I vari step di un attacco Ransoware
Consegna
L’infezione avviene tipicamente in due modi:
1. Cliccando su un link od un attachment presenti in una mail
2. Attraverso un exploit kit (un software che cerca vulnerabilità sul computer) installato su un sito web che è stato compromesso
Esecuzione
Attraverso piccole modifiche ed alter tecniche “evasive” i ransomware riescono spesso a passare i security check degli antivirus.
Una volta in esecuzione inizia il processo di encryption dei file. La modalità di applicazione cambia da variante a variante (prima i file più vecchi, piuttosto che solo file di certe estensioni,…), ma il risultato non cambia…
Cifratura (Encryption)
Il tempo di encryption varia in base a diversi parametri (mole di dati da cifrare, potenza di cpu, velocità della rete), spesso i file vengono rinominati con l’estensione tipica di quella variante di ransomware.
La richiesta di riscatto
Una volta che il processo di encryption si è completato il ransomware trova il modo di comunicare alla vittima che i suoi file sono stati criptati e le istruzioni per pagare il riscatto.
Di solito viene indicato un tempo massimo oltre il quale la chiave di encryption verrà distrutta ed i dati saranno definitivamente inaccessibili.
Come cominciano le infezioni da ransomware
Come il ransomware si installa sulla macchina della vittima
Come già abbiamo detto I veicoli d’infezione sono due:
1. email di phishing
2. siti web compromessi su cui è stato installato un exploit kit
Primo veicolo di infezione – La mail
Perchè le email
L’email è un veicolo molto efficace per arrivare al cuore della rete di un’azienda perchè arriva rapidamente e direttamente ad ogni singolo utente.
La tattica usata è quella del phishing (mail ingannevoli a cui gli utenti “abboccano” – da cui l’assonanza tra phishing e fishing [pescare]).
Secondo alcuni studi le mail di phishing hanno un alto tasso di apertura (fino al 30% – http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/) e sono, nella gran parte dei casi, portatrici di ransomware.
In queste mail l’utente è invitato a cliccare o su un attachment pericoloso oppure su un link che lo redireziona verso un sito web compromesso su cui è stato installato un exploit kit.
È opportuno notare che non si tratta delle “classiche” mail di spam che propongono l’acquisto di viagra o che comunicano la vittoria a qualche fantomatica lotteria multimilionaria. In realtà si tratta di email molto ben fatte, che sembrano provenire da fornitori abituali delle aziende (Enel, Telecom, SDA,…), come nell’esempio che segue:
(rif http://www.spyware.it/ransomware/)
attraverso i social network (anche Linkedin) è possibile estrarre indirizzi mail personali con relativo nome e cognome. Ecco che spedire una mail indirizzata direttamente ad una persona con i suoi riferimenti corretti non è molto difficile ed il tasso di apertura dei messaggi è molto alto. In questo caso parliamo di attacco di tipo spear phishing.
Come viene distribuito il ransomware attraverso una mail di phishing
Come si diceva all’inizio dell’articolo le email di phishing distribuiscono il ransomware in due modi:
1. allegati (attachment) contenenti codice malevolo
2. link a siti web legittimi ma compromessi oppure siti creati appositamente per far girare gli exploit kit
non basta quindi aprire la mail di phishing (anche se nel dubbio è bene spiegare ai vostri collaboratori di cancellarla senza indugio) ma l’utente deve compiere una delle due azioni descritte in precedenza.
Quali tipi di attachment si nascondono in una mail di phishing
Si è visto nell’esempio precedente come la mail di phishing sia ben scritta, quindi anche l’eventuale allegato deve essere assolutamente convicente, affinchè venga aperto.
Per questo i cyber farabutti nascondono il ransomware in allegati che ci si aspetta di ricevere (.docx, .pdf, .pptx, .xlsx, …).
Possono presentarsi come fatture, presentazioni che arrivano da un collega, l’analisi di bilancio che viene dal nostro commercialista.
.
I documenti di MS Office vengono usati molto spesso a causa della possibilità di sfruttare le “macro di Office” (cioè piccoli programmi eseguiti in automatico al momento dell’apertura del document Word o della presentazione Power Point).
Se le macro sono state disabilitate verrà richiesto di attivarle per poter leggere correttamente il documento. Una volta abilitate il codice contenuto nel documento procederà al download ed all’esecuzione del ransomware vero e proprio.
È comunque opportuno disabilitare l’esecuzione automatica delle macro (si veda a tal proposito: https://support.office.com/it-it/article/Attivazione-o-disattivazione-di-macro-nei-documenti-di-Office-7b4fdd2e-174f-47e2-9611-9efe4f860b12)
Anche i JavaScript (JS) possono essere usati per distribuire i ransomware. L’utilizzo di questo veicolo sta sensibilmente aumentando in questo periodo perché i JS possono fare tutto quello che potrebbe fare un normale programma in esecuzione ma senza attrarre l’attenzione come farebbe invece un .exe.
I JavaScript vengono camufatti da file txt (o altre estensioni più innocue) al fine di viaggiare indisturbati.
Primo veicolo di infezione – gli exploit kits
Cosa differenzia l’attacco via phishing rispetto a quello via mail
Con la mail di phishing l’utente deve comunque fare un’azione: scaricare ed aprire un file.
Mediante l’uso di exploit kit le vittime possono essere infettate semplicemente visitando un sito web infetto, senza dover cliccare nulla di particolare.
Come funziona l’exploit kit
Exploit kits allow criminals to upload malicious code to any web page they have access to. That code is designed to exploit specific vulnerabilities in browsers or other software the visitor may be running.
Per utilizzare un exploit kit i criminali caricano del codice su un sito di cui hanno il controllo (quindi un sito legittimo che viene compromesso oppure un sito “trappola” appositamente creato allo scopo).
Questo codice è stato progettato per cercare e sfruttare le vulnerabilità che sono presenti nel browser o in altri software presenti che sono in esecuzione sulla macchina della potenziale vittima (per esempio Flash Player di Adobe).
Se la vulnerabilità è presente l’exploit kit la può sfruttare per scaricare il ransomware sulla macchina.