dalle note ad esso allegate, redatte dal Direttore del Computer Security Institute, Patrice Rapalus, e dall’Agente Speciale Bruce Gebhardt, che ha il compito di formare gli specialisti del FBI che si occupano di criminalità informatica, si trae, sostanzialmente, la conclusione che l’adozione di risorse tecnologiche, per quanto evolute e complesse, non è sufficiente a garantire un livello di sicurezza accettabile.
E’ necessaria una costante opera di formazione e controllo del personale, ed è auspicabile una concreta collaborazione tra le istituzioni e le aziende, per l’individuazione delle aree e delle attività maggiormente a rischio, in cui incrementare l’attività di monitoraggio e repressione della criminalità informatica da parte delle forze dell’ordine.
Del resto, con il passare degli anni, i paesi civilizzati, Stati Uniti in testa, hanno incrementato esponenzialmente la dipendenza dalle tecnologie informatiche, anche in settori nevralgici e strategici.
Da ciò è derivata, ovviamente, una maggiore sicurezza rispetto agli attacchi portati a termine dalla criminalità tradizionale, ma, inevitabilmente, anche una maggiore sensibilità ai problemi derivanti dall’uso non corretto o deliberatamente criminoso delle nuove tecnologie.

Fonte: Italia Oggi

Allarme CERT 2001

Il CERT Statunitense avverte che negli ultimi mesi gli attacchi provenienti da Internet in danno di Istituzioni ed aziende sono praticamente raddoppiati rispetto allo stesso periodo dell’anno 2000 ed invita a curare maggiormente il problema sicurezza informatica.

Nei giorni scorsi il Computer Emergency Reponse Team della Carnegie Mellon University (www.cert.org) ha pubblicato il rapporto sicurezza relativo all’anno 2001, fermo, ovviamente al terzo trimestre, dal quale sono emersi dati sconcertanti per la sicurezza dei sistemi informatici collegati ad Internet, che lasciano presumere un anno 2002 davvero difficile per istituzioni ed aziende.
In particolare, il confronto con i dati degli anni precedenti evidenzia la crescita esponenziale degli attacchi portati a termine contro sistemi informatici pubblici e privati; cifre che, se nel 1990 ammontavano a circa 252 casi per l’intero anno, sono cresciute fino a raggiungere i circa 10.000 eventi del 1999, gli oltre 21.000 del 2000 e i circa 35.000 del corrente anno (in cui, è bene ribadirlo, la rilevazione è aggiornata al 30 settembre).
Una crescita preoccupante, quindi, in parte certamente condizionata dall’ingresso su Internet di migliaia di aziende ed istituzioni in tutto il mondo, insieme a milioni di nuovi utenti (tra i quali, ovviamente, anche nuovi criminali informatici), che tuttavia deve far riflettere i titolari e i responsabili di sistemi informatici collegati alla Rete sull’opportunità di curare adeguatamente la sicurezza informatica.
Spesso, infatti, come è emerso anche dai dati pubblicati nel mese di marzo 2001 dal Computer Security Institute di S. Francisco (www.gocsi.gov), gli attacchi e i problemi ad essi connessi sono agevolati dal comportamento irresponsabile e negligente degli stessi utilizzatori dei sistemi aggrediti, che curano superficialmente gli aggiornamenti dei sistemi operativi e dei software antivirus e che spesso non hanno neppure idea di come debba essere condotta l’attività di penetration testing destinata ad individuare eventuali debolezze del sistema al fine di procedere con l’adozione delle necessarie contromisure.
Appare inutile evidenziare che, per quanto testato approfonditamente, un sistema informatico sicuro e impenetrabile non esisterà mai (salvo tenerlo spento), ma di certo un’adeguata analisi dei rischi, abbinata ad un costante monitoraggio e ad un periodico aggiornamento possono consentire di dormire sonni relativamente tranquilli.
In Italia l’esigenza è ulteriormente avvertita a causa della responsabilità penale connessa alla mancata adozione delle misure di sicurezza minime previste dalla Legge 31.12.1996, n. 675, e dal relativo regolamento, D.P.R. 28 luglio 1999, n. 318, qualora il sistema contenga database di dati personali.
Altrettanto importante sembra essere la formazione del personale dipendente, e non solo di quello addetto al settore informatico. Spesso, infatti, secondo quanto emerge dalle rilevazioni dei due importanti istituti statunitensi, sono i comportamenti più banali a mettere a repentaglio la sicurezza della rete aziendale e del server che ospita le pagine web. Ad esempio, l’utilizzo di modem personali, che aprono porte di accesso alla rete aziendale che l’amministratore di sistema non può aver previsto né protetto in modo adeguato, o l’utilizzo di programmi scaricati da siti non affidabili, che potrebbero contenere backdoor o virus troiani.
Situazioni che si verificano spesso all’interno di aziende anche grandi, per la cronica mancanza di un’adeguata formazione e della più elementare regolamentazione dell’uso delle risorse tecnologiche, e che favoriscono, in modo spesso determinante, gli attacchi e le intrusioni, con le relative conseguenze.
E’ opportuno sottolineare che le statistiche del Cert non fanno distinzione tra gli attacchi tentati e quelli andati a buon fine, per cui l’incremento degli assalti potrebbe non corrispondere ad un proporzionale aumento delle intrusioni.
Non è il caso, ad ogni modo, di abbassare la guardia ed è anzi opportuno prestare a questa particolare materia sempre maggiore attenzione.

Fonte: Italia Oggi