CryptoLocker: alcune cose da sapere

Un numero sempre crescente di persone quando sente il nome Cryptolocker sa già di cosa stiamo parlando in troppe, purtroppo, in quanto vittime di questo ransomware ( un tipo di malware che chiede un riscatto per sanare il suo operato). Questo trojan fa la sua prima comparsa nel 2013 e si è evoluto negli anni… ed oggi, nel 2020 come si presenta?

Questo trojan fa la sua prima comparsa nel 2013 e si è evoluto negli anni… ed oggi, nel 2020 come si presenta?

Possiamo dire che ha moltissime varianti e che quindi, in questo articolo, ci limiteremo a fornire alcune informazioni basilari che possono essere approfondite nel corso di una consulenza.

Semplificando e generalizzando al massimo possiamo definire il CryptoLocker come un virus che lavora in due fasi:

Nella prima fase il malware cripta, ovvero che codifica rendendo di fatto illeggibili determinate tipologie di files prefissate come obiettivo

Nella seconda fase viene chiesto un riscatto per poterli decriptare ovvero per renderli di nuovo accessibili all’utente o all’azienda.

     Premesse veloce ma fondamentale: il fatto di pagare il riscatto non garantisce che i cybercriminali, (i criminali informatici che stanno dietro ad attacchi come questi), effettivamente poi diano la chiave o il programma per decriptare i dati.

Senza entrare nel dettaglia andiamo a vedere alcuni aspetti fondamentali da conoscere di questo malware:

Come viene infettato il nostro sistema? Sono a rischio?

Poiché la sicurezza informatica al cento per cento non esiste, siamo potenzialmente tutti a rischio.

Escludendo i casi di attacchi mirati, ovvero quando un hacker od un cybercriminale vi ha preso di mira e quindi opera con l’intenzione di colpire proprio voi, la tendenza è quella di attaccare quanti più obiettivi possibili cercando di trovare sistemi non o mal protetti o di sfruttare un errore umano.

Un veicolo molto usato per diffondere il CryptoLocker è attraverso campagne di phishing o email maligne camuffate da notifiche di tracking di spedizioni.

Vi sono poi casi di siti web compromessi, banner pubblicitari aventi codice malevolo ed è accaduto che computer già compromessi siano poi stati successivamente infettati anche da questa tipologia di malware.

Come possiamo difenderci?

Ricordando che in ambito informatico la sicurezza al cento per cento non esiste la cosa migliore è quella di fare una consulenza specifica per mitigare i rischi, tuttavia vi sono delle cose che tutti dovrebbero fare per ridurre un po’ il rischio.

Ecco la lista di quello che si dovrebbe fare (è solo un punto di partenza, questo non è sufficiente ad essere adeguatamente protetti ):

  1. Avere un piano di disaster recovery e business continuity. Questo permette all’azienda o al singolo di poter ripristinare i propri dati e continuare a lavorare in caso di un’infezione.
    Attenzione ad un errore diffuso: fare i backup su dischi NAS connessi alla stessa LAN o su dischi usb direttamente accessibili può permettere al Cryptolocker di criptare anche i nostri backup.
  2. Essere molto diffidenti quando si riceve una mail, verificare accuratamente che non sia una mail malevola, (uno dei servizi che offro è una formazione in merito).  Prestare attenzione che vi sono criminali informatici che sanno camuffare molto bene le email in modo da farle sembrare provenire da un mittente noto e/o affidabile, utilizzano la grafica originale delle aziende ecc.  Tramite una mail malevola i cybercriminali possono diffondere il virus mediante allegati (con o senza la doppia estensione), link esterni o codice inserito direttamente nel corpo della email (le email infatti possono essere in codice HTML e quindi includere al loro interno del codice malevolo che si attiva semplicemente tramite l’anteprima)
  3. Scegliere un sistema antivirus ed antispam valido e ben configurato che lavori lato server, ovvero che vada ad analizzare le mail prima che arrivino al nostro dispositivo. In base alla configurazione di questi servizi avremmo un risultato diverso (il più comune è quello che le email malevole vengono automaticamente spostate nella casella di posta indesiderata, tuttavia dipende dalla configurazione e dal servizio adottato ; inoltre ci possono essere casi falsi positivi, ovvero email legittime classificate come spam oppure casi in cui email malevole non vengono identificate come tali e che quindi ci arrivano senza filtri).
  4. Tenere il sistema operativo, i firmware, i software ecc sempre aggiornati all’ultima versione.
  5. Usare un account utente con privilegi standard o comunque strettamente limitati alle funzioni richieste. Non usare un account amministrativo può ridurre il danno che il ransomware è in grado infliggere; inoltre adottare opportune policy dove ogni utente può accedere solo ai files a cui è autorizzato riduce i documenti a cui la versione base del virus può accedere, ( tuttavia non sempre questo è sufficiente, infatti esistono versioni più evolute che fanno un privilege escalation acquisendo quindi diritti più elevati dell’utente oppure versioni che usano exploit noti per bypassare le restrizioni).
  6. Prestare attenzione alla cartella TEMP:  alcuni ransomware copiano in questa cartella i files di cui necessitano per funzionare, il bloccare l’esecuzione dei files da questo percorso ci aiuta nel proteggerci da alcune tipologie di questo malware. Dobbiamo però tenere conto che molti software legittimi utilizzano questa cartella per funzionare, dobbiamo quindi configurare le dovute eccezioni per evitare che applicativi di cui abbiamo bisogno incorrano in problemi di funzionamento.
  7. Adottare una soluzione antivirus che abbia una tecnologia antiramsoware
  8. Adottare un firewall hardware di ultima generazione opportunamente configurato possa fornire un primo livello di protezione contro ransomware, bot, worm, hacking, APT ecc
    Alcuni firewall offrono al possibilità di inviare automaticamente in cloud i files sospetti per essere analizzati con strumenti automatizzati, fare scansioni dei files usando più di un motore antivirus, protezione IPS, intercettare gli exploit noti, isolare automaticamente la macchine infette, bloccare gli ip dei server command and control e via discorrendo.
    Ovviamente oltre ad un prodotto di alta qualità è fondamentale la sua configurazione in quanto un errore di quest’ultima può ridurre drasticamente la protezione offerta.

Questi sono solo alcuni dei primi passi per mitigare il rischio connesso a questa tipologia di malware.

Cosa fare se si viene infettati?

Se purtroppo siete stati infettati…

Come prima cosa bisogna isolare quanto prima il computer infetto.

Sappiate che potrebbe esserci stato un Data breach  nel qual caso dovete fare quanto previsto dal GDPR e richiesto dal garante. Vi consiglio di farvi consigliare da un esperto in materia del GDPR su come procedere.

Per recuperare i dati avete due possibilità:

  1. Se avete un buon piano di disaster recovery e business continuity potete ripristare i dati attraverso i vostri backup
  2. Se non avete i backup potete provare a vedere se siete fortunati e se il virus non ha intaccato le shadow copy dei vostri files
  3. Se il virus ha criptato anche queste possiamo vedere se il malware è una variante i cui files possono essere decriptati attraverso strumenti come quelli che troviamo in questo sito web https://www.nomoreransom.org/it/prevention-advice.html o altri siti affini affidabili (affidatevi ad un esperto).
  4. Se ancora non avete risolto il problema…  valutate il da farsi con un consulente specializzato.

Come per tutti i miei post vi rammento che è solo un’infarinatura veloce di argomenti su cui vi è molto da dire, se volete saperne di più vi invito a contattarmi per una consulenza o per una formazione, anche online, su questo o altri argomenti.

Vi rammento inoltre che l’informatica è in continua evoluzione, quindi in linea generale un post ha una valenza limitata nel tempo, dopo qualche mese potrebbe essere obsoleto e non più coerente con l’effettivo stato delle cose. Ecco perché le consulenze vanno fanno ciclicamente in modo da essere sempre aggiornati.