Ransomware: di cosa si tratta?

Transcript

1 Dal 2013 a oggi 1 Ransomware: di cosa si tratta? Il Ransomware è un tipo di virus informatico facente parte della famiglia dei malware (malicious software); In particolare si tratta di un software malevolo che limita l accesso al dispositivo che infetta, richiedendo un riscatto (ransom) da pagare per rimuovere la limitazione; Famoso esempio è il CryptoLocker comparso nel 2013, per arrivare a WannaCry e Petya nel ; Trasmesso sulla rete tramite contenente allegato nome_allegato.zip.exe 0.js; Ha ottenuto circa 3 mln di dollari dai riscatti! Infetta sistemi Windows (nessun commento) cifrando i dati della vittima (immagini, documenti, archivi); 2 1

2 Crittografia (scrittura nascosta) Tecnica di rappresentazione di un messaggio in una forma tale che l informazione in esso contenuta possa essere recepita solo dal destinatario; ciò si può ottenere con due diversi metodi: celando l esistenza stessa del messaggio o sottoponendo il testo del messaggio a trasformazioni che lo rendano incomprensibile. Essa ha trovato larga applicazione in campo militare, diplomatico e commerciale e il suo sviluppo è stato fortemente condizionato dall evoluzione delle tecnologie di comunicazione adottate inquesti campi. 3 Crittografia: cifratura e decifratura Messaggio in chiaro Ciao Pippo CIFRATURA DECIFRATURA { CHIAVE SEGRETA } Messaggio nascosto 1Ad56849Xdf 098 Crittografia simmetrica (algoritmo più utilizzato AES - Advanced Encryption Standard) 1 chiave privata per mittente e destinatario Con la stessa chiave effettuo cifratura e decifratura Crittografia asimmetrica (algoritmo più utilizzato RSA - Rivest, Shamir e Adleman) 1 chiave pubblica (cifrare) + 1 chiave privata (decifrare) 4 2

3 Ransomware dal 2013 a oggi 5 Ransomware: come agisce? L utente inconsapevolmente apre il famigerato allegato *.zip.exe e il ransomware inizia a cifrare tutti i file nel computer della vittima; Tramite accesso remoto dalla porta RDP (n. 3389); Vengono creati alcuni file testuali sul Desktop e viene visualizzato un messaggio che spiega cosa fare e quanto pagare per riavere i dati che dopo la cifratura risultano inutilizzabili; Al pagamento dovrebbe essere fornita una chiave per decifrare tutti i contenuti infettati, ma la percentuale di ricezione della chiave rispetto ai pagamenti effettuati è davvero bassa! 6 3

4 Ransomware: come si presenta? 7 Ransomware: WannaCry (maggio 2017, pc in 150 paesi) NotPetya (giugno 2017, pc in 100 paesi) SpriteCoin (gennaio 2018) Saturn, DataKeeper (febbraio 2018) Zenis (marzo 2018) Horros, GandCrab (aprile 2018) CryptON, StalinLocker (maggio 2018) N.B. L elenco sopra indica alcune delle versioni ransomware riconosciute dalle maggiori aziende che si occupano di Cyber Security, l elenco potrebbe estendersi ancora con decine di voci. 8 4

5 Ransomware & RSA + AES I ransomware per cifrare i files della vittima fanno uso dell algoritmo di crittografia asimmetrica RSA-1024, RSA-2048, RSA-4096 in combinazione con l AES-256. L utilizzo di più algoritmi di crittografia sugli stessi files rende ancora più difficoltoso andare a creare una panoramica per il decrypting, infatti anche le tecniche di analisi entropica (per captare l algoritmo utilizzato) portano ben pochi risultati. 9 Ransomware: il futuro? Sfortunatamente non esiste una formula universale per contrastare l aumento atteso delle infezioni ransomware per il Le varianti sono centinaia ed anche hacker alle prime armi possono lanciare i propri attacchi praticamente senza competenze tecniche tramite i RaaS (Ransomware asa Service). Occuparsi della formazione del personale, creare sistemi di backup isolati dalla rete, tenere i sistemi sempre aggiornati. 10 5

6 Il GDPR (General Data Protection Regulation) è il Regolamento Europeo sulla protezione dei dati. Un regolamento che si è reso necessario perché l evoluzione tecnologica degli ultimi anni ha permesso una maggiore tracciabilità dei dati a discapito, ancora una volta, della sicurezza del dato stesso. Regolamento (UE) 2016/ Il GDPR chiede praticamente all azienda: sicurezza dei dati sensibili; gestione dei dati e trattamento degli accessi; la possibilità di cancellazione e la gestione dei data breach (un incidente di sicurezza in cui dati sensibili, protetti o riservati, vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato). Ad oggi sono più di 6000 le aziende nel mondo che detengono i dati sensibili, un numero che aumenta con il passare dei giorni. Iniziare dalla protezione delle mail, considerata il maggior diffusore di malware (90%), è una modalità che aiuta ad andare verso l attuazione del GDPR e a garantire un protezione di base sui dati sensibili. 12 6

7 I cyber criminali, specie usando i malware di tipo ransomware, mettono in costante pericolo i dati degli utenti raccolti e utilizzati dalle varie imprese. Il GDPR prevede la responsabilità delle aziende stesse nel caso di alcune violazioni. Ovvero se non facciamo abbastanza per proteggere dagli hacker le informazioni dei nostri clienti un eventuale perdita di dati sarebbe anche una nostra responsabilità. Tra le varie eventualità comprese dal regolamento UE rientrano anche i ransomware. L impresa può essere considerata come colpevole, in parte, della perdita d informazioni se non si adottano efficienti misure per prevenire l ormai diffuso virus del riscatto. 13 Questo significa che una volta subito un attacco le aziende europee saranno costrette a fare rapporto non solo alle autorità ma dovranno anche informare i clienti. Con un danno evidente d immagine. Il regolamento obbliga qualsiasi impresa ad avvisare gli utenti in caso di qualsiasi attacco hacker subito ai propri sistemi. Ovviamente solo nel caso che il malware abbia messo in pericolo i dati dei clienti. Questi obblighi porteranno le aziende nel brevissimo periodo ad investire ancora di più sulla cybersecurity. Inoltre in caso di attacco ransomware le aziende dovranno preoccuparsi anche del recupero dei dati dei clienti. Anche perché oltre che rispettare quello che prevede il regolamento la maggior parte di queste informazioni sono fondamentali per la corretta produzione dell impresa. Insomma, come più volte sottolineato, eseguire dei backup costanti è il metodo migliore per salvaguardare i dati dei clienti e rispettare le norme previste dal regolamento generale sulla protezione dei dati voluto dall Unione Europea. 14 7