background

Il primo ransomware

  • Auteur: Nicole Ritler
  • 08 ottobre 2017
  • Aggiornato il:
  • Temps de lecture: 7 min

Un cryptovirus?

Chiamato erroneamente cryptovirus, in realtà sono dei «cavalli di Troia». Un cavallo di Troia è un software o un file (ad esempio una fattura in formato PDF) in apparenza legittimo, ma che contiene in realtà una funzionalità malevola nascosta all'interno del file o del software.

Nel nostro caso, questa funzionalità malevola nascosta è un software di riscatto (ransomware in inglese). Il cavallo di Troia quindi si limita a veicolare discretamente il ransomware.

Come suggerisce il nome, un ransomware è un software il cui scopo è arricchire il suo ideatore (l'hacker). Per ottenere il suo guadagno, l'hacker, con l'aiuto del suo ransomware, cifra (cripta) tutti i vostri dati grazie a una crittografia RSA. La crittografia dei vostri dati renderà illeggibile la lettura di questi ultimi. Si tratta quindi di un ransomware di sottotipo crypto-locker. Si parla quindi di un cavallo di Troia, contenente un ransomware di sottotipo crypto-locker.

Funzionamento

Una volta installato nel vostro sistema operativo Windows o Android, il crypto-locker comunica con il server dell'hacker. Il server o il computer genera una coppia di chiavi composta da una «chiave privata» memorizzata sul server e da una «chiave pubblica» che viene memorizzata sul PC infetto. I vostri file vengono crittografati con la chiave pubblica. Per poter decrittografare i vostri dati, è necessario possedere la chiave privata memorizzata sul server dell'hacker. Questo è l'oggetto del riscatto.

Una volta eseguita la crittografia, viene creato un file di spiegazione in ogni directory. Questo file di informazioni contiene il più delle volte un valore che consente all'hacker di identificare il vostro computer per restituirvi la chiave privata, l'importo richiesto dall'hacker e il modo per pagare questo importo, in genere in bitcoin. Per farvi pagare rapidamente, avete solo pochi giorni per saldare la somma, pena la cancellazione della chiave privata o, ancora, l'aumento significativo dell'importo del riscatto.

Il primo crypto-locker

Il primo crypto-locker, CryptoLocker, è stato scoperto da Dell SecureWorks nel settembre 2013. Si propagava tramite una botnet già esistente, Gameover ZeuS.

Una botnet, che può essere tradotta come «rete di robot», è una rete di computer infettati da un software malevolo molto discreto. Infatti, i proprietari dei computer infetti non sono consapevoli che un software malevolo è stato installato e funziona permanentemente in background. Queste macchine infette comunicano tra loro e con i server. Gli hacker possono pilotarle per usi malevoli come la trasmissione di virus, l'invio di Spam, l'attacco di server tramite denegazione di servizio, ecc.

È quindi la rete di macchine Gameover ZeuS, stimata tra 500'000 e 1'000'000 di macchine, che è responsabile della distribuzione del primo crypto-locker.

Un hacker russo

Il russo Evgeniy Mikhailovich Bogachev è all'origine della botnet Gameover ZeuS. Sarebbe anche l'ideatore del primo cryptolocker. Grazie ai suoi software malevoli, avrebbe intascato fraudolentemente più di 100 milioni di dollari di guadagni. Quest'ultimo è attivamente ricercato dall'FBI da diversi anni. La sua taglia di 3 milioni di dollari, offerta dall'FBI in caso di cattura, la dice lunga sulla volontà di ritrovarlo.

La botnet supervisionata dal russo Bogachev, è stata definitivamente messa fuori combattimento nel maggio 2014 durante una grossa operazione di polizia internazionale, l'operazione Tovar. Questa operazione è stata possibile grazie alla collaborazione di diverse agenzie e società private in tutto il mondo. La scoperta di diversi server della rete ha permesso di trovare degli algoritmi di crittografia, il che ha permesso di creare degli strumenti di decrittografia.

La fuga di Bogachev

Secondo il New York Times, il fondatore del primo crypto-locker si trova attualmente in Russia, dove è lontano dal vivere nella clandestinità. Infatti, non nasconderebbe la sua lussuosa vita fatta di auto di lusso e yacht. Sempre secondo l'FBI, le autorità russe tollererebbero la sua presenza perché quest'ultimo lavorerebbe per i servizi di spionaggio del paese. È quindi molto probabile che il Cremlino chiuda un occhio sul passato fraudolento del loro compatriota Bogachev.

Cosa fare in caso di infezione?

Secondo i crypto-locker, sono in grado di crittografare i vostri dati sul vostro cloud, sui vostri backup esterni e sul vostro NAS. Inoltre, elimina i vostri punti di ripristino Windows in modo che non possiate ritrovare i vostri dati prima dell'infezione.

La migliore delle soluzioni consiste quindi nello spegnere il vostro computer il più rapidamente possibile non appena si rileva la crittografia. Allo scopo di poter recuperare i vostri dati non crittografati, è possibile utilizzare un LiveCD. Quest'ultimo vi permetterà di accedere a questi file senza che il software malevolo possa continuare a funzionare e quindi a crittografare il resto dei vostri dati.

Va da sé che non posso consigliarvi di pagare il riscatto. Infatti, il fatto di pagare questo riscatto non fa altro che incoraggiare altri hacker in questa direzione. Inoltre, nulla vi garantisce la ricezione di questa famosa chiave privata né che questa sia quella giusta.

Scoprite come bexxo può proteggere la vostra azienda. Non esitate a contattarci per una consulenza personalizzata oggi stesso!
Contattateci Chatta con un esperto