Aprire il computer collegato alla rete e scoprire che tutti i file del cloud sono stati criptati e sono inaccessibili o addirittura l’intero device è inaccessibile. Possibile se si è subìto un attacco ransomware, cioè un attacco fatto da un tipo di virus che sottrae il controllo del computer e rende i dati inaccessibili. Lo fa usando la crittografia, cioè un codice che può essere decifrato solo da chi possiede la chiave. L’hacker chiede un riscatto per ripristinare il normale funzionamento del sistema. E non è detto che, una volta effettuato il pagamento, effettivamente il malintenzionato sblocchi il computer. In questo articolo parleremo di DeadBolt e ech0raix, due ransomware che si stanno diffondendo e che provocano ingenti danni a chi si infetta.
Come si diffonde il virus ransomware
Generalmente a installare il virus è direttamente l’utente quando scarica file eseguibili o altri tipi di file dalla rete, attraverso mail di phishing o azioni di clickjacking. Una volta installato, il virus si impadronisce della macchina ed impedisce all’utente di utilizzare il computer o accedere ai propri dati. Per sbloccare la situazione, è richiesto il pagamento di un riscatto, in genere mediante criptovalute, come i Bitcoin.
Dopo che l’hacker ha creato il virus e lo ha immesso nella rete, esso si muove verso tutti i dispositivi, sotto forma di attacco mail con allegati che vengono aperti dall’utente per curiosità o preoccupazione, in quanto sembrano arrivare da fonti affidabili (banca, posta, comune, polizia) oppure attraverso clickjacking, cioè con il click del mouse su un oggetto visualizzato sullo schermo che in realtà reindirizza ad un altro punto della rete permettendo di aprire un varco che può far entrare il virus nel proprio computer. Se la rete o il computer sono protetti da un antivirus, queste azioni diventano più difficili ma non impossibili.
Anche nella rete più sicura, infatti, il punto debole è sempre il fattore umano, per cui in caso di computer e reti aziendali occorre formare adeguatamente o sensibilizzare il personale sui comportamenti da adottare quando ci si trova di fronte a mail sospette oppure per lavoro si deve comunque navigare in rete. E’ poi cosa buona e giusta fare il backup dei dati su unità esterne non collegate alla stessa rete, in modo da poter ignorare le richieste dell’hacker e permettere la riparazione del danno agli informatici.
La minaccia di ech0raix e DeadBolt
Nel variegato mondo dei ransomware, sono arrivati DeadBolt e ech0riax, come riportato da numerosi siti specialistici sull’argomento, che hanno preso di mira i NAS dell’azienda multinazionale con sede a Taiwan QNAP. Si è trattato di un attacco in grande stile, che potrebbe aver causato perdite di dati e danni in più di 300 mila dispositivi in tutto il mondo.
Facciamo però due passi indietro. Partiamo dal definire cosa è un NAS. La sigla non centra nulla con il nostro nucleo antisofisticazione dei carabinieri, ma sta per Network Attached Storage (NAS), cioè un dispositivo, collegato a una rete informatica, che fornisce all’utente il servizio di condivisione file tra più dispositivi connessi alla stessa rete. Questo dispositivo è formato al suo interno da diversi hard disk, singoli o multipli a seconda del modello e permette, ad esempio, la condivisione di documenti aziendali. O la possibilità per gli utenti di collegarsi su computer diversi sempre con il proprio profilo. QNAP è specializzata in soluzioni NAS commerciali per privati e aziende. I NAS, come molti dispositivi informatici, hanno differenti versioni, velocità e capacità di memoria, proprio perché sono diverse le esigenze delle varie imprese. Ebbene, tornando all’attacco hacker, migliaia di utenti di NAS QNAP si sono trovati l’accesso al dispositivo bloccato e una bella schermata che li invitava a inviare 0,03 Bitcoin (più o meno 1000 euro) a un indirizzo wallet (cioè un portafoglio elettronico) che si è scoperto essere diverso a seconda della vittima. Se si effettua il pagamento, l’hacker promette di inviare al wallet una chiave di decrittazione, invitando la vittima a seguire delle linee guida per poter decrittare i file. Ciò significa che una volta ottenuta la chiave, sarà possibile riavere di nuovo accesso ai file.
Una scelta rischiosa quella di pagare, innanzitutto perché non c’è alcuna garanzia che effettivamente gli hacker mantengano la promessa. Soprattutto potrebbero aver avuto il tempo di copiare i file, oppure grazie alla decrittazione, potrebbero aver accesso ai file e quindi a copie fraudolente. Può sembrare strano, ma se pensiamo che in alcune reti aziendali sono custoditi dati importanti e documenti riservati (come le bozze di un accordo di acquisizione tra due grandi multinazionali che viene mantenuta sotto stretto riserbo), a volte gli hacker potrebbero avere dei veri e propri tesori di informazioni in grado di danneggiare le aziende.
Come difendersi dagli attacchi ransomware
La prima difesa è data da dispositivi non connessi alla rete Internet, ma chiusi all’interno di una rete aziendale protetta da un firewall. Poiché tuttavia il fattore umano è il punto debole, bisogna evitare che i dipendenti, ad esempio, utilizzino chiavette usb proveniente dall’esterno per evitare che il virus si diffonda comunque, grazie ad una usb collegata ad uno dei computer. Non è così facile però, nell’era digitale, impedire l’accesso alla rete ai computer che a loro volta sono collegati ai Nas. Allora la stessa QNAP ha fornito informazioni su una pagina ad hoc su come contrastare il fenomeno; anche perché almeno una volta al mese, la multinazionale cerca di fare aggiornamenti in funzione del fatto che più o meno nello stesso periodo esce una nuova variante ransomware o si scopre una vulnerabilità da correggere su questi prodotti. In ogni caso il consiglio è sempre di mantenere aggiornato l’antivirus, tenere attivo il firewall, evitare di scaricare materiale da Internet a meno che il sito non sia più che affidabile, mai aprire mail di cui non si conosce il mittente e soprattutto allegati che non ci si aspettava di ricevere. Sbagliato anche scaricare sul proprio pc tali allegati, pensando che aprirli non direttamente dalla mail possa evitare al virus di diffondersi.
