Ransomware Certificati
Articolo pubblicato su "Il Quotidiano del Molise" del 13-03-2017
Articolo pubblicato su "www.isernianews.it" il 11-03-2017
(Ricatti via Posta Elettronica Certificata)
Le nuove scorribande della pirateria informatica non risparmiano la Posta Elettronica Certificata.
Su Internet esiste una particolare criminalità organizzata che è molto interessata ai nostri dati personali. Le informazioni più sensibili e riservate (come, ad esempio, il codice segreto di una carta di credito) costituiscono una fonte sicura di guadagno per questi delinquenti. Per rubarle vengono utilizzati software malevoli di ogni tipo; programmi capaci di penetrare in un sistema digitale e di spiare ogni attività che l’utente vi svolge. Tra gli strumenti utilizzati dai cyber criminali, ci sono i c.d. “Ransomware”: virus informatici in grado di rendere illeggibili (e, di conseguenza, inutilizzabili) i file che infettano.
Un tempo, i virus si limitavano a rallentare un computer, a farlo “impazzire” o, nei casi più gravi, a cancellarne i dati memorizzati. Oggi, invece, ne è stato scoperto un nuovo modo di impiego: trasformati in vettori di algoritmi crittografici vengono utilizzati per portare a termine vere e proprie estorsioni telematiche. La maggior parte del malware moderno non distrugge più i dati (o, almeno, non lo fa subito), ma è, invece, programmato per “prende in ostaggio” le informazioni memorizzate in un computer e per estorcere denaro in cambio della loro “liberazione”. I primi Ransomware sono stati diffusi soprattutto attraverso l’invio di e-mail fasulle. Successivamente, sono stati sfruttati canali diversi e, in modo particolare, i social network come Facebook. Infine, considerata l’enorme diffusione di dispositivi digitali mobili, sono stati recentemente creati dei Ransomware specifici per Smartphone.
A questa inarrestabile “epidemia” sono rimasti immuni, fino ad aggi, solo i circuiti di Firma Digitale e di Posta Elettronica Certificata. Ma la situazione è (purtroppo!) radicalmente cambiata: da alcune settimane, infatti, si sta intensificando la diffusione di virus Ransomware proprio attraverso messaggi di P.E.C.! Si tratta di messaggi che provengono da indirizzi particolari (“531608465@legalmail.it”, “409018@legalmail.it”, “posta-certificata@legalmail.it” e “posta-certificata@sicurezzapostale.it.”) e che hanno, come oggetto, l’invio di una fattura numerata. I messaggi sono accompagnati da un allegato compresso (un file .zip o .rar) contenente un file in “javascript”, che ha al suo interno un “dropper”, cioè la parte del Cryptovirus che si occupa di scaricare il Ransomware vero e proprio da siti esterni ed avviarlo sul computer della vittima. In molti casi, l’e-mail è regolarmente firmata con una Firma Digitale valida ed attiva. Il circuito P.E.C., pensato per garantire il contenuto e la data d’invio di un messaggio, non riesce ad individuare il Ransomware semplicemente perché esso non è fisicamente presente nell’allegato dell’e-mail! Il dropper, infatti, lo scarica in un secondo momento da un sito remoto!
Per quanto riguarda, invece, il codice virale del dropper, esso è “inglobato” in se stesso (o “embedded”) rendendo difficile la sua individuazione da parte degli antivirus. I dropper vengono usati per installare virus o per aprire “backdoor” su un sistema. In questo caso, esso contiene un “downloader” che gli permette di scaricare il pericolosissimo malware! Il Cryptovirus viene scaricato da un sito della rete anonima “Tor”; rete che viene utilizzata anche per raccogliere i proventi delle estorsioni. Si tratta di una variante del celebre “TorrentLocker”, denominata “Crypt0L0cker” – con il carattere zero al posto delle “o” – un Trojan osservato per la prima volta nel febbraio 2014 e in grado di criptare i file della vittima con blocchi simmetrici di cifratura di tipo “AES”. L’uso della P.E.C. come veicolo di diffusione è l’ennesimo esempio di come i cyber criminali cerchino sempre nuove soluzioni tecniche per veicolare minacce di questo tipo.
Le vittime sono più facilmente indotte a scaricare ed eseguire gli allegati “cullati” dalla (presunta) maggiore sicurezza offerta loro dalla Posta Elettronica Certificata. È bene, allora, mantenere alta la guardia anche in siffatte comunicazioni, diffidando di e-mail inviate da sconosciuti e che contengono, come allegati, archivi compressi. Consigliamo, inoltre, di tenere sempre visualizzati i nomi delle estensioni, per evitare di aprire fatture dalla “natura” fortemente sospetta.
I-Forensics Team
VISUALIZZA l'articolo sul "Il Quotidiano del Molise" <- - - - - - - > VISUALIZZA l'articolo su "IserniaNews