Da alcune settimane stiamo assistendo a una vera e propria ondata mondiale di attacchi ransomware. La caratteristica di questi malware è che criptano i dati del computer - documenti .word, tabelle excel, fotografie, file .pdf -, cambiandone l'estensione e rendendoli impossibili da riaprire, quindi inutilizzabili. I malcapitati si ritrovano nella posta elettronica, sul desktop o nel Dropbox un messaggio che intima loro di pagare un riscatto (ransom, appunto) in bitcoin - criptomoneta usata per gli acquisti online di cui risulta impossibile seguire le tracce - per ottenere lo sblocco dei propri file. In alternativa, ma più "salato", è il pagamento del dissequestro tramite PayPal. Attenzione, però, assecondare le richieste economiche non assicura il recupero dei propri file. In molti casi, infatti, dopo aver acchiappato il "malloppo" i criminali si dileguano.

Tra gennaio e marzo di quest'anno, diverse varianti di ransomware - Cryptolocker, KeRanger, Locky, TeslaCrypt, Petya e SamSam - hanno fatto milioni di vittime nel mondo, dalla parrucchiera ai grandi network televisivi come la BBC.
Il ransomware ultimamente più diffuso è TeslaCrypt, di cui sono note diverse varianti. Solitamente si propaga attraverso un messaggio di posta elettronica, sotto forma di una falsa comunicazione proveniente da contatti conosciuti che invita ad aprire un allegato fasullo (in genere un file compresso .zip), tipo un documento di trasporto, una fattura o un bollettino. Aprendo l'allegato si esegue il ransomware, che immediatamente codifica tutti i file. La versione più recente, la 3.0, non ha ancora rivelato debolezze intrinseche, tanto che al momento risulta impossibile recuperare i file infettati.

Una delle novità delle ultime settimane è che una variante di Cryptolocker ha dimostrato di riuscire a infettare anche PC e notebook a cuore Mac OS X, sfruttando un cavallo di Troia (trojan) che entra nel computer con il quale incidentalmente si naviga su una pagina Internet infetta. Lo stesso sistema operativo è anche vulnerabile al ransomware KeRanger, che si propaga attraverso il software di trasferimento file peer-to-peer BitTorrent.

Particolarmente allarmante per l'utenza aziendale è la scoperta, resa pubblica in questi giorni, che i criminali del Web sono riusciti a inoculare il virus in un computer Windows sfruttando le connessioni non adeguatamente protette e le vulnerabilità del Remote Desktop, una funzione degli OS che permette di gestire a distanza il notebook o il desktop.

Cosa fare?
Prevenire è possibile, specie se l'organizzazione si rivolge per abitudine a un fornitore di sicurezza gestita (MSS). Il Managed Security Service Provider (MSSP), infatti, pubblica periodicamente report sulle ultime minacce, che informano tempestivamente gli utenti sulle modalità di propagazione di virus e malware. Si tratta di documenti sempre aggiornati perché i SOC (Security Operation Center) hanno accesso a una casistica numerosa relativa agli incidenti denunciati, oltre ad essere in collegamento con altri centri di pari dignità nel mondo. Le informazioni sulle nuove minacce saranno, quindi, sempre puntuali. I MSSP, inoltre, dispongono di tecnologia aggiornata e personale qualificato per intervenire in tempo reale alla rimozione del malware, bonificando l'ambiente o gli ambienti compromessi.

In caso d'infezione, specie per un PC o un server collegato a una rete aziendale, la prima cosa da fare è spegnere tutti i computer, in modo da limitare la propagazione del malware, che agisce molto rapidamente. Evitate, poi, di riaccendere per verificare la situazione del vostro desktop o notebook perché ogni volta che la macchina viene riavviata il virus riprende ad agire aumentando il numero di file cifrati. Infine, staccate qualsiasi dispositivo - chiavette USB, hard disk esterni - collegato fisicamente al computer infettato.

Purtroppo, per le versioni più recenti dei virus non c'è alternativa se non quella di formattare il computer contagiato e dire addio ai propri file. Alcune aziende, però, offrono a pagamento - con un costo variabile dai 600 agli oltre mille euro - il servizio di ripristino dei file codificati tramite le versioni più vecchie dei ransomware noti. Sono disponibili anche alcuni software a pagamento con i quali si può tentare il ripristino da soli. La vita sarà più semplice per le organizzazioni che utilizzano servizi di backup nel cloud o servizi di sicurezza gestita. In questi casi, infatti, una volta "bonificati" i pc o i server infetti sarà possibile navigare nelle directory del Managed Security Service Provider e ripristinare con facilità i file compromessi.

30 marzo 2016