Un bel giorno, accendete il vostro computer che funziona regolarmente; però, non appena cercate di aprire i vostri file (testi, immagini o qualsiasi altra cosa), vi accorgete che non siete più in grado di farlo, e vi appare un minaccioso messaggio che vi chiede un riscatto in denaro per poterne tornare in possesso.
https://cdn-thumbs.imagevenue.com/69/b4/48/ME13T90X_t.jpg
Tali attacchi informatici, che nell'anno 2018 rappresentavano il 23% di tutti i "malware", nel 2019 sono diventati il 46% e nel 2020 sono arrivati al 67%; per il prossimo inverno '21/'22 si prevede un ulteriore aumento degli attacchi, ma non più solo alle aziende, bensì anche alle utenze private.
Peraltro, è anche molto aumentata la somma estorsiva richiesta; ed infatti, il riscatto medio pagato è passato da 115.123 dollari nel 2019 a 312.493 dollari nel 2020 (+171% anno su base annua).
Per cui è opportuno prendere per tempo delle semplici, ma efficaci, misure difensive, così come cercherò di spiegare più avanti!
COSA SONO I RANSOMWARE
In estrema sintesi, i "ransomware" appartengono ad una classe di "malware" che rende inaccessibili i dati dei computer infettati, pretendendo il pagamento di un "ransom" ("riscatto"), per ripristinarli.
In pratica, sono dei "trojan horse" ("cavalli di Troia") crittografici, infiltrati nel nostro computer da "troja's sons" ("figli di mignotta"), i quali hanno come scopo l'estorsione di denaro, per mezzo di un "sequestro di file", operato con una cifratura che, in pratica, li rende inutilizzabili.
***
Una volta che i vostri file vengono criptati dai "ransomware", infatti, è quasi impossibile decrittarli; anche se siete analisti informatici della CIA.
Però sono gli stessi "sequestratori" a spiegarvi amichevolmente come fare; sempre, ovviamente, che vengano generosamente retribuiti in denaro (in criptovaluta Bitcoin, ma non solo).
***
Per tale motivo, i "ransomware" costituiscono un attacco completamente diverso dai più sofisticati attacchi APT ("Advanced Persistent Threat"), il cui scopo è quello di persistere nel sistema attaccato il più a lungo possibile, all'unico scopo di creare danno, confusione e instabilità nel "soggetto bersaglio"; e, anche se a volte gli attacchi del secondo tipo sono "mascherati" da attacchi del primo tipo (come io penso sia accaduto nel caso della Regione Lazio), se ne può scoprire la natura e la provenienza dalle loro specifiche caratteristiche.
Al riguardo, vedere anche il mio post qui sotto linkato.
https://www.riflessioni.it/logos/attualita/attacco-informatico-alla-regione-lazio-chi-perche-e-come/
COME FANNO I RANSOMWARE AD INFILTRARSI NEL NOSTRO COMPUTER
Al riguardo, esistono vari modi con cui i "ransomware" possono penetrare nel nostro PC.
a)
La modalità più diffusa, continua ad essere l'invio di e-mail di cosiddetto "phishing", le quali invitano a cliccare su un determinato link o a scaricare un certo file (infetto); ma, ormai, solo gli allocchi possono cascarci.
b)
La modalità più insidiosa, invece, consiste in un messaggio di posta elettronica che viene mascherato in modo che risulti inviato da qualcuno che conosciamo e di cui ci fidiamo; il quale ci invita a cliccare su un determinato link o a scaricare un certo file (con la tecnica nota come "spoofing").
Al riguardo, si veda anche il mio post qui sotto linkato, laddove, in una risposta, ho affrontato il tema del "furto di identità" online, e come difendersene; cioè, del "lupo travestito da nonna di cappuccetto rosso".
https://www.riflessioni.it/logos/scienza-e-tecnologia/come-tenere-al-sicuro-i-nostri-dati-bancari-online/msg54521/#msg54521
c)
In altri casi, i "cybercriminali" sfruttano alcune vulnerabilità presenti in certi programmi -come Java e Adobe Flash- o nei diversi sistemi operativi; in tale ipotesi, il software malevolo si propaga in maniera autonoma senza che l'utente debba compiere alcuna azione.
d)
In altri casi ancora, i "ransomware" penetrano nel nostro PC, quando ci troviamo a navigare su siti compromessi o "fantoccio"; in tal caso, si verifica il cosiddetto "drive-by download" ("scaricamento all'insaputa") dei "ransomware", da siti nei quali sono stati introdotti, da parte di "hacker" che sono riusciti a violare il sito o che lo hanno compromesso, in modo da infettare chi visita quei siti.
e)
A volte, invece, i criminali usano una chiavetta USB contenente il "ransomware", ma non certo inserendola loro direttamente nel PC della vittima designata (salvo rarissimi casi); lo fanno, invece, ricorrendo al cosiddetto metodo "baiting" (esca), che consiste nel lasciare incustodito in un luogo aziendale comune (mensa, parcheggio ecc.) la chiavetta USB infetta.
Chi la trova, molto spesso, non può resistere alla tentazione di inserirla nel proprio PC:
- o per mera curiosità;
- o per cercare di capire chi è il proprietario della chiavetta, e restituirgliela.
"Et voilà les jeux sont faits! Rien ne va plus!", la vittima si è fregata da sola!
f)
Un altro sistema molto usato, consiste nel nascondere il "ransomware" all'interno di altri "software" gratuiti ed innocui, che la povera vittima scarica per gli scopi più svariati; ed infatti qualunque eseguibile (.exe) "donato", potrebbe contenere dentro di se una "polpetta avvelenata".
Per questo, quando Lacoonte voleva dissuadere i Troiani dall'accogliere in città il cavallo di legno lasciato dai Greci, ammoniva così -vanamente- i suoi concittadini "Timeo Danaos, et dona ferentes!"
Suggerimento ancora valido a distanza di più di tremila anni!
g)
Nel caso di aziende, sono possibili anche aggressioni attraverso il cosiddetto RDP ("Remote Desktop Protocol"), situato generalmente sulla porta 3389; si tratta di attacchi effettuati con con "furto di credenziali", per accedere ai server attraverso RDP e prenderne il controllo.
COME DIFENDERSI DAI RANSOMWARE
Ovviamente, come in qualsiasi altro caso, la miglior "protezione" è costituita dalla "prevenzione"; la quale può avvenire in vari modi.
1)
Aggiornare sempre sia il proprio sistema operativo, sia il proprio programma antivirus; il quale, però, se è gratuito è poco efficiente, ed è proporzionalmente più efficiente (ed efficace) a seconda del prezzo da pagare.
In ogni caso, nessun aggiornamento del proprio sistema operativo, o del proprio programma antivirus è in grado di bloccare un attacco seriamente condotto.
Nessuno!
2)
Adottare una protezione IDS (Intrusion Detection System) la quale serve a individuare in anticipo gli attacchi verso un computer o una rete; i software IDS possono essere installati sia direttamente sul sistema che si vuole controllare, sia su un dispositivo separato, ma quelli preconfigurati, sono abbastanza costosi.
In ogni caso, essendo gli IDS delle componenti attive di una rete, anche loro potrebbero diventare l'obbiettivo di un attacco; specialmente se colui che conduce l'aggressione è a conoscenza della loro presenza, e conosce il fatto suo.
3)
Adottare una protezione IPS (Intrusion Prevention System), la quale va un po' oltre l'IDS: ed infatti, dopo aver appurato la possibilità di un attacco, questo tipo di sistema non si limita ad informare l'"aggredito", ma attiva immediatamente delle misure di sicurezza automatiche.
Però anche tali sistemi di difesa potrebbero diventare l'obbiettivo di un attacco; specialmente se colui che conduce l'aggressione è a conoscenza della loro presenza, e conosce il fatto suo.
***
Nessun sistema, però è davvero sicuro al 100%
***
IL SISTEMA DI PROTEZIONE PIU' SEMPLICE E SICURO (almeno per i privati)
Tuttavia, a mio parere, c'è un solo sistema per essere davvero sicuri, "quasi" al 100%, di poter evitare qualsiasi tipo di "ransomware"; che è anche il più economico ed il più semplice da utilizzare e che, per questo, è quello che suggerisco a tutti i privati possessori di normali PC domestici.
Si dirà che è una "scoperta dell'acqua calda"; ed è vero, però, stranamente, sono in pochi a farne uso!
***
Per adottare tale strategia difensiva, occorre acquistare una "memoria esterna", cioè un sottile disco rigido portatile, poco più ingombrante di un "smartphone" e che funziona più o meno come una chiavetta USB; il quale, però, per meno di 40 euro o poco più, può arrivare a contenere anche due terabyte di dati (1 TB corrisponde a 1.000 gigabyte (GB) o 1.000.000 di megabyte (MB).
https://cdn-thumbs.imagevenue.com/41/2f/06/ME13TB8U_t.jpg
***
Una volta dotati di tale "memoria esterna", dovete psicologicamente assuefarvi all'idea che essa divenga la "memoria principale bis" del vostro PC; cioè, praticamente tutto quello che c'è sul disco fisso del vostro PC deve essere trasferito "anche" lì, dai documenti, alle foto, ai film, e ai "programmi di installazione" dei software che normalmente usate sul vostro PC.
In buona sostanza, la "memoria esterna" deve diventare "quasi" un "gemello" della "memoria interna" del vostro PC; dico "quasi", perchè, ovviamente, i "programmi installati" lavorano esclusivamente sul vostro PC, in quanto sulla "memoria esterna" sono conservati soltanto i loro "programmi di installazione".
***
In tal modo, per capirci meglio, io, quando il mio vecchio PC collassa, poichè la sua "anima" è stata salvata sulla "memoria esterna" (meglio se su due), io non devo far altro che "caricarla" sul nuovo PC; dopo di che, come per un fenomeno di "metempsicosi" il mio vecchio PC torna a rivivere "tel quel" in quello nuovo.
Ovviamente, specie per "reinstallare" i programmi, aggiornare i "preferiti" e gli "account" automatici ecc. ecc., ci vuole un po' di tempo; ma, in genere, non più di qualche oretta!
***
Ma in che modo la "memoria esterna" può preservarci dai "ransomware"?
Ed infatti, quando la "memoria esterna" è collegata al PC, il quale è ONLINE, i "ransomware" possono sequestrare tranquillamente i dati che si trovano sia sull'una che sull'altro!
Il trucco, pertanto, consiste semplicemente nel tenere la "memoria esterna" SEMPRE "scollegata" dal PC online; e collegarla al PC esclusivamente quando si vogliono salvare ulteriori dati ovvero ulteriori programmi di installazione di software acquistati.
https://cdn-thumbs.imagevenue.com/ec/86/0b/ME13TB9V_t.jpg
***
Ovviamente, nel caso di un aggressore che sia sempre in perenne e sistematico agguato, il "ransomware" entrerà in azione non appena collegherete la "memoria esterna" al PC, nei pochi secondi o minuti che vi serviranno per effettuare il "backup" dei dati; e sarete fregati lo stesso, perchè il cavallo di Troia "cripterà" subito entrambi!
Ma la cosa è altamente improbabile!
***
E' invece più probabile, almeno a livello di mera ipotesi, un'altra eventualità; e, cioè, che qualche organizzazione criminale molto "tecnologiccizzata" faccia uso di "ransomware temporizzati".
I "ransomware temporizzati", ammesso che vengano realmente usati dai criminali informatici (cosa che, sinceramente, ignoro), sono dei "trojan dormienti"; i quali, una volta penetrati nel PC, non si attivano fino a che non si accorgono che è stata collegata anche una memoria esterna.
Quando questo avviene, entrano in azione e si impossessano di entrambi i "device".
***
Come ho detto, trattandosi di "roba da spie", non so se i criminali informatici utilizzino davvero tali ipotetici "trojan dormienti"; però, se ne facessero davvero uso, a voler essere davvero "paranoici", una strategia di difesa è comunque praticabile.
Ed infatti, se proprio si vuole andare sul sicuro:
- o si salvano sempre i dati su due differenti memorie esterne;
- oppure, "prima" di collegare al PC l'unica memoria esterna posseduta, occorre avere l'accortezza di collegare una chiavetta USB o una memoria esterna "civetta", cioè senza dati importanti.
In tale secondo caso, infatti, se nel vostro PC c'è davvero un "trojan dormiente" scatterà a vuoto, impossessandosi, oltre che del PC, soltanto di uno "specchietto per le allodole"; ma la "memoria gemella" resterà salva, pronta per essere collegata ad un altro PC!
***
Un saluto a tutti!
***
P.S.
Se avete cliccato su qualcuno dei miei link, vi ringrazio, perchè così sono riuscito a penetrare nei vostri PC (ovviamente scherzo)!
https://cdn-thumbs.imagevenue.com/69/b4/48/ME13T90X_t.jpg
Tali attacchi informatici, che nell'anno 2018 rappresentavano il 23% di tutti i "malware", nel 2019 sono diventati il 46% e nel 2020 sono arrivati al 67%; per il prossimo inverno '21/'22 si prevede un ulteriore aumento degli attacchi, ma non più solo alle aziende, bensì anche alle utenze private.
Peraltro, è anche molto aumentata la somma estorsiva richiesta; ed infatti, il riscatto medio pagato è passato da 115.123 dollari nel 2019 a 312.493 dollari nel 2020 (+171% anno su base annua).
Per cui è opportuno prendere per tempo delle semplici, ma efficaci, misure difensive, così come cercherò di spiegare più avanti!
COSA SONO I RANSOMWARE
In estrema sintesi, i "ransomware" appartengono ad una classe di "malware" che rende inaccessibili i dati dei computer infettati, pretendendo il pagamento di un "ransom" ("riscatto"), per ripristinarli.
In pratica, sono dei "trojan horse" ("cavalli di Troia") crittografici, infiltrati nel nostro computer da "troja's sons" ("figli di mignotta"), i quali hanno come scopo l'estorsione di denaro, per mezzo di un "sequestro di file", operato con una cifratura che, in pratica, li rende inutilizzabili.
***
Una volta che i vostri file vengono criptati dai "ransomware", infatti, è quasi impossibile decrittarli; anche se siete analisti informatici della CIA.
Però sono gli stessi "sequestratori" a spiegarvi amichevolmente come fare; sempre, ovviamente, che vengano generosamente retribuiti in denaro (in criptovaluta Bitcoin, ma non solo).
***
Per tale motivo, i "ransomware" costituiscono un attacco completamente diverso dai più sofisticati attacchi APT ("Advanced Persistent Threat"), il cui scopo è quello di persistere nel sistema attaccato il più a lungo possibile, all'unico scopo di creare danno, confusione e instabilità nel "soggetto bersaglio"; e, anche se a volte gli attacchi del secondo tipo sono "mascherati" da attacchi del primo tipo (come io penso sia accaduto nel caso della Regione Lazio), se ne può scoprire la natura e la provenienza dalle loro specifiche caratteristiche.
Al riguardo, vedere anche il mio post qui sotto linkato.
https://www.riflessioni.it/logos/attualita/attacco-informatico-alla-regione-lazio-chi-perche-e-come/
COME FANNO I RANSOMWARE AD INFILTRARSI NEL NOSTRO COMPUTER
Al riguardo, esistono vari modi con cui i "ransomware" possono penetrare nel nostro PC.
a)
La modalità più diffusa, continua ad essere l'invio di e-mail di cosiddetto "phishing", le quali invitano a cliccare su un determinato link o a scaricare un certo file (infetto); ma, ormai, solo gli allocchi possono cascarci.
b)
La modalità più insidiosa, invece, consiste in un messaggio di posta elettronica che viene mascherato in modo che risulti inviato da qualcuno che conosciamo e di cui ci fidiamo; il quale ci invita a cliccare su un determinato link o a scaricare un certo file (con la tecnica nota come "spoofing").
Al riguardo, si veda anche il mio post qui sotto linkato, laddove, in una risposta, ho affrontato il tema del "furto di identità" online, e come difendersene; cioè, del "lupo travestito da nonna di cappuccetto rosso".
https://www.riflessioni.it/logos/scienza-e-tecnologia/come-tenere-al-sicuro-i-nostri-dati-bancari-online/msg54521/#msg54521
c)
In altri casi, i "cybercriminali" sfruttano alcune vulnerabilità presenti in certi programmi -come Java e Adobe Flash- o nei diversi sistemi operativi; in tale ipotesi, il software malevolo si propaga in maniera autonoma senza che l'utente debba compiere alcuna azione.
d)
In altri casi ancora, i "ransomware" penetrano nel nostro PC, quando ci troviamo a navigare su siti compromessi o "fantoccio"; in tal caso, si verifica il cosiddetto "drive-by download" ("scaricamento all'insaputa") dei "ransomware", da siti nei quali sono stati introdotti, da parte di "hacker" che sono riusciti a violare il sito o che lo hanno compromesso, in modo da infettare chi visita quei siti.
e)
A volte, invece, i criminali usano una chiavetta USB contenente il "ransomware", ma non certo inserendola loro direttamente nel PC della vittima designata (salvo rarissimi casi); lo fanno, invece, ricorrendo al cosiddetto metodo "baiting" (esca), che consiste nel lasciare incustodito in un luogo aziendale comune (mensa, parcheggio ecc.) la chiavetta USB infetta.
Chi la trova, molto spesso, non può resistere alla tentazione di inserirla nel proprio PC:
- o per mera curiosità;
- o per cercare di capire chi è il proprietario della chiavetta, e restituirgliela.
"Et voilà les jeux sont faits! Rien ne va plus!", la vittima si è fregata da sola!
f)
Un altro sistema molto usato, consiste nel nascondere il "ransomware" all'interno di altri "software" gratuiti ed innocui, che la povera vittima scarica per gli scopi più svariati; ed infatti qualunque eseguibile (.exe) "donato", potrebbe contenere dentro di se una "polpetta avvelenata".
Per questo, quando Lacoonte voleva dissuadere i Troiani dall'accogliere in città il cavallo di legno lasciato dai Greci, ammoniva così -vanamente- i suoi concittadini "Timeo Danaos, et dona ferentes!"
Suggerimento ancora valido a distanza di più di tremila anni!
g)
Nel caso di aziende, sono possibili anche aggressioni attraverso il cosiddetto RDP ("Remote Desktop Protocol"), situato generalmente sulla porta 3389; si tratta di attacchi effettuati con con "furto di credenziali", per accedere ai server attraverso RDP e prenderne il controllo.
COME DIFENDERSI DAI RANSOMWARE
Ovviamente, come in qualsiasi altro caso, la miglior "protezione" è costituita dalla "prevenzione"; la quale può avvenire in vari modi.
1)
Aggiornare sempre sia il proprio sistema operativo, sia il proprio programma antivirus; il quale, però, se è gratuito è poco efficiente, ed è proporzionalmente più efficiente (ed efficace) a seconda del prezzo da pagare.
In ogni caso, nessun aggiornamento del proprio sistema operativo, o del proprio programma antivirus è in grado di bloccare un attacco seriamente condotto.
Nessuno!
2)
Adottare una protezione IDS (Intrusion Detection System) la quale serve a individuare in anticipo gli attacchi verso un computer o una rete; i software IDS possono essere installati sia direttamente sul sistema che si vuole controllare, sia su un dispositivo separato, ma quelli preconfigurati, sono abbastanza costosi.
In ogni caso, essendo gli IDS delle componenti attive di una rete, anche loro potrebbero diventare l'obbiettivo di un attacco; specialmente se colui che conduce l'aggressione è a conoscenza della loro presenza, e conosce il fatto suo.
3)
Adottare una protezione IPS (Intrusion Prevention System), la quale va un po' oltre l'IDS: ed infatti, dopo aver appurato la possibilità di un attacco, questo tipo di sistema non si limita ad informare l'"aggredito", ma attiva immediatamente delle misure di sicurezza automatiche.
Però anche tali sistemi di difesa potrebbero diventare l'obbiettivo di un attacco; specialmente se colui che conduce l'aggressione è a conoscenza della loro presenza, e conosce il fatto suo.
***
Nessun sistema, però è davvero sicuro al 100%
***
IL SISTEMA DI PROTEZIONE PIU' SEMPLICE E SICURO (almeno per i privati)
Tuttavia, a mio parere, c'è un solo sistema per essere davvero sicuri, "quasi" al 100%, di poter evitare qualsiasi tipo di "ransomware"; che è anche il più economico ed il più semplice da utilizzare e che, per questo, è quello che suggerisco a tutti i privati possessori di normali PC domestici.
Si dirà che è una "scoperta dell'acqua calda"; ed è vero, però, stranamente, sono in pochi a farne uso!
***
Per adottare tale strategia difensiva, occorre acquistare una "memoria esterna", cioè un sottile disco rigido portatile, poco più ingombrante di un "smartphone" e che funziona più o meno come una chiavetta USB; il quale, però, per meno di 40 euro o poco più, può arrivare a contenere anche due terabyte di dati (1 TB corrisponde a 1.000 gigabyte (GB) o 1.000.000 di megabyte (MB).
https://cdn-thumbs.imagevenue.com/41/2f/06/ME13TB8U_t.jpg
***
Una volta dotati di tale "memoria esterna", dovete psicologicamente assuefarvi all'idea che essa divenga la "memoria principale bis" del vostro PC; cioè, praticamente tutto quello che c'è sul disco fisso del vostro PC deve essere trasferito "anche" lì, dai documenti, alle foto, ai film, e ai "programmi di installazione" dei software che normalmente usate sul vostro PC.
In buona sostanza, la "memoria esterna" deve diventare "quasi" un "gemello" della "memoria interna" del vostro PC; dico "quasi", perchè, ovviamente, i "programmi installati" lavorano esclusivamente sul vostro PC, in quanto sulla "memoria esterna" sono conservati soltanto i loro "programmi di installazione".
***
In tal modo, per capirci meglio, io, quando il mio vecchio PC collassa, poichè la sua "anima" è stata salvata sulla "memoria esterna" (meglio se su due), io non devo far altro che "caricarla" sul nuovo PC; dopo di che, come per un fenomeno di "metempsicosi" il mio vecchio PC torna a rivivere "tel quel" in quello nuovo.
Ovviamente, specie per "reinstallare" i programmi, aggiornare i "preferiti" e gli "account" automatici ecc. ecc., ci vuole un po' di tempo; ma, in genere, non più di qualche oretta!
***
Ma in che modo la "memoria esterna" può preservarci dai "ransomware"?
Ed infatti, quando la "memoria esterna" è collegata al PC, il quale è ONLINE, i "ransomware" possono sequestrare tranquillamente i dati che si trovano sia sull'una che sull'altro!
Il trucco, pertanto, consiste semplicemente nel tenere la "memoria esterna" SEMPRE "scollegata" dal PC online; e collegarla al PC esclusivamente quando si vogliono salvare ulteriori dati ovvero ulteriori programmi di installazione di software acquistati.
https://cdn-thumbs.imagevenue.com/ec/86/0b/ME13TB9V_t.jpg
***
Ovviamente, nel caso di un aggressore che sia sempre in perenne e sistematico agguato, il "ransomware" entrerà in azione non appena collegherete la "memoria esterna" al PC, nei pochi secondi o minuti che vi serviranno per effettuare il "backup" dei dati; e sarete fregati lo stesso, perchè il cavallo di Troia "cripterà" subito entrambi!
Ma la cosa è altamente improbabile!
***
E' invece più probabile, almeno a livello di mera ipotesi, un'altra eventualità; e, cioè, che qualche organizzazione criminale molto "tecnologiccizzata" faccia uso di "ransomware temporizzati".
I "ransomware temporizzati", ammesso che vengano realmente usati dai criminali informatici (cosa che, sinceramente, ignoro), sono dei "trojan dormienti"; i quali, una volta penetrati nel PC, non si attivano fino a che non si accorgono che è stata collegata anche una memoria esterna.
Quando questo avviene, entrano in azione e si impossessano di entrambi i "device".
***
Come ho detto, trattandosi di "roba da spie", non so se i criminali informatici utilizzino davvero tali ipotetici "trojan dormienti"; però, se ne facessero davvero uso, a voler essere davvero "paranoici", una strategia di difesa è comunque praticabile.
Ed infatti, se proprio si vuole andare sul sicuro:
- o si salvano sempre i dati su due differenti memorie esterne;
- oppure, "prima" di collegare al PC l'unica memoria esterna posseduta, occorre avere l'accortezza di collegare una chiavetta USB o una memoria esterna "civetta", cioè senza dati importanti.
In tale secondo caso, infatti, se nel vostro PC c'è davvero un "trojan dormiente" scatterà a vuoto, impossessandosi, oltre che del PC, soltanto di uno "specchietto per le allodole"; ma la "memoria gemella" resterà salva, pronta per essere collegata ad un altro PC!
***
Un saluto a tutti!
***
P.S.
Se avete cliccato su qualcuno dei miei link, vi ringrazio, perchè così sono riuscito a penetrare nei vostri PC (ovviamente scherzo)!
