Un hacker ha preso il controllo di una rete di computer presso la San Francisco Municipal Transportation Agency a novembre. Il giorno dopo il Ringraziamento, riporta Popular Mechanics, i chioschi di biglietteria sulla metropolitana leggera di San Francisco sono andati offline mentre gli schermi delle agenzie mostravano: "Hai hackerato, TUTTI i dati sono crittografati. Contatta per chiave( [email protected] )ID:681,Invio." L'hacker a quell'indirizzo ha detto che la chiave di decrittazione costerebbe 100 bitcoin , o circa $ 73.000, consegnata entro martedì. E si scopre che la cosa più sorprendente di questo incidente è che non è mai successo prima.
È difficile ottenere numeri precisi sugli attacchi informatici, dal momento che si basano sul travestimento, ma i dati disponibili per il ransomware dipingono un quadro cupo. Uno studio del giugno 2016 della società di ricerca e sicurezza Malwarebytes di Osterman ha rilevato che il 47% delle imprese statunitensi - aziende, ospedali, scuole, agenzie governative - era stato infettato da ransomware almeno una volta nell'anno precedente. Tra gli intervistati del Regno Unito, il 12% è stato colpito almeno sei volte. A livello globale, il 37% delle organizzazioni ha pagato.
Gli utenti domestici potrebbero essere in condizioni ancora peggiori. Degli oltre 2,3 milioni di utenti dei prodotti di sicurezza Kaspersky Labs che hanno incontrato ransomware tra aprile 2015 e marzo 2016, quasi l' 87% era a casa. Non si sa quanti hanno pagato, ma con riscatti in media di poche centinaia di dollari e proventi di ransomware stimati in $ 209 milioni per i primi tre mesi del 2016, probabilmente erano pochi.
La cosa più grande nel malware
"Il ransomware è stato promosso da una delle tante tecniche utilizzate dagli aggressori a uno degli strumenti più efficaci nella loro cassetta degli attrezzi", scrive in un'e-mail Andrew Howard, chief technology officer di Kudelski Security . "Per me è alquanto sorprendente che fino ad ora ci siano voluti degli aggressori per sfruttare questo tipo di tecnica".
"Altri tipi di malware sono ancora comuni", scrive Howard, "ma mancano dei vantaggi finanziari del ransomware".
Gli attacchi sono straordinariamente semplici: un utente di computer si innamora di un'e-mail di phishing o si imbatte in una pagina Web danneggiata e viene scaricato un software dannoso. Crittografa (o blocca in altro modo l'accesso) ai file del computer e l'infezione si diffonde da quel computer a qualsiasi altro computer ad esso collegato. L'hacker si annuncia, fornisce un metodo di contatto e promette la chiave di decrittazione in cambio del pagamento, tipicamente in una "criptovaluta" digitale come Bitcoin o MoneyPak, che è più difficile da rintracciare rispetto ai contanti .
Il volume degli attacchi è sbalorditivo. La sicurezza interna degli Stati Uniti stima una media di 4.000 al giorno nel 2016, il 300% in più rispetto all'anno precedente.
Joe Opacki, vicepresidente della ricerca sulle minacce presso PhishLabs , afferma che il ransomware "ha trasformato il modo in cui i criminali informatici guadagnano".
"Invece di dover rubare dati e venderli o affittare botnet ad altri criminali informatici, il ransomware offre il pagamento diretto", scrive Opacki in un'e-mail. “Tu infetti un computer e la vittima ti paga. Nessun passaggio aggiuntivo, nessun intermediario che prende il loro taglio ..."
Questo non è un concetto nuovo. Le prime versioni dello schema risalgono al 1989 , quando gli hacker distribuivano il cavallo di Troia dell'AIDS tramite posta ordinaria tramite floppy disk infetti. Il programma, ritenuto parte di uno schema di estorsione globale, crittografava parte della directory principale di un PC.
Quel pioniere del malware è stato rapidamente sconfitto. Ma decenni hanno messo a punto sia i metodi di consegna che di crittografia.
Ransomware fatto bene
Nolen Scaife, studente di dottorato in sistemi informativi presso l'Università della Florida (UF) e assistente di ricerca presso il Florida Institute for Cybersecurity Research , afferma che il ransomware è un duro avversario.
"Difendersi da questo tipo di attacco è estremamente difficile e solo ora stiamo iniziando a vedere difese plausibili per il ransomware", scrive Scaife.
Gli attacchi ransomware "differiscono leggermente ogni volta che si verificano", spiega, rendendoli difficili da rilevare e disabilitare. A complicare ulteriormente le cose, l'attività ransomware in un sistema può assomigliare ad azioni legittime che un amministratore potrebbe eseguire.
Il team di Scaife presso UF ha sviluppato un programma di rilevamento del ransomware chiamato CryptoDrop , che "tenta di rilevare il processo di crittografia del ransomware e fermarlo". Meno dati può crittografare il malware, minore è il tempo impiegato per ripristinare i file dal backup.
Ma invertire la crittografia è una storia diversa. Secondo Scaife, un ransomware ben progettato può essere infrangibile.
"L'affidabilità di una buona crittografia eseguita correttamente e l'ascesa della criptovaluta hanno creato una tempesta perfetta per il ransomware", scrive Scaife in un'e-mail. "Quando il ransomware viene creato correttamente e se non ci sono backup dei [dati], l'unico modo per recuperare i file della vittima è pagare il riscatto".
L'Hollywood Presbyterian Medical Center di Los Angeles ha resistito per quasi due settimane prima di pagare 40 bitcoin (circa $ 17.000) per decrittare i suoi sistemi di comunicazione nel febbraio 2016. L'hacker non ha mai avuto accesso alle cartelle dei pazienti, riferisce Seung Lee di Newsweek, ma il personale stava compilando i moduli e aggiornare i record con carta e penna per 13 giorni.
In March, ransomware hit networks at three more U.S. hospitals and one in Ottawa, Ontario; and another Ontario hospital had its website hacked to infect its visitors with the malware.
Targeted Attacks
Hospitals are perfect victims, security expert Jérôme Segura told CBC News. "Their systems are out of date, they have a lot of confidential information and patient files. If those get locked up, they can't just ignore it."
Same with law enforcement. At least one of the five Maine police departments hit by ransomware in 2015 was running DOS, the chief told NBC.
Police departments are popular targets. And while the irony of the situation is lost on no one, police are as likely to pay as anyone else. A New Hampshire police chief who couldn't bear it got a bright idea: He paid the ransom, got the key, and cancelled payment; but when his department got hit again two days later he just forked over the 500 bucks.
A school district in South Carolina paid $8,500 in February 2016. The University of Calgary paid $16,000 in June, explaining it couldn't take risks with the “world-class research” stored on its networks. In November, a few weeks before the light-rail hack, an Indiana county paid $21,000 to regain access to systems at its police and fire departments, among other agencies.
Reports on the light-rail attack suggest an uncommon approach. It appears the ransomware was released from within the system. Opacki says the hacker seems to have exploited “a known vulnerability in Oracle's WebLogic software ... The attacker was likely scanning the internet for this sort of known vulnerability and came across SFMTA's system opportunistically.”
Once inside, the hacker introduced the ransomware.
“But most ransomware attacks don't happen this way,” Opacki writes. Usually, the vulnerability is in people, not software.
“It's Disheartening”
“As a general rule,” notes Opacki, “people overestimate their ability to spot a phishing scam.”
Indeed, a 2016 study found that 30 percent of people open phishing emails, and 13 percent of those then click on the attachment or link.
“Many people still think that phishing attacks are poorly designed spam emails rife with spelling issues and broken English. Then they try to open an ‘employee payroll' spreadsheet that they believe HR sent them by mistake,” Opacki writes.
Il phishing ha fatto molta strada da quando i principi nigeriani avevano bisogno del nostro aiuto con i loro soldi. Molte e-mail sono personalizzate, utilizzando dettagli reali sulle potenziali vittime, spesso ricavati dai post sui social media.
Nell'esperienza di Andrew Howard di Kudelski, “nelle organizzazioni più attente alla sicurezza ... dal 3 al 5 percento dei dipendenti viene ingannato anche dalle truffe di phishing meno concepite. I numeri di organizzazioni meno attente alla sicurezza, o con truffe più sofisticate, sono molto peggiori".
"È piuttosto scoraggiante", aggiunge.
Tuttavia, l'incredibile aumento degli attacchi ransomware negli ultimi anni ha meno a che fare con la credulità, o anche con un'ottima progettazione di malware, che con la facilità. Gestire una truffa ransomware è complesso quanto rapinare qualcuno per strada, ma molto meno rischioso.
Hacking per idioti
Non c'è molta abilità coinvolta nel ransomware, secondo Nolen Scaife. Il software non è così sofisticato. Gli hacker possono crearlo rapidamente e distribuirlo con successo senza troppi sforzi.
Ancora più importante, tuttavia, gli hacker non devono creare il ransomware per implementarlo. Non devono nemmeno sapere come crearlo.
La maggior parte delle persone che eseguono truffe di ransomware hanno acquistato il software nel mondo sotterraneo di Internet noto come dark web , dove gli sviluppatori di ransomware vendono innumerevoli varianti in vasti mercati di malware. Si presenta come app all-in-one, spesso complete di servizio clienti e supporto tecnico per aiutare le truffe a funzionare senza intoppi.
"Supporto e servizio", scrive Dan Turkel su Business Insider, "sono particolarmente importanti per i venditori il cui mercato è composto da hacker relativamente inesperti che potrebbero aver bisogno di un certo grado di assistenza",
Alcuni prodotti sono dotati di garanzie di rimborso, scrive Turkel. Molti offrono servizi di chiamata o e-mail che accompagnano le vittime sconfitte attraverso il pagamento e la decrittazione, in modo che l'hacker non debba occuparsene. Almeno una famiglia di ransomware fornisce questo "servizio clienti" tramite chat dal vivo.
Il mercato dei ransomware è così solido che gli sviluppatori stanno assumendo distributori per vendere i loro prodotti.
Niente di tutto ciò fa ben sperare per chi non gestisce la truffa. Secondo ogni esperto di sicurezza informatica ovunque, dovremmo tutti eseguire il backup delle nostre cose. Senza backup, pagare il riscatto potrebbe essere l'unica scelta se vogliamo rivedere i nostri dati.
E anche allora, potremmo non essere ancora riuniti ai nostri dati. Uno studio di Trend Micro ha rilevato che il 20% delle aziende britanniche che hanno pagato riscatti nel 2016 non hanno mai ricevuto una chiave.
L'ufficio di transito di San Francisco non ha pagato nulla. Un portavoce ha detto a Fortune che l'agenzia non l'ha mai presa in considerazione. I sistemi sono stati ripristinati dai backup, con la maggior parte di nuovo online entro due giorni. Nel frattempo, i San francescani hanno preso gratuitamente la metropolitana leggera.
Due giorni dopo, gli hacker hanno violato l'account di posta elettronica dell'hacker della metropolitana leggera, rivelando circa $ 100.000 in pagamenti di ransomware da agosto.
Ora è conveniente
Alcuni hacker ransomware accettano buoni regalo Amazon.
