Cari lettori di Tecnogalaxy, oggi parleremo di attacchi informatici, nello specifico Ransomware, argomento molto di attualità in questo periodo, basta vedere le statistiche sui tipi e sulla mole di attacchi che vengono sferrati ogni giorno.

In generale i target presi di mira da questi professionisti del crimine informatico sono sempre gli stessi, aziende, pubbliche amministrazioni etc…. attacchi quasi sempre sferrati su commissione.

Ma come avviene un attacco informatico?

Generalmente un attacco informatico viene eseguito da più persone, (sono organizzazioni vere e proprie, strutturate per fare questi tipi di attacchi), potremmo definirli professionisti del crimine informatico.

Ovviamente la difficoltà dell’attacco dipende sempre da quanto è protetto l’obbiettivo, in generale se parliamo di pubblica amministrazione non pensiamo di avere sempre dei professionisti a difendere le barriere, basta vedere alcuni attacchi successi in passato a portali importanti dove la falla era una variabile non gestita nel modo corretto……e non vado oltre.

Ritorniamo alla nostra analisi su come avviene un attacco informatico, come dicevo prima, ci sono più persone che partecipano all’attacco, c’è la persona dedicata a cercare il target, la persona dedicata a cercare il punto di entrata e la persona che esegue manualmente l’attacco quasi sempre rilasciando il Ransomware.

Cos’è un Ransomware?

Un ransomware è un tipo di malware che limita l’accesso al dispositivo che viene infettato, per poi richiedere un riscatto da pagare per rimuovere la limitazione (limitazione che nella maggior parte dei casi anche dopo aver pagato il riscatto non viene rilasciata).

Il ransomware quando viene avviato cripta i file importanti sui sistemi di archiviazione locale e sui dischi di rete, di solito parte dai file che iniziano con la lettera Z per poi risalire la scala ed arrivare alla lettera A.

Prima di fare tutta questa procedura, di solito effettua la copia dei dati che nella maggior parte dei casi anche se viene pagato il riscatto per avere la chiave di decriptazione vengono venduti sul dark web.

Di solito i dati che vengono criptati sono:

  • Microsoft Office: .xlsx, .docx e .pptx oltre alle versioni dei documenti più vecchie
  • Immagini: .jpeg, .png, .jpeg, .gif
  • Immagini a uso aziendale: .dwg
  • Dati: .sql e .ai
  • Video: .avi, .m4a, .mp4

La maggior parte dei ransomware in circolazione quando viene eseguito prende di mira i file di Microsoft Office perché contengono informazioni aziendali critiche, come potete immaginare prendere di mira i file importanti aumenta la possibilità di ottenere il pagamento di un riscatto per avere la chiave di decriptazione.

Spesso nelle mail di phishing vengono inclusi i ransomware, che sono diversi dagli altri malware, dopo l’attivazione (nella maggior parte dei casi) viene eseguito quando un utente apre un allegato o clicca su un link contenuto appunto in una mail di phishing, il malware viene scaricato da un server che è controllato dall’attaccante.

Non è detto che il ransomware viene eseguito subito dopo essere stato scaricato, può rimanere inattivo e attendere lo start dell’attaccante. La crittografia che effettua il ransomware può essere asimmetrica o simmetrica, recenti attacchi ransomware hanno utilizzato entrambe le tecniche.

Crittografia simmetrica

La crittografia simmetrica utilizza una singola chiave per la crittografia e la decrittografia, tale chiave è spesso memorizzata sul sistema locale.

In questo caso  gli specialisti e i ricercatori possono individuarla e decifrare i dati senza effettuare nessun pagamento del riscatto.

Crittografia asimmetrica lato client

La crittografia asimmetrica utilizza due chiavi, (una pubblica per crittografare i dati e una chiave separata per decifrarli).

La crittografia più comune è la crittografia RSA, che è utilizzata anche da HTTPS.

Quando la procedura di crittografia è termina viene inviata la chiave privata all’’attaccante, la procedura poi cancella dalla memoria locale la chiave.

Crittografia ibrida

I malintenzionati con il passare del tempo hanno scoperto che le prime versioni del ransomware avevano una vulnerabilità, così hanno progettato appunto delle versioni ibride.

In queste versioni il ransomware genera due chiavi e una catena di crittografia è stata creata per risolvere i problemi presenti nelle versioni precedenti.

Questa catena di crittografia funziona in questo modo:

  • La chiave simmetrica cripta i file.
  • Il ransomware genera una coppia di chiavi lato client (la chiave pubblica cripta il file della chiave simmetrica).
  • Il ransomware poi genera una coppia di chiavi lato server (la chiave pubblica cripta la chiave privata lato client e poi viene inviata all’attaccante.)
  • Una volta pagato il riscatto, la chiave privata “lato server” decripta la chiave privata “lato client”, questa chiave (nella maggior parte dei casi non viene mai inviata al malcapitato anche se ha pagato il riscatto), viene inviata all’azienda che ha subito l’attacco.

Ritorniamo all’analisi dell’attacco… il punto di entrata può avvenire da diverse parti e con diverse tecniche, ad esempio potrebbe prendere di mira il portale facendo un’analisi dettagliata della struttura in modo da cercare qualche vulnerabilità applicativa, (sql injection ad esempio, XSS etc…) per poi sferrare l’attacco e magari accedere al database per rubare i dati contenuti.

Un’altra tecnica utilizzata potrebbe essere il Phishing, in questo modo è direttamente l’utente che apre le porte all’attaccante.

In passato è stata anche utilizzata la tecnica della classica penna USB lasciata appositamente per terra all’entrata ad esempio dell’azienda, l’utente che vede la penna USB la raccoglie e appena entra in ufficio la inserisce nel computer e vi lascio immaginare cosa succede dopo……

Anche la scansione del target per vedere lo stato del sistema e trovare una qualche vulnerabilità (magari perché non è stato aggiornato con le relative patch), è un’altra tecnica utilizzata dall’attaccante per prendere i diritti di admin del sistema ad esempio.

Come prevenire il Ransomware?

Prima di prevenire il ransomware bisogna mettere in sicurezza il sistema e fare una campagna agli utenti che lavorano nella propria azienda e nella pubblica amministrazione ad esempio.

Spiegando cos’è un ransomware , come si prende cosa succede etc….con degli esempi pratici (non teoria ma anche pratica), simulando degli attacchi reali.

Secondo punto per prevenire e difendersi dal ransomware sono i backup dei file, ogni azienda seria è dotata di procedure di backup.

Ovviamente per prevenire i danni del ransomware è meglio arrestarlo prima che si attivi e che faccia danni all’infrastruttura.

La maggior parte degli attacchi ha inizio dopo che un utente ha scaricato involontariamente il ransomware direttamente o ha eseguito uno script dannoso per errore.

Come facciamo ad impedire agli utenti di scaricare ransomware?

Attraverso il filtraggio dei contenuti basato sul DNS e la cybersecurity delle email, il filtraggio dei contenuti basato sul DNS, fa in modo che gli utenti non possano navigare sui siti che sono stati inclusi nella lista dei siti non consentiti.

Questi filtri email inviano contenuti e gli allegati dannosi alla quarantena che viene poi revisionata da parte dell’amministratore.

Anche l’esecuzione di un software anti-malware con machine learning e il monitoraggio del comportamento su ogni dispositivo, compreso quello mobile può essere una seria soluzione.

Una buon software anti-malware riesce a rilevare un ransomware prima che possa accedere alla memoria e iniziare a criptare i file.

Ovviamente il software anti-malware deve essere sempre tenuto aggiornato con le patch in modo che possa riconoscere le ultime minacce.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.