Un anno di ransomware tra mitologia e redenzione

L’evoluzione dei ransomware nel 2016 ha evidenziato un notevole incremento delle minacce con “prodotti” perfetti, cioè indecifrabili, e il rilascio di una seconda generazione di crypto-malware ancora più temibili

Il 2016 ha evidenziato in modo inconfutabile come i ransomware sono da considerarsi la minaccia primaria per la sicurezza dei nostri preziosi dati. Il 2016 ha incoronato come piaga dell’anno i crypto-malware, dove si è riscontrato una vera e propria esplosione nello sviluppo di nuovi ransomware e non sono mancati i colpi di scena. A metà gennaio viene rilasciata la versione 3.0 di TeslaCrypt, che verrà ricordato per il lunedì nero del primo febbraio 2016, dove si toccò l’apice dell’attacco da parte di questa famiglia di crypto-malware. Tra il 30 e il 31 gennaio 2016 vi fu una massiva campagna di email infette da TeslaCrypt, con l’invio di oltre 45 milioni di messaggi infetti da 4000 account SMTP compromessi. L’attacco del TeslaCrypt proseguì per tutto il mese di febbraio, portandolo al primo posto nella classifica dei crypto-malware più diffusi del 2016.

La versione 3.0 di TeslaCrypt risultò essere il crypto-malware più letale perché era indecifrabile, il ransomware perfetto. Sempre a febbraio, viene rilasciato un nuovo ransomware chiamato Locky, che diverrà nei mesi successivi lo spauracchio degli istituti ospedalieri americani e non solo. A marzo nuovi ransomware spuntano come funghi: Cerber, Rokku, CryptoXXX, Petya e la versione 4.0 di TeslaCrypt. Perché gli autori del TeslaCrypt hanno rilasciato la versione 4 se la 3 era inattaccabile? Si presume che l’intenzione degli autori del TeslaCrypt era di vendere la versione 4 al mercato nero. Molto scalpore a marzo fece Petya, trattasi di un ransomware 2.0 per le sue particolari tecniche innovative, poiché cifra la Master File Table di ogni disco e non i file di dati, rendendo impossibile l’accesso alle unità, visualizzando un terrificante teschio della morte. Sempre a marzo troviamo Cerber, un ransomware parlante avente per motto “Quod me non necat me fortiorem facit” (“ciò che non mi uccide, mi rende più forte”). Ad aprile, troviamo il malware Maktub che, per il suo layout molto ricercato graficamente, potremmo definirlo un ransomware “artistico”. A maggio, avviene il colpo di scena del 2016, gli autori di TeslaCrypt decidono di rilasciare pubblicamente la chiave privata “Master Key” di cifratura, che permette di decifrare qualsiasi variante di questo ransomware. I motivi del rilascio della Master Key a tutt’oggi rimangono sconosciuti. Sempre a maggio viene rilasciato Petya 2, il quale incorpora anche il ransomware Mischa che cifra file di dati nelle modalità consuete. In questo mese troviamo i primi ransomware della famiglia CrySis, come Saraswati.

A giugno si diffondono Satana e Locky si trasforma in Zepto. A luglio viene rilasciato Petya 3, e CryptoXXX si trasforma in CryptoPPP. Ad agosto, vengono rilasciati Cerber 2 e 3, seguiti da ransomware ispirati a Mr. Robot come FSociety e a PokemonGo. A settembre arriva la versione Odin di Locky, e fa la sua comparsa il ransomware HDDCryptor che segue le orme di Petya, andando a cifrare il contenuto del disco attraverso un tool open source. A ottobre, arrivano dall’Egitto il ransomware Anubis, la versione 4 di Cerber e 2 nuove versioni di Locky (Sh*it e Thor). A novembre troviamo Dharma della famiglia CrySis, Cerber 5 e CryptoShade. A dicembre, continua lo sviluppo incessante di Locky con la variante Osiris. È stato un 2016 dove l’autore del TeslaCrypt ha raggiunto l’apice per poi redimersi e altri si sono ispirati alla mitologia per le proprie creazioni. Le aspettative per il 2017, viste le tendenze del primo bimestre, non sembrano prevedere una riduzione degli attacchi. Per difendersi è necessario utilizzare sistemi antivirus che integrino tecnologie anti-ransomware in grado di mitigare la cifratura nella fase iniziale dell’attacco in abbinata a sistemi di backup avanzati. E queste sono necessità imprescindibili per qualsiasi utente sia business sia consumer.

Leggi anche:  ESET collega alcune backdoor su SQL Server agli hacker cinesi APT

Gianfranco Tonello, docente CLUSIT