Com'è fatto un attacco Ransomware

Quello di oggi è un argomento di cui ormai si sente parlare sempre più spesso. Se non siamo stati noi stessi sfortunati e abbiamo dovuto averci a che fare personalmente, ne abbiamo almeno letto su testate online, o cartacee, o su dei blog, o ne abbiamo sentito parlare in qualche podcast. Persino i telegiornali trattano spesso l’argomento quando le vittime sono grandi aziende o magari enti pubblici, come è successo quest’estate ad esempio per la Regione Lazio. Quelli che comunemente vengono definiti ransomware, infatti, sono ormai entrati a far parte prepotentemente delle nostre vite, ma quanti di noi sanno effettivamente cosa sono e come funzionano? Nell’episodio di oggi proviamo a fare un po’ di chiarezza in questo particolare settore della criminalità informatica. Sigla. Benvenuti su Pensieri in Codice, il podcast dove si ragiona da informatici, con Valerio Galano. Anche se sono saliti alle luci della ribalta solo negli ultimi 6 o 7 anni, i malware non sono esattamente qualcosa che può essere definito come una novità. Il primo esempio conosciuto infatti risale al 1989, quando un biologo di nome Joseph Pop decise di scrivere un trojan che chiamò IDS e che infettava i computer delle vittime nascondendo dei file e obbligando i malcapitati a pagare 189 dollari alla fantomatica PC Cyber Corporation. Ovviamente IDS non effettuava attacchi complessi come quelli odierni, più che altro nascondeva delle cartelle e rinominava alcuni file utilizzando una criptografia relativamente semplice, ma il sistema funzionava, tanto che frutto al dottor Popper parecchi soldi che furono poi devoluti per la ricerca sull’IDS. Negli anni successivi però, prima per scopi didattici e poi per meno nobili scopi criminali, questo tipo di attacco fu via via potenziato, aggiungendo tipologie di criptografia sempre più complesse. La diffusione dei ransomware si svolse per lo più in sordina, fino ad arrivare al 2013, anno nel quale si diffuse il ormai celebre CryptoLocker, virus che ha tenuto in scacco migliaia e migliaia di computer Windows in tutto il mondo per anni. A quel punto però le potenzialità di questo tipo di attacco erano ormai più che chiare fra gli ambienti criminali dell’informatica, ed ebbe così inizio una vera e propria corsa agli armamenti, fatta di centinaia di malware più o meno simili fra loro, ma tutti con un unico scopo comune, cioè quello di mettere il criminale in posizione di controllo rispetto alla vittima. Lo scopo di tutto infatti era trovare un modo per ottenere un valore digitale da utilizzare per fare leva su qualcuno e costringerlo a sborsare dei soldi nella speranza di rientrarne in possesso. In pratica si tratta di rubare qualcosa e poi per la restituzione chiedere in cambio un riscatto, riscatto che poi è proprio la traduzione della parola ransom. Ora, se ti stai chiedendo come sia possibile chiedere un riscatto per qualcosa nel mondo digitale, sappi che i sistemi sono molti, alcuni più raffinati, altri meno, ma a quanto pare dalle statistiche delle varie aziende di sicurezza tutti abbastanza efficienti e redditizi. Uno dei metodi più comuni, ad esempio, come abbiamo già detto, è quello di criptare le informazioni della vittima. Banalmente, una volta ottenuto l’accesso ad un sistema, si va alla ricerca di tutti i dati che possano avere un certo valore, come ad esempio i documenti, i database, le email, le fotografie e i video, e di tutti questi si crea una copia criptografata e la si utilizza per sostituire gli originali. A questo punto i dati saranno ancora presenti nei sistemi, ma i legittimi proprietari non potranno più accedervi, a meno che, si intende, non paghino il riscatto per avere la chiave di decrittazione. Un secondo metodo molto simile e altrettanto diffuso consiste invece nell’esfiltrare informazioni dai sistemi infettati. In questo caso, alle vittime sarà chiesto un riscatto per far sì che i criminali non pubblichino tali informazioni, che potrebbero ad esempio consistere in dati dei clienti o segreti industriali o, in generale, documenti la cui diffusione sarebbe causa di grossi guai per una azienda. Sempre nell’ottica di bloccare le attività, un’altra tipologia di attacco ransomware consiste nell’impedire l’accesso a device o servizi. In casi del genere, i criminali mettono in atto strategie per causare malfunzionamenti ad esempio nelle reti o nell’avvio dei sistemi operativi, o intervengono per cambiare i codici di accesso a dispositivi o a server. Oppure ancora, nel caso in cui dispongano di sufficienti risorse, potrebbero decidere di mettere in atto un attacco di DOS su un qualche servizio, rendendolo di fatto inaccessibile. Come vedi, quindi, i sistemi non sono pochi e questi non sono nemmeno gli unici, ma il concetto di base resta lo stesso, si sottrae a qualcuno qualcosa di cui ha bisogno e gli si chiedono dei soldi per restituirlo. In questo semplice concetto c’è anche un secondo punto che potrebbe non sembrare ma è molto interessante, e cioè la scelta della vittima. Negli attacchi ransomware, infatti, esistono fondamentalmente due tipologie di approccio alla scelta della vittima, che per semplicità potremmo definire approccio quantitativo e approccio qualitativo. L’approccio quantitativo è qualcosa di molto simile alla pesca a strascico. La vittima viene scelta praticamente a caso, semplicemente perché viene raggiunta da uno degli innumerevoli canali di diffusione dei ransomware, che poi di fatto sono le email o i messaggi di spam, i documenti infetti, i virus o le falle aperte da sistemi operativi o software poco aggiornati. In ogni caso, qualsiasi sia il metodo di trasmissione sfruttato, quando un malware riesce ad attecchire in un sistema, immediatamente contatta una sorta di centro di controllo. Questo innanzitutto per segnalare di aver completato l’infezione e poi, se necessario, per richiedere la chiave di criptazione e per inviare automaticamente i dati sfiltrati. In tal modo, il criminale che ha diffuso il ransomware non solo saprà che è stata infettata una nuova vittima, ma potrà anche controllare lo stato dell’infezione e le informazioni sottratte. Ora, da quanto ti ho descritto, dovrebbe essere chiaro che con questa tipologia di approccio nessuno è al sicuro da un attacco ransomware. Non importa se si tratti di un privato o di una professionista o una piccolissima azienda. La diffusione è pressoché casuale e l’unico modo di evitarla è quello di non aprire file e documenti sospetti, aggiornare sempre software e sistema operativo e fare affidamento su firewall e antivirus. Nel caso dell’approccio qualitativo, invece, il discorso cambia radicalmente. Il bersaglio viene scelto con molta attenzione, in base a grandezza, livello di rischio e capacità di pagare per un riscatto. In questo caso, chi è a rischio sono aziende ed enti pubblici, dei quali i criminali studiano sistemi e dipendenti anche per mesi alla ricerca di una qualche falla di sicurezza. E nel momento in cui la trovano, sia essa una cattiva configurazione di un qualche firewall o le credenziali di un qualche dipendente distratto, lavorano poi per giorni all’esplorazione del sistema dall’interno prima di procedere effettivamente alla esfiltrazione e all’accreditazione delle varie informazioni. In questo caso, chi è veramente a rischio sono le grandi aziende e gli enti pubblici. I criminali, infatti, trascorrono a volte anche mesi studiandone i sistemi e i dipendenti e nel momento in cui riescono ad ottenere un accesso, magari dovuto ad una cattiva configurazione di un firewall o ad un dipendente che non ha conservato correttamente le proprie credenziali, allora iniziano a studiare i sistemi dall’interno, alla ricerca di ogni singolo accesso ed ogni singolo sistema di sicurezza. L’obiettivo, infatti, è solitamente quello di estrarre tutti i dati interessanti, poi crittografarli e contemporaneamente distruggere tutte le copie di backup accessibili. In questo modo la vittima non sarà in grado di ripristinare autonomamente i propri sistemi e si troverà nella condizione di dover considerare l’eventualità di pagare effettivamente il riscatto. E se ciò non dovesse accadere, ai criminali resterà comunque una copia delle informazioni sottratte con la quale potranno ulteriormente ricattare la vittima. Tutti i fattori di cui abbiamo parlato finora, la diffusione degli ultimi anni, i potenziali guadagni, il maggior numero di vittime a disposizione, la complessità di questi attacchi, hanno fatto sì che il business del ransomware sia diventato una vera e propria industria. Difficilmente, infatti, i moderni attacchi vengono perpetrati da una singola persona o da piccoli gruppi. E allo stesso modo non sempre gli attaccanti sono esperti di crittografia, programmazione e sistemi operativi. Se analizziamo, infatti, un attacco del genere di quelli avvenuti negli ultimi anni, possiamo individuare almeno quattro fasi ben distinte, le quali presentano caratteristiche e richiedono competenze altrettanto ben distinte. La prima di queste fasi è certamente di preparazione e consiste nella creazione, quindi nello sviluppo o eventualmente nell’acquisto del software necessario per l’attacco, che presenti quindi le caratteristiche e le capacità desiderate. La seconda fase, invece, consiste nella vera e propria infezione, cioè nella diffusione del malware, che, come abbiamo visto, può avvenire in modi differenti a seconda della vittima alla quale i criminali sono interessati. Una volta portata a termine tale infezione, è il momento quindi della terza fase che riguarda l’estrazione del valore. A questo punto è il momento di mettere in campo una o più di quelle tecniche di cui parlavamo prima, criptografare i dati, sottrarre informazioni o prendere possesso di sistemi o servizi. E infine arriva il momento della quarta ed ultima fase, che consiste nell’ottenere un profitto dall’attacco eseguito e che, ovviamente per i criminali, è anche la fase più importante, che potremmo definire di monetizzazione. Ciascuno di questi passaggi, come ti dicevo prima, richiede competenze specifiche, programmazione, sistemistica, ingegneria sociale, capacità di contrattazione. È oggettivamente difficile immaginare che un’unica persona possa eccellere in tutti questi campi, e quindi accade che un attacco si trasformi in un’operazione corale, che può essere messa in campo da un team di persone specializzate, eventualmente anche con l’aiuto di qualche sistema automatizzato. Nel caso di piccoli obiettivi, infatti, dove c’è un minore ricavo per singola vittima ma una più ampia platea, alcune di queste operazioni possono essere fondamentalmente automatizzate e demandate a sistemi di spam e messaggi di riscatto automatici. In casi del genere, per i criminali, le possibilità di ottenere ricavi, anche se piccoli, sono molte, e quindi trasformare il processo in una sorta di catena di montaggio porta sicuramente a sprechi, ma garantisce anche molti guadagni. Più delicato, invece, diventa il discorso nel caso in cui si parli di vittime molto grandi, come aziende o enti pubblici. Un’operazione del genere, infatti, richiede più risorse sul campo, maggiori rischi, e pertanto i criminali sono molto più motivati a concludere l’attacco con successo. Qui, i sistemi automatizzati sono tendenzialmente da escludere e si fa, invece, riferimento a veri e propri specialisti. Parte del processo, infatti, o in certi casi addirittura tutto l’attacco, possono essere commissionati come una sorta di servizio, questo nel caso in cui non si possiedano le risorse o le competenze necessarie per portare a segno il crimine. Ultimamente si parla addirittura di ransomware as a service, scimmiottando una formula che valida per tanti altri servizi consiste nel pagare qualcuno o acquistare uno strumento perché svolga un lavoro o parte di esso al posto del committente. Oppure, addirittura, sono nati forum specializzati che vendono risorse per attacchi ransomware, accessi a sistemi compromessi, dati sfiltrati o malware preconfezionati. Insomma, come ti dicevo poco fa, quella del ransomware è una vera e propria industria in espansione e sicuramente è qualcosa di cui sentiremo parlare sempre più spesso in futuro. Io, nel mio piccolo, spero di aver fatto un po’ di chiarezza su questo argomento che, come avrai capito, non è affatto banale e nasconde una notevole complessità e tante sfaccettature. Spero inoltre che l’episodio di oggi ti sia piaciuto e ti ricordo che se posso produrre questi contenuti è solo grazie a te che li ascolti e alla community di Pensieri in Codice che sostiene il progetto. Scopri anche tu come dare una mano collegandoti al sito pensieriincodice.it, mi raccomando con due i. Puoi ascoltare tutti gli episodi sulle maggiori piattaforme e app di podcast o riceverli direttamente sul tuo smartphone iscrivendoti al canale Telegram che trovi in descrizione. Se Pensieri in Codice ti piace, e come al solito se sei arrivato fin qui immagino ti piaccia, puoi condividerlo con un amico e farglielo conoscere, farai un favore a entrambi. Per oggi dunque è proprio tutto, io ti do appuntamento al prossimo episodio e ti ricordo che un informatico risolve problemi, a volte, anche usando il computer.