Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2016  marzo 30 Mercoledì calendario
La storia raccontata da Giorgio Dell'Arti 

La Stampa, 30 marzo 2016

Il virus che ricatta il vostro pc

La conversazione con il venditore di cyber estorsioni ha preso subito una brutta piega. Soprattutto quando ha capito che non volevo comprare il suo kit per distribuire soft-ware malevoli.
«Il mio tempo è denaro, mi “urla” (in maiuscolo) nella chat criptata con cui lo avevo raggiunto, «e io devo pagare le bollette, l’hosting, il sistema per aggirare gli antivirus. Mi hai preso per un ente di beneficenza?».

Prima di darmi il tempo di spiegare, il venditore di ransomware aveva già spiattellato tutta la procedura: dovevo pagare 300 dollari in bitcoin, e lui all’istante, mi avrebbe affiliato al suo sistema di ransomware, i software malevoli che criptano i file di un computer e poi chiedono un riscatto per decifrarli. Una volta pagato mi avrebbe dato un file eseguibile con cui avrei infettato le mie vittime, nonché l’accesso a un pannello di controllo grazie al quale ottenere la mia parte di guadagni.
A questo venditore siamo arrivati da siti e forum russi dedicati ad attacchi informatici, perché sono un po’ l’epicentro del fenomeno cyber estorsioni. Anche Tartarus, altro venditore sul forum Exploit.in, mi scrive di avere un programma di affiliazione. Paghi 100 dollari in bitcoin, lui ti dà un file eseguibile da distribuire sui computer delle vittime e l’accesso a un pannello di controllo. Di tutti i riscatti incassati, lui si prende il 15%. Dice di avere 3-400 clienti. La ragione per cui la formula ha successo è che è molto semplice, mi scrive Tartarus, e in più libera gli affiliati dai costi di gestione dell’infrastruttura di controllo del malware e dei pagamenti. «E sono soldi facili». 
In effetti i programmi di affiliazione dei ransomware pullulano. Ce ne sono anche di automatizzati. Vai sul sito, metti l’indirizzo bitcoin dove ti verrà pagata la tua parte di riscatto, configuri online il malware come lo vuoi tu (ad esempio decidi quanti soldi chiedere e quanto tempo dare alle vittime per pagare), scarichi il malware, lo distribuisci con delle email. È tutto gratuito, si paga con una percentuale degli incassi a chi gestisce l’infrastruttura. Così semplice che anche noi della Stampa siamo andati su uno di questi siti, ci siamo configurati il nostro ransomware e lo abbiamo scaricato. Poi lo abbiamo spedito a degli esperti di sicurezza informatica. «Non è molto sofisticato ma fa il suo lavoro», ha spiegato alla Stampa Alberto Pelliccione, che con la sua società ReaQta difende aziende da attacchi avanzati, ma che improvvisamente si è trovato a gestire anche un’invasione di cyber estorsioni.
«Soldi facili», mi scriveva Tartarus. Così facili che stiamo assistendo a un’epidemia di cyber ricatti. «Il 2016 è l’anno in cui i ransomware si abbatteranno su chi gestisce le infrastrutture critiche americane», tuona un recente rapporto dell’Institute for critical infrastructure technology, pensatoio statunitense che studia le cyber minacce. 
Nel mentre, frotte di semplici utenti, aziende, enti pubblici e ospedali (ormai famoso quello di Los Angeles che avrebbe pagato addirittura un riscatto da 17 mila dollari) assaltano i consulenti di sicurezza informatica. E mica solo in America: il Belpaese è in prima linea. Stati Uniti, Giappone, Gran Bretagna, Germania, Italia sono infatti le nazioni più colpite, secondo un rapporto di Nya International.
«Ogni settimana ho un cliente che arriva per questo, l’impennata l’ho vista da metà 2015», spiega alla Stampa Stefano Fratepietro, dell’azienda di sicurezza informatica Tesla Consulting. Uno dei suoi clienti, che forniva buste paga a numerosi enti, si è trovato tutti i file cifrati pochi giorni prima di dover distribuire i cedolini. Panico, chiamata al consulente, straordinari notturni. E documenti alla fine decifrati sì, ma pagando.
Già, perché il fenomeno ha radici lontane ma ha avuto un’impennata dal 2013, quando molti di questi software malevoli che criptano i file di un computer hanno adottato algoritmi di cifratura più forti, impossibili da “craccare” o da aggirare. A quel punto l’unico modo per recuperare i dati cifrati, se non si ha una copia, è ottenere la chiave unica in possesso dei ricattatori. Siccome le cifre da pagare non sono altissime, in media tra i 300 e i 500 euro in Italia, una fetta consistente di chi viene infettato paga. Il 41%, secondo l’University of Kent. Il 30, secondo TrendMicro. 
Le famiglie di ransomware sono diverse. Ctb-Locker. CryptoWall, Cryptolocker, TeslaCrypt, Locky sono le più recenti e diffuse. «Nel 2015 era molto usato Cryptowall, a fine anno è salito Cryptolocker e sono apparsi i primi TeslaCrypt e Locky», spiega ancora Pelliccione. «Il fatto è che questi malware non hanno bisogno di essere tecnicamente complessi, anzi, più sono semplici e più sono funzionali perché sfuggono agli antivirus».
Detto in altri termini: la forza dei ransomware è che sono semplici da scrivere e se ne possono generare in continuazione e in grandi quantità, usando poi tecniche per offuscarli, renderli invisibili (anche qua si trovano siti per farlo). Ma essendo programmi nuovi, spesso gli antivirus non li riconoscono. A quel punto la sfida è solo rendere minimamente credibile l’email che li veicola. 
«In genere sono mail con false bollette di Telecom o Enel, o finte email di corrieri», spiega alla Stampa il responsabile Ict di un’importante università italiana: ne ha visti parecchi di ransomware ma preferisce restare anonimo. «Le prime mail che arrivavano erano molto rozze e fatte con traduttore automatico; poi è stato evidente che è entrato in gioco qualche italiano e sono migliorate».
Molte di queste campagne hanno un’origine geografica. «Ci sono diverse gang criminali, la maggior parte sono dell’Europa dell’Est», commenta Jérôme Segura, ricercatore di Malwarebytes. «Ma abbiamo visto anche molti criminali saltare sul carro dei ransomware perché è un modo molto efficace di raccogliere soldi senza intermediari». 
Inoltre, individuare questi gruppi da parte delle forze dell’ordine dei Paesi colpiti non è facile, ci spiega il ricercatore di Kaspersky, Santiago Pontiroli, per complicazioni o cavilli legali. E molte di queste gang stanno attente a non dare troppo fastidio alle nazioni in cui si trovano. «Le tecnologie vendute sui siti e mercati russi tendono a non affliggere utenti residenti in quei mercati», spiega Luca Allodi, ricercatore dell’Università di Trento. 
L’ultima novità dei ransomware, Cerber, nato proprio nell’underground dell’Est Europa, fa esattamente questo, spiega Segura, ovvero verifica il Paese in cui si trova la vittima e batte in ritirata se si tratta di Russia, Ucraina o altri Stati dell’ex blocco sovietico. Cerber rappresenta bene anche la capacità di innovazione di questo tipo di software, introducendo una funzione aggiuntiva: parla direttamente alle sue vittime, attraverso una funzione «da testo a voce».
Una capacità trasformistica che preoccupa molto l’Fbi. In un memo di marzo, l’agenzia americana avverte di un nuovo schema che cerca di infettare interi network e di localizzare e cancellare eventuali backup. Mentre secondo un report di Reuters, sul carro dei soldi facili starebbero saltando anche hacker mercenari para-statali, come i gruppi cinesi, col rischio di far evolvere ulteriormente il fenomeno.
In Italia sta già evolvendo. «Secondo me qualche italiano inizia ad esserci», commenta Paolo Dal Checco, dello studio di informatica forense DiFoB, che da tempo sta analizzando il fenomeno al punto da aver aperto anche un sito apposito, www.ransomware.it, per le segnalazioni degli utenti.