Documento tecnico: storia e tecnologia del ransomware

End User protectionLe nuove minacceProtezione dei datiwhite paper
Ransomware white paper

I “ransomware” sono programmi che impediscono l’accesso ai documenti personali finché non viene pagato un “riscatto”.

In passato venivano utilizzati per danneggiare o cancellare documenti; oggi questi programmi si impossessano dei dati e li tengono “in ostaggio”. Ad esempio, il Trojan Archiveus copia il contenuto della cartella “Documenti” all’interno di un file protetto da password e, in seguito, cancella l’originale. L’utente riceve un messaggio nel quale viene specificato che è necessario digitare una password di 30 caratteri per accedere alla cartella e che tale password gli verrà comunicata solo dopo aver effettuato un acquisto da un negozio online.

Ransomware white paper

In questo caso, come nella maggior parte dei “ransomware”, la password è nascosta all’interno del codice del Trojan e può essere rilevata dagli analisti di malware. Tuttavia ultimamente gli hacker hanno iniziato ad utilizzare una crittografia asimmetrica o a chiave pubblica che sfrutta codici diversi per codificare e decodificare, in questo modo la password non viene salvata sul computer dell’utente e quindi il recupero dei dati cifrati diventa impossibile e i danni sono irreversibili.

Nel corso dell’ultimo anno abbiamo assistito a una recrudescenza del ransomware. Vi sono stati esempi di falsi avvertimenti degli organi di polizia, accompagnati da sanzioni economiche (pagabile attraverso internet) e presa in ostaggio dei dati fino ad avvenuto pagamento.

Per esempio Reveton, noto anche come Citadel o Troj/Ransom, nasconde il desktop Windows, impedisce l’accesso a qualsiasi programma e visualizza a schermo intero il logo dell’FBI (o di altri tipi di forze dell’ordine). Compare un messaggio urgente che sostiene di aver rilevato la presenza di materiale protetto da copyright scaricato dall’utente; viene quindi sollecitato il pagamento di una multa (che di solito si aggira intorno ai $200) per ripristinare l’accesso.

Una ricerca dei SophosLabs mostra che, tra i distributori di malware che utilizzano i kit di exploit Blackhole, il ransomware è secondo, quanto a popolarità, solo a Zeus/Zbot. Si posiziona inoltre molto prima dei falsi antivirus.

Anand Ajjan, un ricercatore senior dei SophosLabs, ha approfondito l’argomento del ransomware in un technical paper. Quest’ultimo fornisce un’interessante storia generale nonché qualche dettaglio tecnico per i più esperti.

Anand ha scavato a fondo nelle tattiche utilizzate dal ransomware e ha studiato la sua evoluzione, esaminandone i miglioramenti tecnologici e di social engineering.

 

Scaricate subito e leggete il technical Paper: “Ransomware: Next-Generation Fake Antivirus”.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.