Ransomware attacca la pubblica amministrazione

• Crittografia
• Ransomware

La notizia è iniziata a circolare questa mattina: numerosi enti italiani hanno in questi giorni subìto un massiccio attacco informatico che ha portato alla sottrazione di informazioni personali e al danneggiamento di importanti documenti amministrativi.

A comunicarlo sono stati Paolo Dal Checco e Giuseppe Dezzani, fondatori dello studio associato DiFoB di Grugliasco (Torino), specializzato nell’analisi forense. “Da mercoledì 15 ottobre stiamo monitorando un massiccio attacco informatico a reti di enti italiani; riceviamo chiamate da Sindaci e Uffici Tecnici di svariati Comuni di tutta Italia ed Enti in generale che – conoscendo la nostra esperienza nell’ambito delle indagini digitali – chiedono supporto per risolvere un problema: all’improvviso, buona parte dei documenti presenti nella rete e sui PC sono diventati illeggibili“, spiegano gli esperti di DiFoB.

L’aggressione alle pubbliche amministrazioni italiane è iniziata con la diffusione, via e-mail, di messaggi apparentemente provenienti da dipendenti o da aziende che collaborano con gli stessi enti. Interamente redatti in lingua italiana, le e-mail fanno riferimento a presunti ordini, a fatture di acquisto o ad ordini da saldare.
Il cliché è il solito: mettendo in piedi una pesante campagna phishing ed inviando centinaia di messaggi di posta fasulli ad altrettanti enti, gli aggressori hanno di nuovo provato a far leva sulle scarse cautele dei dipendenti e dei responsabili d’azienda.

Tutti i messaggi invitavano il destinatario a fare riferimento al file allegato, un archivio Zip contenente al suo interno un falso documento PDF. Presentato come PDF, infatti, tale file era in realtà un vero e proprio eseguibile contenente codice malware.

Come si spiega nel documento pubblicato da DiFoB, il file contenente il malware veniva ad esempio chiamato Compenso.Pdf______________________________________________________________.exe (si noti la lunga serie di caratteri “_” o underscore).
Ricordiamo, tra l’altro che Windows, neppure nelle versioni più recenti provvede di default a visualizzare l’estensione dei file contribuendo così a rendere meno immediato comprendere con che file si ha a che fare. Nell’articolo Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi abbiamo spiegato nel dettaglio il trucco della doppia estensione insieme con altri espedienti comunemente sfruttati da chi sviluppa e distribuisce malware.

Crittografati documenti e file contenenti dati sensibili, progetti e strumenti di lavoro

Il malware individuato da DiFoB su segnalazione dei vari enti è un vero e proprio ransomware che provvede a crittografare tutti i dati personali memorizzati sul disco fisso impedendone l’apertura ed il recupero.
L’utente, legittimo proprietario dei file cifrati, insomma, non riesce più a mettervi mano in quanto crittografati utilizzando una chiave sconosciuta ed un algoritmo “forte”.
Gli autori del ransomware, poi, chiedono come riscatto (ransom in inglese significa appunto “riscatto”) una somma pari a 400 euro; dopo tre giorni di tempo, i criminali informatici tentano di estorcere ben 800 euro. Dopo il versamento della somma, viene promessa la fornitura di un software utilizzabile per decodificare i file precedentemente crittografati.

Non è Cryptolocker e nemmeno TorrentLocker

Da DiFoB si fa presente che gli strumenti utilizzati per recuperare i file crittograti dai noti ransomware Cryptolocker e TorrentLocker (una sorta di “variante” diffusasi nel corso dell’estate) non funzionano nel caso dell’incidente lamentato da diverse PA tricolore.
Non c’è nessun Decrypt Cryptolocker (Decodificare i file bloccati da Cryptolocker: ecco il tool pronto per l’uso) né alcun Torrent Unlocker, quindi, che permetta di risolvere la situazione.

I file crittografati dal ransomware che ha aggredito in questi giorni alcuni enti del nostro Paese non sono quindi, almeno allo stato attuale, recuperabili.

Marco Giuliani: impossibile usare “Versioni precedenti”. Ecco la lista dei file crittografati dal ransomware

In passato abbiamo presentato come possibile soluzione anche l’utilizzo della funzionalità “Versioni precedenti” di Windows (Windows 7: a spasso nel tempo con la funzionalità “Versioni precedenti”; Recuperare file in Windows 8.1 e ripristinare le versioni precedenti con Cronologia file).

Tale strumento, infatti, consente di recuperare il contenuto di intere cartelle e, quindi, di ripristinare le versioni precedenti dei file conservati sul disco fisso.

Purtroppo, nel caso del malware che ha preso di mira la PA, il “giochino” non funziona: Marco Giuliani, CEO della società di sicurezza informatica italiana Saferbytes, ha spiegato che il ransomware provvede a cancellare tutte le precedenti versioni dei file (cosiddette shadow copies automaticamente create da Windows).

L’analisi del ransomware, infatti, ha evidenziato come questo esegua il comando vssadmin.exe Delete Shadows /All /Quiet.

Giuliani ha poi potuto estrarre l’elenco completo delle tipologie di file che vengono crittografate dal ransomware una volta avvenuta l’infezione. Ecco la lista delle estensioni prese di mira:

docx, docm, dotx, dotm, xlsx, xlsm, xltx, xltm, xlsb, xlam, pptx, pptm, potx, potm, ppam, ppsx, ppsm, sldx, sldm, accdb, accde, accdt, accdr, djvu, ibank, moneywell, backup, backupdb, db-journal, erbsql, kdbx, kpdx, psafe3, s3db, sas7bdat, sqlite, sqlite3, sqlitedb, jpeg, craw, gray, grey, ycbcra, agd1, cdr3, cdr4, cdr5, cdr6, cdrw, ddoc, ddrw, design, blend, incpas

.

Il CEO di Saferbytes ha poi evidenziato come il ransomware, con il preciso obiettivo di diffondersi ulteriormente, sottragga il contenuto della rubrica di programmi come Outlook Express, Thunderbird e SeaMonkey.

L’approccio basato sulle firme virali ha fallito di nuovo

Impossibile pensare di difendere sistemi di una pubblica amministrazione o di un’azienda con i software antivirus ed antimalware tradizionali, installati sui singoli client e che utilizzano il classico approccio basato sull’impiego delle firme virali.
Praticamente la totalità dei motori antivirus ed antimalware, infatti, a distanza di diverse ore dalla diffusione delle prime e-mail phishing, non riconoscevano come nocivi gli allegati dei messaggi di posta.

A parte quindi l’ovvio consiglio di effettuare sempre dei backup su risorse di rete adeguatamente protette, uno dei consigli migliori è quello di allestire un sistema di protezione che agisca a livello centralizzato, che sia basato sull’intelligenza collettiva, che permetta di impostare restrizioni adeguate a livello delle singole workstation e che sia capace di individuare e-mail ed allegati altrettanto sospetti.
Policy che impediscano l’avvio di programmi dalle directory temporanee di Windows (spesso utilizzate quando si apre un allegato di un messaggio di posta) e l’adozione di un’applicazione come HitmanPro.Alert possono aiutare a prevenire incidenti come quello denunciato in queste ore.

In ogni caso, massima attenzione dovrebbe essere sempre riposta dagli utenti nel momento in cui si decida di aprire un allegato od un file linkato nel testo del messaggio.