Indice dell'articolo
Ransomware e altri malware
Ransomware, Trojan, Worm, Virus e RootKit
I Worm (letteralmente “verme”) è una particolare categoria di malware in grado di autoreplicarsi, sono tra i più dannosi soprattutto per i computer collegati in rete LAN (aziendale o meno). Di solito fanno uso di falle di sicurezza note per intrufolarsi all’interno di ogni computer allacciato in LAN senza l’intervento degli utenti. Possono potenzialmente distruggere tutti i computer della rete interna in pochi minuti. La principale differenza tra i Virus e i Worm è che questi ultimi si replicano usando i protocolli di rete e le sue falle note, garantendosi un’autonomia invidiabile (fanno tutto da soli, si replicano ed infettano senza alcuna interazione da parte degli utenti), mentre i Virus possono diffondersi solo attraverso mezzi fisici o virtuali ben indirizzati come supporti rimovibili (pen-drive/chiavette usb, cd, floppy disk) o e-mail e richiedono in ogni caso un minimo d’interazione da parte degli utenti (devono essere eseguiti e avviati).
La maggior parte dei worm, così come i virus, contiene una parte detta payload, che ha il solo scopo di causare danni al sistema infettato. Molto di frequente un worm funge da veicolo per l’installazione automatica sul maggior numero di macchine di altri malware. In sostanza sono molto simili tra loro, ma un worm ha un livello di replicazione molto più alto e spesso e spesso arreca danno senza nemmeno essere avviato moltiplicandosi all’infinito in un solo pc ed intasando il disco rigido e la rete.
Ransomware
Questa variante di trojan è molto pericolosa ed è responsabile della perdita di numerosi miliardi di dollari in tutto il globo, con tantissimi file personali cancellati e criptati per sempre! Una vera e propria piaga sociale, a detta di molti analisti. Il suo funzionamento è tutto sommato semplice ma letale: una volta avviato blocca completamente l’attività desktop del pc (mouse, tastiera, e programmi completamente inutilizzabili) e al suo posto mostra una schermata d’avviso a schermo intero (non rimovibile) con finte minacce da parte delle autorità competenti (polizia postale, guardia di finanza o un presunto avvocato; in rari casi è lo stesso creatore che si fa gioco degli utenti).
Il Ransomware obbliga l’utente a versare una somma di denaro per poter accedere al codice di sblocco, utile a far sparire il malware e a far tornare il pc funzionante. I più pericolosi installano oltre alla schermata, un virus in grado di criptare tutti i file che scova sul disco rigido, in un processo lento ma inesorabilmente letale per i nostri file personali. Ci ritroveremo dopo pochissimo tempo con i nostri file completamente inutilizzabili e sbloccabili solo previo pagamento agli autori; non è un caso che questi malware vengano anche soprannominati “virus dei riscatti”.
Le cifre che comporta l’attacco di un ransomware
Secondo il portale ZDnet, per esempio, tra i mesi di ottobre e dicembre 2013 in Ransomware CryptoLocker portò nelle tasche dei propri creatori circa 27 milioni di dollari. Estorcendoli del portafogli di milioni di vittime in tutto il mondo, a colpi di poche centinaia di dollari alla volta. Pochi anni prima, nell’estate del 2010, il Ransomware WinLock colpì una vasta fetta di utenti sparsi per la Russia e alcuni paesi confinanti facendo intascare ai suoi creatori oltre 16 milioni di dollari in meno di due mesi. Nell’autunno 2014, invece, CryptoWall, ennesimo Ransomware derivato da CryptoLocker, riuscì ad estorcere in tre mesi circa 18 milioni di dollari dalle tasche delle malcapitate vittime. Secondo le stime dell’FBI, il solo CryptoWall arrivò a fruttare oltre 325 milioni di dollari in tutto il mondo. Nel maggio dell’anno scorso il criptovirus WannaCry ha infettato i sistemi informatici di decine di migliaia di aziende e organizzazioni in tutto il mondo, tra cui l’Università degli Studi di Milano-Bicocca. Testate giornalistiche straniere parlano di ospedali ed enti pubblici colpiti, totalmente bloccati e resi inagibili da questo malware. Il guadagno complessivo si aggirerebbe intorno agli 8 miliardi di dollari in base a quanto dice Cyence.
Trojan Horse
I Trojan o trojan horse (in italiano cavallo di Troia) nasconde il suo funzionamento all’interno di un altro programma apparentemente utile e innocuo. Sempre più spesso i trojan horse costituiscono la prima fase di un attacco e il loro scopo principale è di scaricare e installare in modo invisibile all’utente, una minaccia più potente, come un bot, una rete controllata e composta da dispositivi infettati. Diversamente da virus e worm, i trojan horse non si diffondono autonomamente.
Vengono spesso distribuiti alle vittime con un messaggio di e-mail che sembra contenere un’immagine o una barzelletta o trasmessi tramite un sito web nocivo, che installa il trojan horse su un computer sfruttando le vulnerabilità presenti nel browser web, quale microsoft internet explorer. Una volta installato, il trojan horse si nasconde nel computer infetto compiendo in modo invisibile le sue azioni nocive, quali i download di spyware, mentre la vittima prosegue le normali attività. Tra i trojan più pericolosi va citato “Zeus” (o Zbots).
RootKit
Un RootKit è un “kit” che consiste in piccoli e potentissimi programmi che consentono ad un attaccante di ottenere l’accesso come amministratore, ovvero come utente che possiede i massimi privilegi, in un pc vittima (utente “root”). In sintesi, un rootkit è un set di programmi e codici che permettono ad un attaccnte di violare un computer vittima in modo “non rilevabile”. La maggior parte della tecnologia e dei trucchi impiegati da un rootkit, è progettata per nascondere codice e dati sul sistema. Per esempio, un rootkit potrebbe nascondere files e directory di virus e trojan, oppure potrebbe nascondere dati spiati di nascosto dalla rete (di solito password, dati dell’utente vittima).
I rootkit non sono sempre usati in modo dannoso. Se per esempio andiamo a vedere come funziona “dietro le quinte” un antivirus, o meglio ancora un firewall, scopriremo che molte delle tecnologie utilizzate sono tali e quali a quelle utilizzate dai rootkits. La polizia e molti organi di legge pagano profumatamente i programmatori specialisti in sicurezza informatica per sviluppare rootkit capaci di svolgere operazioni di spionaggio.