24 Mag 2016

Cybercrimine in Italia: danni per 9 miliardi nel 2015

L’esplosione del mobile in Italia ha dato una spinta all’uso di Internet, ma sul tema sicurezza il nostro paese è ancora in ritardo. A dirlo è uno studio illustrato la scorsa settimana a Milano in un incontro promosso da Affinion International e dalla American Chamber of Commerce in Italy.

I dati dell’Osservatorio Information & Security del Politecnico di Milano descrivono un paese sempre più connesso, in cui il settore dell’Information Technology vive (finalmente) una crescita a doppia cifra.

dati
Il boom degli smartphone ha aperto un mercato che nel nostro paese stentava.

Una manna per le aziende del settore, che scontano però un ritardo clamoroso nell’adeguarsi sotto il profilo della sicurezza. I numeri sono impietosi: nel nostro paese gli investimenti nella sicurezza informatica segnano un misero +8%, mentre i dati relativi al cyber-crimine (+30%) parlano di una vera emergenza.

Il 2015 in Italia ha registrato 1012 incidenti informatici classificati come “gravi”. Nel mirino dei pirati informatici ci sono i servizi online e basati su cloud (+82% di attacchi) e le infrastrutture sensibili (+154% di attacchi) ma anche le minacce “convenzionali” sono in costante crescita.

Se il phishing ha segnato una crescita del 50%, la parte del leone la fanno i ransomware, la cui diffusione nel nostro paese ha raggiunto addirittura un +135%, un rischio a cui sarebbero esposte il 37% delle aziende.

minacce
Nell’ottica delle aziende il campionario delle minacce non è poi molto diverso da quello dei normali utenti.

Fatti i conti, a fronte di 850 milioni di euro spesi per la cyber-security, il danno complessivo alle aziende provocato dagli attacchi online ammonterebbe a 9 miliardi di euro l’anno.

Pochi soldi investiti? Forse. Spulciando il rapporto dell’osservatorio, però, il dato che salta agli occhi è quello di una scarsa attenzione per gli aspetti più “caldi” della sicurezza.

danni
Il cyber-spionaggio si conferma in crescita: i dati oggetto degli attacchi comprendono anche proprietà intellettuale e informazioni riservate.

Scarsa attenzione anche per la crittografia dei dati (solo il 36% la organizza) e per la gestione dei dati su social e Web, con il 31% delle aziende che se ne preoccupa.

Ancora più grave, solo il 48% delle aziende ha delle policy per la gestione dei device mobili. Tradotto: in oltre la metà delle imprese italiane i dati sensibili transitano allegramente sugli smartphone privati dei dipendenti.

Non stupisce, quindi, che le aziende indichino nell’accesso in mobilità alle informazioni (47%) e nella presenza di device mobili personali (33%) due delle principali vulnerabilità.

fonti
Da dove arriva la minaccia? Dalle solite organizzazioni criminali. Ma il 49% delle aziende ha subito danni provocati dagli stessi lavoratori.

Il vero “buco nero” però riguarda la formazione degli utenti. A confermarlo è il fatto che le aziende intervistate imputino gli incidenti più che altro a “comportamenti inconsapevoli” (78%) o alla “distrazione delle persone” (56%) che operano al loro interno.

23 Mag 2016

Come difendersi da CryptoLocker, il virus che chiede il riscatto

CryptoLocker è un virus messo in circolazione a settembre 2013 che si sta diffondendo a macchia d’olio. Quando il virus entra in funzione, inizia a crittografare i file (che quindi diventano inutilizzabili) con algoritmi di cifratura RSA e AES, praticamente impossibili da decriptare se non conoscendo la chiave.

Il virus avvisa con una schermata che il danno è fatto e invita a pagare una certa quantità di denaro (il corrispondente di qualche centinaia di euro) in BitCoin. Dopo il pagamento del riscatto inizia il processo di decriptazione dei file.

 

Non c’è modo, almeno per il momento, di fermare il virus o di provare a decriptare i file usando programmi free o antivirus, anzi si peggiorano le cose perché CryptoLocker se ne accorge e butta via la chiave: a quel punto non c’è più nulla da fare.

Come si prende il virus CryptoLocker?

Il metodo di diffusione di questo virus è stato congegnato a regola d’arte. Si riceve un’email apparentemente innocua, che magari riguarda una fattura o un ordine che si ha realmente effettuato, e quindi si è portati a credere che la comunicazione sia autentica.

Questa email contiene un allegato con un nome verosimile, come fattura.pdf.exe o order584755.zip.exe e poiché i sistemi operativi Microsoft di default nascondono l’estensione del file, a un utente dall’occhio non esperto può capitare di credere che davvero sia un PDF o uno ZIP. Una volta cliccato, i file verranno criptati all’istante.

Quando il virus si installa infatti, va a cercare un Command & Control Server, ossia un server di riferimento che lo istruisca su cosa fare e come cifrare i dati. Naturalmente questi server non sono fissi, altrimenti sarebbe facile risalire a chi li gestisce.

Cosa fare se si prende il virus?

Ci si accorge che si è preso il virus perché CryptoLocker mostra una bella finestra in cui spiega cosa ha combinato e chiede di pagare. La prima cosa da fare è scollegare il sistema infetto dal resto della rete, perché CryptoLocker si propaga attraverso le unità mappate (sono salve le share UNC, del tipo \nome_servercondivisione).

Non è invece una buona idea lanciare la scansione antivirus dopo l’infezione con CryptoLocker, perché spesso gli antivirus scoprono la presenza di CryptoLocker dopo che ha già fatto il danno e cancellano il virus lasciando ovviamente i file criptati.

In questo modo non è possibile recuperare i dati. Per fortuna alcune versioni di CryptoLocker hanno previsto questo e installano uno sfondo di Windows che invita a scaricare un file, il quale permette di decriptare i file anche se l’antivirus ha rimosso il tool originale.

Quindi non resta che pagare qualche centinaio di euro entro i tempi stabiliti dal programma stesso, altrimenti il costo diventa sempre più alto, fino a venti volte la cifra iniziale. I sistemi di pagamento sono BitCoin e (meno frequentemente) MoneyPack che per definizione hanno transazioni sicure ma non rintracciabili, quindi tutti i tentativi di individuare gli autori di CryptoLocker sono vani. Mi fa orrore dirvi che solo pagando i truffatori potete riavere i vostri file, ma è la cruda verità.

 

Ci si può difendere?

Ci sono delle azioni preventive che si possono adottare per minimizzare il rischio di prendere CryptoLocker. Innanzi tutto fare il backup, anche fuori sede, perché il virus riesce a passare sui dischi di rete solo se sono mappati e non attraverso la rete in generale.

Avere un backup offsite permetterebbe di ripristinare i file nel caso non riuscisse a decriptare i dati. Inoltre, si consiglia di implementare le policy di ActiveDirectory affinché vengano mandati in esecuzione solo certi eseguibili (presenti su un sistema ”pulito”): in questo modo l’eventuale esecuzione di CryptoLocker verrebbe bloccata.

Esiste un programma (CryptoPrevent) per facilitare l’applicazione di queste policy. Effettivamente dopo il pagamento del riscatto i file vengono decriptati, anche se ci vogliono alcune ore.

Aspetti sociali di questo virus

Ci sono alcuni aspetti che secondo me esulano dal piano tecnico e meritano una riflessione di più ampio respiro, perché hanno un impatto sociale non indifferente.

Innanzi tutto alcuni consulenti e alcuni produttori di software suggeriscono di non pagare il riscatto, perché siamo all’interno di un’attività illecita. Ineccepibile sul piano morale e deontologico, ma chi perde i soldi perché non può evadere ordini, non può ordinare la merce e non può lavorare perché tutti i propri documenti sono criptati?

L’imprenditore che ha preso il virus. Egli sarà ben disponibile a spendere trecento euro per riprendere a lavorare subito. Chi ha ragione dunque? Il consulente che dice di non pagare o l’imprenditore che paga perché la propria azienda e i propri dipendenti devono lavorare?

CryptoLocker si prende scaricando un allegato (sospetto) da un’email. Bene, ma il software scaricato, da solo non fa nulla, sono le istruzioni dei server craccati – in cui viene subdolamente installato il server che poi istruisce CryptoLocker – che rendono pericoloso questo software. E i server craccati in genere appartengono a società ignare di tutto ciò. L’azienda che ha il server craccato è responsabile?

Dal 1 novembre i creatori di CryptoLocker hanno aperto un sito dove si può comprare la chiave per decriptare i file e il programmino per eseguire la decriptazione. Premesso che questo sito è raggiungibile solo su una rete parallela, per accedere alla quale occorre scaricare un programma dalla legalità dubbia, è normale che un utente o un’azienda ordini un virus illegale per poter riavere i propri dati?

© 2019 Enrico Misciattelli. All rights reserved.

back to top