La saga dei ransomware

I ransomware, che una volta bloccavano i computer mostrando schermate quasi carine, si sono evoluti nel tempo. Vediamo come.

Se vi interessa la sicurezza informatica, probabilmente avete sentito molto parlare dei ransomware negli ultimi anni; potreste anche aver avuto la sfortuna di essere stati vittime di un attacco. Forse non è esagerato descrivere il ransomware come la tipologia di malware più pericolosa dei nostri tempi.

Ma sapevate che questi programmi dannosi esistono da più di 30 anni e che i ricercatori avevano previsto molte caratteristiche degli attacchi moderni già a metà degli anni ’90? Volete sapere perché i cryptor hanno sostituito i blocker, qual è stato il più grande riscatto della storia e cosa ha a che fare l’AIDS con tutto questo?

Allora continuate a leggere, perché in questo post analizzeremo del ransomware e risponderemo a queste e a molte altre domande. Vediamo insieme come si sono fatti strada blocker, cryptor, wiper e altre minacce ransomware negli ultimi decenni.

Dizionario del ransomware

I seguenti termini compariranno di frequente in questo post.

Crittografia: scienza che impedisce a estranei di leggere informazioni riservate. La cifratura è un aspetto della crittografia.

Cifratura simmetrica: metodo di cifratura dei dati in cui una chiave è usata sia per cifrare che per decifrare le informazioni.

Cifratura asimmetrica: metodo di cifratura dei dati che comporta l’uso di due chiavi: una pubblica per cifrare le informazioni, e una privata per decifrarle. Conoscere la chiave pubblica non aiuta la decifrazione, che richiede la chiave privata.

RSA: algoritmo di cifratura asimmetrica ampiamente usato.

Ransomware: qualsiasi programma dannoso che costringe la vittima a pagare un riscatto ai cybercriminali. La categoria ransomware include blocker, cryptor e wiper che sembrano cryptor.

Blocker: tipo di ransomware che blocca o simula il blocco di un computer o dispositivo mobile. Tale malware mostra tipicamente un messaggio persistente con una richiesta di pagamento in cima a tutte le altre finestre.

Cryptomalware (cryptor): tipo di ransomware che cifra i file dell’utente in modo che non possano essere utilizzati.

Wiper: tipo di malware progettato per cancellare i dati sul dispositivo della vittima. A volte il ransomware che simula un cryptor in realtà si rivela essere un wiper, danneggiando i file in modo irreparabile; in questo modo, anche se il riscatto viene pagato, è comunque impossibile recuperare i dati.

1989: il primo attacco ransomware

È stato il Dr. Joseph L. Popp, ricercatore biologico, a creare il primo cryptor conosciuto. Popp ha approfittato del diffuso interesse per l’AIDS e da qui il suo malware è noto come AIDS Trojan.

A quei tempi, Internet era ancora nella sua giovinezza, così Popp ha impiegato un metodo di diffusione molto originale (per gli standard moderni). Dopo aver ottenuto le mailing list dei partecipanti alla conferenza dell’OMS sull’AIDS e degli abbonati alla rivista PC Business World, Popp ha inviato alle vittime un floppy disk con l’adesivo”AIDS Information Introductory Diskette”, insieme a istruzioni dettagliate per installare il programma. Il contratto di licenza affermava che, installando il programma, l’utente accettava di pagare alla compagnia 378 dollari. Ma chi prenderebbe sul serio una cosa del genere?

In effetti, il programma di installazione serviva a far approdare il malware sul disco rigido. Dopo un certo numero di avvii del sistema, si attivava il Trojan AIDS, che cifrava i nomi dei file (comprese le estensioni) sull’unità C: del computer infetto. I nomi si trasformavano in un’accozzaglia di caratteri casuali, rendendo impossibile lavorare normalmente con i file. Ad esempio, per aprire o eseguire un file, era necessario prima capire quale estensione avrebbe dovuto avere e cambiarla manualmente.

Allo stesso tempo, il malware  faceva comparire un messaggio sullo schermo, secondo il quale la prova del software era finita e l’utente doveva pagare una quota di abbonamento: 189 dollari per un anno o 378 dollari per l’accesso a vita. Il denaro doveva essere trasferito su un conto a Panama.

Il malware utilizzava la cifratura simmetrica, quindi la chiave per recuperare i file era contenuta proprio nel codice. Pertanto, il problema era relativamente facile da risolvere: bisognava recuperare la chiave, eliminare il malware e usare la chiave per recuperare i nomi dei file. Nel gennaio 1990, il consigliere editoriale del Virus Bulletin Jim Bates ha creato i programmi AIDSOUT e CLEARAID per questo scopo.

Joseph Popp è stato arrestato, ma la corte lo ha considerato mentalmente incapace a sostenere un processo. Tuttavia, un decennio dopo ha pubblicato il libro Popular Evolution: Life-Lessons from Anthropology .

1995–2004: Young, Yung e il ransomware del futuro

Forse perché il Trojan AIDS non è riuscito ad arricchire il suo creatore, l’idea di cifrare i dati a scopo di ricatto non ha generato molto entusiasmo tra i truffatori dell’epoca. L’interesse è riemerso solo nel 1995, e nella comunità scientifica.

I cifratori Adam L. Young e Moti Yung hanno cercato di capire come sarebbe stato il più potente virus informatico. Sono arrivati al concetto di ransomware che utilizza la cifratura asimmetrica.

Invece di utilizzare una chiave, che avrebbe dovuto essere aggiunta al codice del programma, per cifrare i file il loro modello ne utilizzava due, una pubblica e una privata, che manteneva segreta la chiave di decifrazione. Inoltre, Young e Yung ipotizzavano che la vittima avrebbe dovuto pagare con denaro elettronico, che non esisteva ancora.

I profeti della cybersecurity hanno presentato le loro previsioni alla conferenza IEEE Security and Privacy nel 1996, ma non sono stati ben accolti. Poi, il 2004 ha visto la pubblicazione di Malicious Cryptography: Exposing Cryptovirology, in cui Young e Yung hanno sistematizzato i risultati della loro ricerca.

2007–2010: gli anni d’oro dei blocker

Mentre i cryptomalware aspettavano il loro momento, il mondo ha visto l’ascesa di un altro tipo di ransomware: i blocker. Questo tipo di malware piuttosto primitivo interferiva con il normale funzionamento del sistema operativo, aggiungendosi alla routine di avvio di Windows. Inoltre, per impedire la cancellazione, molti tipi bloccavano il registro di sistema e il gestore attività.

Questo tipo di malware impiegava diversi modi per impedire alle vittime di utilizzare il proprio computer, da una finestra che non si chiudeva a un cambiamento dello sfondo del desktop. Un metodo di pagamento avveniva tramite messaggi a un numero premium.

La neutralizzazione dei ransomware blocker di solito non richiedeva un programma antivirus, quanto piuttosto un bel po’ di know-how da parte dell’utente. Per rimuovere il malware manualmente era necessario, per esempio, avviare il sistema da un Live o un CD di ripristino, riavviare in modalità provvisoria o accedere a Windows con un profilo diverso.

Tuttavia, la facilità di scrivere tali Trojan compensava il rischio relativamente basso. Praticamente chiunque poteva distribuirli, esistevano persino dei generatori automatici.

A volte, il malware aggiungeva un banner pornografico sul desktop,  sostenendo che la vittima avesse usufruito di contenuti proibiti (una tattica usata ancora oggi). Poiché la richiesta di riscatto era gestibile, molti preferivano non cercare aiuto ma semplicemente pagare.

2010: cryptomalware con cifratura asimmetrica

Nel 2011, gli sviluppatori di cryptomalware hanno aumentato considerevolmente i loro sforzi e, come Yung e Young avevano previsto, hanno iniziato ad utilizzare la cifratura asimmetrica. Una modifica del cryptor GpCode, per esempio, era basata sull’algoritmo RSA.

2013: il ransomware ibrido CryptoLocker

La fine del 2013 ha visto la comparsa del ransomware ibrido, che combina un blocker con un cryptomalware. Una novità che ha aumentato le possibilità dei criminali informatici di ricevere il pagamento, perché la rimozione del malware (e quindi la rimozione del blocco), non porta le vittime a riottenere l’accesso ai propri file. Forse il più noto di questi ibridi è CryptoLocker, malware distribuito grazie a e-mail di spam  e per il pagamento dei riscatto i criminali informatici accettavano i Bitcoin.

2015: i cryptor sostituiscono i blocker

Nel 2015, Kaspersky ha osservato una valanga di tentativi di infezione da parte di cryptomalware: il numero di attacchi cresce con un fattore di 5,5. I cryptor hanno iniziato a surclassare i blocker.

I cryptor hanno prevalso per diversi motivi. In primo luogo, i dati degli utenti sono significativamente più preziosi dei file di sistema e delle applicazioni, che possono sempre essere reinstallati. Con la cifratura, i criminali informatici potevano chiedere riscatti significativamente più alti, e avevano una maggiore possibilità di essere pagati.

In secondo luogo, dal 2015, le criptovalute sono ampiamente utilizzate per trasferimenti di denaro anonimi, quindi i cybercriminali non hanno più paura di essere rintracciati. Bitcoin e altre criptovalute hanno reso possibile ricevere grandi riscatti senza dare nell’occhio.

2016: ransomware in massa

Il ransomware ha continuato ad avere sempre più protagonismo nel mondo della cybersecurity: il 2016 ha visto un aumento di undici volte del numero di modifiche ransomware  e un riscatto medio che andava da 0,5 a centinaia di bitcoin (che valevano una frazione del prezzo odierno). L’obiettivo principale degli attacchi si è spostato dall’utente individuale al settore aziendale, spingendo giustamente a parlare della nascita di una nuova industria criminale.

I criminali informatici non dovevano più sviluppare il malware da soli; potevano semplicemente comprarlo già pronto. Per esempio, è stata messa in vendita una “licenza a vita” per il ransomware Stampado; il malware minacciava di cancellare file casuali dopo un certo periodo di tempo per spaventare le vittime a pagare il riscatto.

I ransomware sono diventati disponibili anche seguendo il modello RaaS (Ransomware-as-a-Service), un termine che è emerso con la comparsa di Encryptor RaaS. Il modello ha aiutato i ransomware a diffondersi ancora di più.

Gli estorsori hanno iniziato a prendere di mira le organizzazioni governative e municipali, oltre alle imprese e agli utenti domestici. L’HDDCryptor, che ha infettato più di 2.000 computer della San Francisco Municipal Transportation Agency, ne è solo un esempio. I criminali informatici hanno chiesto 100 BTC (ai tempi circa 70 mila dollari) per ripristinare i sistemi, ma il dipartimento IT dell’agenzia è riuscito a risolvere il problema da solo.

2016–2017: Petya, NotPetya e WannaCry

Nell’aprile del 2016 ha iniziato a farsi notare un nuovo malware chiamato Petya. Mentre i precedenti cryptor avevano lasciato intatti i sistemi operativi per consentire alle vittime di pagare il riscatto, Petya bloccava completamente i dispositivi infetti, prendendo a preso di mira il MFT (Master File Table), database che memorizza l’intera struttura di file e cartelle sul disco rigido.

Per quanto distruttivo, il meccanismo di penetrazione e distribuzione di Petya è stato approssimativo. Per attivarlo, la vittima doveva scaricare e avviare manualmente un file eseguibile, il che rendeva l’infezione meno probabile. In effetti, non avrebbe potuto lasciare il segno se non fosse stato per un altro ransomware degno del suo nome funesto: WannaCry.

Nel maggio 2017, WannaCry ha infettato più di 500 mila dispositivi in tutto il mondo, causando 4 miliardi di dollari di danni. Come ha fatto? Incorporando l’exploit EternalBlue, che ha sfruttato alcune vulnerabilità molto pericolose presenti in Windows. Il Trojan si è infiltrato nelle reti e ha installato WannaCry sui computer delle vittime. Il malware ha poi continuato, diffondendosi ad altri dispositivi sulla rete locale. All’interno dei sistemi infetti, WannaCry si è comportato normalmente, cifrando i file e richiedendo un riscatto.

Nemmeno due mesi dopo l’epidemia di WannaCry è apparso un altro cryptor, anch’esso modificato per EternalBlue: NotPetya, noto anche come ExPetr. NotPetya divorava i dischi rigidi per intero.

Inoltre, NotPetya cifrava il file table in modo tale da impedire la decifrazione anche dopo il pagamento del riscatto. Di conseguenza, gli esperti hanno concluso che si trattava in realtà di un wiper travestito da cryptor. Il danno totale di NotPetya ha superato i 10 miliardi di dollari.

L’attacco WannaCry è stato così devastante che Microsoft ha rilasciato una patch urgente per i sistemi operativi per i quali non offriva più assistenza. Gli aggiornamenti per i sistemi supportati erano stati disponibili molto prima di entrambe le epidemie, ma non tutti li avevano installati, permettendo a questi due programmi ransomware di far sentire la loro presenza per molto tempo a venire.

2017: un milione di dollari di riscatto

Oltre ai danni senza precedenti, un altro record è stato stabilito nel 2017, per il più grande riscatto conosciuto pagato da una sola azienda. Ilweb host sudcoreano Nayana ha accettato di pagare 1 milione di dollari (negoziato al ribasso di 4,5 volte tanto) per sbloccare i computer infettati dal cryptor Erebus.

Ciò che ha sorpreso maggiormente la comunità di esperti è che la società annunciasse pubblicamente il pagamento. La maggior parte delle vittime preferisce non pubblicizzare queste cose.

2018–2019: una minaccia per la società

Gli ultimi anni sono degni di nota per i massicci attacchi ransomware ai servizi e alle installazioni pubblici. I trasporti, i servizi idrici, energetici e le istituzioni sanitarie sono entrate sempre più nel mirino. I criminali informatici hanno contato sul fatto che pagassero anche loro; anche con richieste di riscatto molto grandi, rimanere al buio avrebbe significato lasciare migliaia o milioni di persone nel più completo abbandono.

Nel 2018, per esempio, un attacco cryptomalware all’aeroporto di Bristol (Regno Unito) ha interrotto la possibilità di visualizzare i voli sugli schermi per due giorni interi. Il personale ha fatto ricorso all’uso di lavagnette e, bisogna dare a Cesare quel che è di Cesare, la risposta all’attacco da parte dell’aeroporto è stata rapida ed efficace. Per quanto ne sappiamo, nessun volo è stato cancellato e non è stato pagato alcun riscatto.

Ad Hancock Health, una clinica statunitense, è andata meno bene: ha deciso di pagare 4 BTC (ai tempi 55 mila dollari) dopo che il ransomware SamSam aveva colpito i suoi sistemi. Per spiegare la decisione di aver pagato il riscatto, l’amministratore delegato Steve Long ha citato una tempesta di neve in arrivo, insieme a una delle peggiori stagioni influenzali di cui si avesse memoria. La clinica semplicemente non ha avuto il tempo di ripristinare autonomamente i propri computer.

In tutto, più di 170 agenzie municipali negli Stati Uniti sono cadute vittime di ransomware nel 2019, con richieste di riscatto che hanno raggiunto i 5 milioni di dollari. L’aggiornamento dei sistemi operativi in tali organizzazioni può essere difficile, quindi i criminali informatici hanno spesso utilizzato vecchi exploit, sicuramente più accessibili.

2020: estorsioni in aumento e fughe di dati

Oltre all’aumento della portata delle infezioni, così come le conseguenze e gli importi dei riscatti, il 2020 va ricordato per un nuovo approccio ibrido: il ransomware, prima di cifrare i dati, li invia ai cybercriminali. Seguono le minacce di far trapelare queste informazioni alla concorrenza o di pubblicarle. Data la grande importanza che si dà ai dati personali di questi tempoi una mossa del genere potrebbe essere fatale per un’azienda. La tattica è stata sfruttata per la prima volta dal gruppo Maze nel 2019, ma nel 2020 è diventata una vera e propria tendenza.

La catena di cliniche per la chirurgia estetica Transform Hospital Group è stata vittima di uno degli incidenti di più alto profilo del 2020. Il gruppo di hacker REvil ha cifrato e rubato 900GB di dati di Transform, comprese le fotografie pre e post operazione dei pazienti, che i cybercriminali hanno minacciato di pubblicare.

Inoltre, nel 2020 gli operatori dei cryptomalware hanno adottato una serie di nuove tattiche. Ad esempio, il gruppo REvil ha iniziato a mettere all’asta le informazioni rubate. I criminali informatici si sono anche uniti in cartelli: il primo è stato il gruppo Maze, che ha iniziato a pubblicare informazioni rubate dal cryptor LockBit. Secondo i criminali informatici, ora stanno lavorando a stretto contatto con LockBit, offrendo la loro piattaforma per la fuga di dati e condividendo le loro conoscenze.

Si sono anche vantati che un altro notevole gruppo si unirà presto al cartello: RagnarLocker, un pioniere nell’organizzazione di attacchi DDoS alle risorse delle vittime, come ulteriore leva di pressione sulle aziende da estorcere.

Conclusione

In un arco di tre decenni, il ransomware si è evoluto da un giocattolo relativamente innocuo a una seria minaccia per gli utenti di tutte le piattaforme, e soprattutto per le aziende. Per difendersi dagli attacchi, assicuratevi di osservare alcune regole di sicurezza e, se in qualche modo un attacco va a buon fine, è importante chiedere aiuto agli esperti e non eseguire semplicemente gli ordini dei criminali informatici.

Consigli