Nuovo ransomware in diffusione: cripta l'intero hard-disk con Diskcryptor
Il 12 Novembre si è verificata una interruzione del servizio che aveva interessato alcuni tribunali e altri enti della Pubblica Amministrazione. Un incidente piuttosto comune, che non ha sollevato troppa attenzione. Fino a quando Roberto Baldoni, Vicedirettore Generale responsabile del settore Cyber del DIS (Dipartimento delle Informazioni per la Sicurezza) non ha tracciato un bilancio ben diverso e allarmante dell'evento. L'attacco infatti ha preso di mira in maniera diretta un fornitore dei servizi di Posta Elettronica Certificata, la famosa PEC non limitandosi a provocare il blocco e quindi il down dei sistemi, ma sottraendo perfino le credenziali di accesso a oltre 500.000 caselle di posta.
Tra le vittime del cyber attacco si registrano soggetti "altamente sensibili": 98.000 account tra quelli violati appartengono a magistrati, militari e funzionari del Comitato Interministeriale per la sicurezza della Repubblica. Parliamo, per intendersi, di un organo che comprende i Ministeri della Giustizia, degli Interni, dell'Economia e dello Sviluppo Economico, la Presidenza del consiglio dei Ministri, della Difesa. i più colpiti sono comunque stati i tribunali, che hanno dovuto interrompere le proprie attività per il down dei sistemi di comunicazione dei vari distretti della Corte d'Appello disseminati nell'intero territorio nazionale.
Quali rischi?
Due fondamentalmente sono i rischi, piuttosto gravi, conseguenti a questo attacco. Il primo è ovviamente legato alla sicurezza nazionale: basti pensare a quante informazioni riservate e sensibili possono essere state riscontrate nelle caselle di posta violate. Il secondo invece è il furto di account: non è dato sapere infatti se i cyber criminali possano aver o meno usato gli account violati per inviare email impersonando pubblici ufficiali. Ultimo rischio, anche questo non da poco, è che le caselle di posta elettronica certificata che sono state violate possano essere rivendute.
L'attacco...
E' stato Baldoni stesso a fornire, in conferenza stampa, ulteriori dati riguardanti l'attacco. Ha riferito ad esempio che l'attacco pare provenire dall'Estero, che ha colpito un unico fornitore di servizi Pec e che non ha provocato ulteriori perdite di dati. 3000 sono stati però i domini coinvolti. Non ha invece voluto citare l'operatore coinvolto: è emerso successivamente che potrebbe trattarsi del centro dati Telecom di Pomezia. Stretto riserbo invece sul tipo di sistema operativo violato ne tanto meno sulle misure di sicurezza eluse/evase dai cyber criminali nel corso dell'attacco.
Infrastrutture sicure?
Il vero problema dell'intera questione è che l'episodio è stato definitivo allarmante dallo stesso DIS, dato che l'attacco ha interessato infrastrutture che erano considerate sicure. Il premier Conte è intervenuto in prima persona convocando una riunione tecnica del Comitato Interministeriale per la Sicurezza della Repubblica, che ha creato un gruppo ad hoc per studiare un piano di resilienza (ovvero la capacità dei servizi pubblici e privati di ripartire dopo un cyber attacco) per il paese. L'indicazione è anche quella di dotare di specifiche misure di sicurezza la Pubblica Amministrazione e gli operatori economici di servizi essenziali.
Cambiate le password!!
Il consiglio migliore per chiunque, ad oggi, sia in possesso di un account di Posta Elettronica Certificata e l'immediato cambio della password.
Cambiate le password!!
Il consiglio migliore per chiunque, ad oggi, sia in possesso di un account di Posta Elettronica Certificata e l'immediato cambio della password.
E' stato individuato un nuovo ransomware che installa DiskCryptor sul computer infetto, quindi riavvia il sistema. Al riavvio, le vittime visualizzano una nota di riscatto personalizzata che spiega che l'hard disk è stato criptato e che, per ottenere i file di nuovo in chiaro, occorre pagare un riscatto: seguono istruzioni su come effettuare il pagamento. DiskCyrptor è un programma per la criptazione che cripta l'intero disco, quindi visualizza un prompt agli utenti chiedendo una password per il reboot. Questo prompt di inserimento password viene visualizzato prima dell'avvio di Windows, quindi l'utente deve necessariamente inserire la password per decriptare il disco e avviare il normale processo di boot del sistema.
Individuato dal MalwareHunterteam, questo ransomware viene eseguito manualmente o richiamato tramite alcuni script, dato che richiede un argomento da passare al programma, da usare come password per DiskCryptor. Si sospetta che l'infezione sia diffusa manualmente, tramite hacking dei servizi di desktop remoto: ottenuto l'accesso al sistema tramite RDP, il ransomware viene installato manualmente.
Durante il processo di installazione, viene creato un file log su C:\Users\Public\myLog.txt: qui è possibile vedere l'andamento del processo di criptazione.
Una volta che l'intero drive è stato criptato, il computer viene riavviato e l'utente vittima visualizza la nota di riscatto: qui si trovano istruzioni per il pagamento e una email di contatto mcrypt2018@iandex.com. Nella schermata viene richiesta la password per il processo di decriptazione.
DiskCryptor è già stato usato da altri ransomware...
Non è la prima volta ch Diskcryptor viene usato con un ransomware. nel 2016 fu usato in una infezione ransomware chiamata HDDCryptor: anche in questyo caso era usata una nota di riscatto personalizzata che veniva mostrata all'utente al termine del processo di criptazione del disco. Non vi sono però legami evidenti tra l'infezione attuale e quella di HDDCryptor.
Nel Novembre del 2016 avviene invece il caso più grave e notorio: 2.122 computer, appartenenti ai sistemio della San Francisco Municipal Railway vengono colpiti dal ransomware HDDCryptor. L'attacco causò lo shut down del sistema di pagamento dei biglietti e degli abbonamenti e costrinse l'azienda municipale a concedere l'uso gratuito dei trasporti cittadini per un intero fine settimana.
Come stare al sicuro dai ransomware
La regola d'oro contro i ransomware è che, se di dispone di un backup sicuro dei dati, i ransomware non provocano danni: in caso di emergenza è possibile recuperare e ripristinare i dati grazie al backup. Oltre a ciò, è molto importante assicurarsi che i servizi RDP siano correttamente chiusi: è un'ottima misura di sicurezza quella di assicurarsi che pc che eseguono servizi di desktop remoto non siano connessi direttamente ad Internet. Se è necessario eseguire il desktop remoto, l'opzione migliore è quella di dotarsi di una VPN, così i pc saranno accessibili solo a coloro che dispongono di account VPN sulla tua rete.
Ulteriori suggerimenti...
- Non aprire allegati provenienti da fonti sconosciute o sospette;
- esegui la scansione di allegati sospetti con tool come VirusTotal;
- assicurati di aver aggiornato tutti i software in uso all'ultimo update: questo consiglio vale per il sistema operativo, come per tutti gli altri programmi in uso sul computer, sopratutto Java, Flash e Adobe Reader. Programmi obsoleti o non aggiornati possono contenere falle di sicurezza sfruttabili da un attaccante come porta di accesso al tuo computer;
- installa un antivirus solido e capace di offrire protezione multi-livello. Prediligi soluzioni antivirus che prevedano appositi tool anti ransomware;
- se utilizzi i servizi di desktop remoto, non connetterli mai direttamente ad Internet. Rendili invece accessibili solo tramite VPN.
