Principali ransomware: come riconoscerli e difendersi.

Condividi

La protezione dei dati da attacchi informatici è essenziale per una serie di motivi diversi. Pensiamo per le aziende alle informazioni sensibili riguardanti dipendenti, clienti, dati finanziari, prodotti, piani aziendali e altro – come del resto i dati personali per le persone fisiche – che non ci si può assolutamente permettere di compromettere o danneggiare. Oggi più che mai la mancanza di un’adeguata sicurezza informatica può renderci particolarmente vulnerabili a potenziali attacchi ransomware. Il vantaggio nel comprendere il comportamento degli utenti è che ricercatori e professionisti della sicurezza possono applicare questa conoscenza e formare gli utenti a vantaggio della sicurezza informatica.

 

Indice:  1. Introduzione  2. Macro-categorie  3. Esempi di ransomware più diffusi 4. Strategie di difesa  5. Conclusioni.

 

  1. Introduzione

Il “Cryptoware è riconosciuto come il tipo di malware più redditizio della storia e si stima che centinaia di milioni di dollari vengano estorti agli utenti ogni anno. (..) Circa il 40% degli obiettivi ha dichiarato di aver pagato il riscatto. Tuttavia, anche se l’organizzazione paga il riscatto, non vi è alcuna garanzia che recupererà i file”[1].

Ransomware è il nome di una classe di malware[2]: il nome è composto da due parole, ransom e malware, seguendo il modo in cui funzionano: sono malware che richiedono il pagamento a fronte di funzionalità rubate, dati/informazioni personali rubati o dati a cui l’accesso dell’utente è stato limitato. I primi ransomware si basavano sulla crittografia delle informazioni sul computer della vittima per chiedere il pagamento della chiave o del software per decifrare i dati[3]. Oggi, questi  malware si sono diversificati nel modo in cui estorcono denaro alla vittima. Si potrebbe sostenere che il ransomware è una semplice forma di ricatto che però viene utilizzata per estorsioni massive, essendo diffusa in modo ‘selvaggio’ nei confronti di molti utenti[4] e resa più efficiente dalla crescente popolarità e adozione delle criptovalute, che garantiscono l’anonimato delle transazioni.

 

  1. Macro-categorie di ransomware

2.1 Ransomware criptanti (‘Crypto’)

 

Questa classe di malware, una volta eseguita, cerca silenziosamente e cripta i file di valore sulla macchina della vittima. Dopo che il primo passo è completato, all’utente viene visualizzato un messaggio che chiede un riscatto in cambio dei file nascosti, fornendogli istruzioni dettagliate, a volte persino un numero di call center.

Dopo aver pagato il riscatto, la vittima riceverà o una chiave o un codice per la decrittazione dei file, o un file eseguibile che viene creato appositamente per decifrare i file sulla sua macchina. Esempi di tipici crypto- ransomware includono CryptoWall, CryptoLocker, WannaCry e Locky.

 

2.2 Ransomware bloccanti (‘Locker’)

 

Tipicamente, questi tipi di ransomware usano mezzi per bloccare la macchina di destinazione o bloccarne l’accesso e richiedono un riscatto o chiedendo un’azione all’utente che finisce per costare denaro per sbloccare la situazione.

Una volta che questi malware sono installati o eseguiti sulla macchina della vittima, alcuni tentano di visualizzare un messaggio di blocco sopra l’UI, mentre altri usano una forma di clickjacking[5] per indurre l’utente a permettergli privilegi più alti.

Per far pagare il riscatto agli utenti, alcuni di questi malware chiedono alle loro vittime un pagamento anticipato, mentre altri fanno affidamento sull’inganno (es. chiedendo all’utente di chiamare un numero di telefono ad alta tariffa e presentando la chiamata come gratuita). Esempi di tipici locker-ransomware includono Reveton e Winlocker.

 

  1. Esempi di ransomware più diffusi

 

Reveton[6]

Il ransomware Reveton ha iniziato ad apparire alla fine del 2012. Gli hacker hanno diffuso Reveton attraverso tre tattiche:

 

  • Pacchetti malware su siti Web non sicuri.
  • Campagne di posta elettronica di spam.
  • E-mail di phishing.

 

Una volta all’interno del computer, Reveton esegue la scansione del dispositivo per plug-in obsoleti o sfruttabili: se il sistema ha un punto debole, il programma blocca il dispositivo e impedisce all’utente di accedere al computer.

Reveton fa affidamento sulla c.d. ingegneria sociale per spingere le vittime a pagare il riscatto poiché gli aggressori spesso si fingono appartenenti alle forze di polizia e il messaggio di riscatto in genere dice che l’utente è stato coinvolto in attività illegali e ordina alla vittima di pagare una multa.

Il suo autore è stato arrestato nel 2013, ma sono ancora attive diverse varianti del programma e le ultime versioni installano malware che rubano la password che rimane all’interno del sistema dopo che la vittima ha pagato il riscatto.

 

CryptoLocker

La prima segnalazione è avvenuta nel settembre 2013. Questo Trojan[7] ha preso di mira i dispositivi che eseguono Microsoft Windows e si è diffuso tramite allegati di posta elettronica infetti e una botnet[8] Gameover ZeuS. Una volta attivato, esso crittografa i file su unità locali con crittografia a chiave pubblica RSA. CryptoLocker è stato il primo ransomware a crittografare i dati con una chiave simmetrica diversa per ogni file. Il programma è stato in grado di crittografare 70 formati di file.

Gli autori di CryptoLocker sono riusciti a estorcere circa $ 3 milioni in nove mesi. Nel maggio 2014, il Dipartimento di Giustizia degli Stati Uniti ha disabilitato la botnet Gameover ZeuS. Gli operatori hanno anche scoperto il database delle chiavi private di CryptoLocker, il che ha consentito alle vittime di recuperare i dati persi.

 

CryptoWall

CryptoWall è apparso per la prima volta all’inizio del 2014. Questo ransomware si diffonde tramite e-mail di phishing, kit di exploit[9] e annunci dannosi. Al momento dell’installazione, il programma:

 

  • Crittografa i dati.
  • Rimescola i nomi dei file per confondere la vittima.
  • Elimina i punti di ripristino del sistema.

 

Il server di comando e controllo memorizza le chiavi di decrittografia, quindi la decrittografia locale è impossibile.

Una caratteristica notevole di CryptoWall è che gli aggressori si offrono sempre di decrittografare un file gratuitamente, mentre il riscatto tipico è di $ 700 in Bitcoin, una commissione che raddoppia dopo una settimana se la vittima non cede alla richiesta.

 

TorrentLocker

TorrentLocker è un Trojan ransomware che ha iniziato a comparire nel 2014. TorrentLocker si è diffuso principalmente attraverso campagne di posta elettronica di spam. Fare clic sull’allegato in un’e-mail danneggiata ha due conseguenze:

 

  • Il file installa TorrentLocker sul dispositivo.
  • Il ransomware raccoglie i contatti e-mail locali e invia ulteriori e-mail di spam.

Una volta avviata l’infezione, TorrentLocker esegue la scansione del sistema per programmi e file prima di nascondere i contenuti tramite crittografia AES. Il programma elimina anche le copie shadow del volume di Windows per impedire il ripristino del sistema. Il riscatto è in genere di circa $ 500 in Bitcoin e la vittima ha tre giorni per pagare.

 

TeslaCrypt

TeslaCrypt era un Trojan ransomware rilasciato nel febbraio 2015 che prendeva di mira gli utilizzatori di videogiochi che utilizzavano computer Windows. Questo programma si era diffuso attraverso un exploit Adobe Flash di Angler.

Una volta all’interno del sistema, TeslaCrypt cerca i file di dati e li crittografa con la crittografia AES. TeslaCrypt ha preso di mira 185 tipi di dati in 40 diversi videogiochi, in particolare World of Warcraft e Minecraft. Dati di salvataggio crittografati da ransomware: profili dei giocatori, mappe personalizzate e mod di gioco[10]. Per decrittografare i file, la vittima ha dovuto pagare un riscatto di $ 500 in Bitcoin. Le versioni successive di TeslaCrypt hanno anche crittografato Word, PDF, JPEG e altre estensioni di file.

A maggio 2016, gli autori di TeslaCrypt hanno chiuso il ransomware rilasciando la chiave di decrittazione principale. Successivamente, ESET[11] ha sviluppato uno strumento di decrittografia gratuito con il quale le vittime potevano recuperare i dati crittografati.

 

SamSam (alias SamsamCrypt)

SamSam è apparso alla fine del 2015. Questo ransomware non si basa su alcuna forma di ingegneria sociale, ma si diffonde sfruttando le vulnerabilità del sistema nei server host JBoss[12]. Una volta all’interno del sistema, gli aggressori ottengono i diritti di amministratore ed eseguono un file eseguibile che crittografa i dati. La vittima non ha bisogno di aprire un allegato o un’applicazione infetta.

Nel tempo, SamSam si è evoluto e ha iniziato a sfruttare le vulnerabilità in:

 

  • Protocolli desktop remoto (RDP).
  • Server web basati su Java.
  • Server FTP (File Transfer Protocol).

 

SamSam ha estorto oltre $ 6 milioni e ha causato più di $ 30 milioni di danni. Le vittime ‘importanti’ di questo ransomware includono:

  • La città di Farmington nel New Mexico.
  • Contea di Davidson nella Carolina del Nord.
  • Il Dipartimento dei trasporti del Colorado.
  • L’infrastruttura di Atlanta.

Tuttavia, non si sono verificati arresti, né c’è mai stato un annuncio ufficiale sull’annullamento del programma.

 

Locky

I primi attacchi Locky sono avvenuti nel febbraio 2016 quando gli hacker hanno inviato circa mezzo milione di e-mail corrotte a indirizzi casuali.

Locky si diffonde tramite e-mail di phishing con allegati dannosi. Una strategia tipica consiste nell’inviare fatture false con un documento Microsoft Word infetto contenente macro dannose.

Se la vittima abilita le macro di Office all’interno del documento danneggiato, un file binario scarica un Trojan che crittografa tutti i file con una particolare estensione. Locky genera chiavi di decrittazione sul lato server, rendendo impossibile la decrittazione manuale.

Locky può crittografare oltre 160 tipi di file. L’obiettivo del programma è scegliere come target i tipi di file comuni nei team di sviluppo, ingegneria e QA. Dopo la crittografia, la vittima deve scaricare Tor e visitare un sito Dark Web per ulteriori informazioni. Un tipico riscatto varia tra 0,5 e 1 Bitcoin.

Una versione successiva di Locky ha iniziato a utilizzare un allegato JavaScript che viene eseguito automaticamente se l’utente apre il file.

 

Cerber

Cerber è emerso nel febbraio 2016 ed era un programma Ransomware-as-a-Service (RaaS)[13]. Terze parti potrebbero utilizzare Cerber per attaccare gli utenti e, in cambio, pagare ai proprietari una quota di affiliazione. Cerber ha preso di mira gli utenti di Office 365 basati su cloud con campagne di phishing. In genere, le vittime hanno ricevuto un’e-mail con un documento di Office. Se la vittima ha aperto il file, il ransomware ha crittografato silenziosamente i dati in background. La vittima ha quindi trovato una richiesta di riscatto in una cartella crittografata o come sfondo del desktop.

Alcuni numeri che collocano Cerber in prospettiva: nel luglio 2016, Cerber ha infettato più di 150.000 vittime tramite 161 campagne. Gli aggressori hanno rubato circa 2,3 milioni di dollari nel 2016. Al suo apice all’inizio del 2017, Cerber è stata la causa del 26% di tutti gli attacchi ransomware.

 

Petya

Petya, pubblicato per la prima volta nel marzo 2016, invece di crittografare i file, crittografa l’intero disco rigido. Petya si diffonde principalmente attraverso i dipartimenti delle risorse umane di aziende medio-grandi: gli aggressori in genere inviano domande di lavoro false con file PDF infetti o collegamenti Dropbox.

Un attacco inizia con un’infezione del record di avvio principale del computer (MBR)[14]. Petya sovrascrive quindi il bootloader di Windows e riavvia il sistema. All’avvio, il payload crittografa la tabella file master del file system NTFS. La vittima vede quindi una richiesta di riscatto che richiede il pagamento in Bitcoin.

Le organizzazioni prese di mira dal ransomware possono garantire la continuità aziendale e la disponibilità dei dati con ‘Disaster Recovery as a Service’[15].

Gli aggressori in genere combinano Petya con Mischa, un programma secondario che si attiva se Petya non si installa. Mischa crittografa i documenti dell’utente e i file eseguibili.

Man mano che le aziende miglioravano nel prevenire gli attacchi Petya, il programma si è evoluto in versioni più sofisticate chiamate NotPetya e GoldenEye.

 

KeRanger (noto anche come OSX.KeRanger.A)

KeRanger è apparso nel marzo 2016 ed è stato il primo ransomware a infettare i dispositivi Mac con OS X. KeRanger si è diffuso attraverso il file di installazione di Transmission, un client BitTorrent open source.

Una volta che una vittima scarica il programma di installazione infetto, KeRanger si installa silenziosamente sul sistema. Dopo tre giorni, KeRanger crittografa circa 300 diversi tipi di file nelle cartelle Utenti e Volumi. Il programma quindi scarica un file di testo che chiede alla vittima di pagare un Bitcoin.

Come CryptoWall, gli aggressori KeRanger spesso offrono di decrittografare un file gratuitamente. Gli autori affermano inoltre di avere addirittura un sistema di ticketing help desk per le domande delle vittime.

 

Puzzle (Jigsaw)

Jigsaw è apparso per la prima volta nell’aprile 2016. Questo ransomware elimina gradualmente i file ogni ora in cui la vittima si rifiuta di pagare il riscatto. Il nome iniziale di Jigsaw era BitcoinBlackmailer, ma il nome è cambiato dopo che gli aggressori hanno iniziato a utilizzare le immagini della serie di film Saw[16]. Il puzzle si diffonde attraverso un allegato dannoso nelle e-mail di spam. Una volta attivato, il programma crittografa tutti i file utente e l’MBR (record di avvio principale). Una schermata popup chiede quindi un riscatto e informa che la vittima ha un’ora per pagare o che il programma elimina un file casuale. Jigsaw continua a eliminare i dati per un massimo di 72 ore, dopodiché il programma elimina definitivamente tutti i file crittografati.

Jigsaw informa la vittima che qualsiasi tentativo di riavviare il computer o terminare il processo elimina istantaneamente 1.000 file casuali. Tuttavia, Jigsaw può essere decodificato per rimuovere la crittografia a causa dell’utilizzo di ‘.NET Framework’[17] da parte del programma.

Le ultime versioni di Jigsaw minacciano anche di esporre informazioni di identificazione personale (PII)[18], esercitando ulteriori pressioni sulla vittima affinché paghi il riscatto.

 

Dharma (noto anche come CrySIS)

Il ransomware Dharma è apparso per la prima volta nel 2016 ma è diventato un tema caldo a metà del 2019. Dharma prende di mira solo i sistemi Windows. Questo ransomware ha tre metodi di distribuzione:

 

  • E-mail di spam: le vittime ricevono un’e-mail contenente un allegato infetto con doppia estensione di file. Questi allegati vengono visualizzati come non eseguibili nelle impostazioni predefinite di Windows.
  • File di installazione danneggiati: il programma Dharma si pone come file di installazione per software legittimo.
  • Vulnerabilità RDP: gli aggressori prendono di mira una debolezza nel protocollo desktop remoto. Il processo richiede la forza bruta dell’RDP di Windows della vittima.

 

Una volta all’interno del sistema, Dharma crittografa tutti i tipi di file. Il programma elimina anche tutti i punti di ripristino di Windows.

 

ZCryptor

ZCryptor è un worm[19] ransomware del 2016 che crittografa i file e si diffonde automaticamente ad altri dispositivi nella rete. Esso infetta la vittima iniziale imitando un file di installazione di un normale programma o un file di Microsoft Office. Una volta all’interno della rete, il worm infetta le unità flash e esterne per distribuirsi ad altri computer nella rete.

Una volta che l’attacco si è diffuso a un numero sufficiente di dispositivi, ZCryptor crittografa i file e chiede un riscatto. Il riscatto iniziale parte da 1.2 Bitcoin ma cresce fino a 5 Bitcoin se la vittima non paga dopo quattro giorni.

ZCryptor può crittografare 80 diversi formati di file. I dati crittografati hanno un’estensione .zcrypt.

 

WannaCry

Il primo attacco WannaCry si è verificato a maggio 2017. Entro la fine dell’anno, WannaCry si è diffuso in 150 paesi e ha infettato circa 300.000 computer.

Questo worm ransomware prende di mira i computer con versioni obsolete di Microsoft Windows, sfruttando la vulnerabilità EternalBlue nel protocollo SMB. Una volta all’interno del sistema, WannaCry ha bloccato gli utenti e ha richiesto un pagamento. I riscatti andavano da $ 300 a $ 600 in Bitcoin.

Altri nomi per WannaCry sono WannaCrypt, WCry, Wana Decrypt0r 2.0, WannaCrypt0r 2.0 e Wanna Decryptor.

Gli esperti di sicurezza hanno trovato rapidamente un dominio kill switch[20] che ha chiuso WannaCry, dopo che è purtroppo riuscito a causare perdite per oltre 4 miliardi di dollari in tutto il mondo.

 

Bad Rabbit

Ha iniziato a diffondersi tramite attacchi drive-by nel 2017. Questi attacchi si verificano quando gli hacker sfruttano un sito Web insicuro per impostare una trappola ransomware. Quando un utente scarica un file normale, il sito Web invia anche il ransomware e infetta il dispositivo.

Bad Rabbit condivide molte somiglianze con WannaCry e Petya. Il programma crittografa le tabelle dei file della vittima e richiede un pagamento Bitcoin per fornire una chiave di decrittazione.

Viene installato tramite un falso aggiornamento di Adobe Flash. Sebbene l’aggiornamento fasullo abbia consentito a Bad Rabbit di diffondersi rapidamente, questa tattica ha consentito agli esperti di sicurezza di sviluppare un semplice metodo di prevenzione nell’ottobre 2017. Sebbene di breve durata, Bad Rabbit è riuscito a infettare diversi obiettivi di alto livello, come l’agenzia di stampa russa Interfax e il Ministero delle infrastrutture ucraino.

 

GandCrab

Il primo attacco GandCrab è avvenuto nel gennaio 2018. Questo ransomware ha preso di mira gli utenti di siti web con contenuti per adulti. GandCrab viola la webcam della vittima e minaccia di pubblicare filmati imbarazzanti a meno che il bersaglio non pagasse un riscatto.

GandCrab prende di mira solo i sistemi Microsoft Windows. Tutti i pagamenti erano sotto forma di una criptovaluta chiamata Dash e i riscatti erano compresi tra $ 600 e $ 600.000.

GandCrab è stata una delle minacce ransomware più attive nel 2018. I fornitori di cyber-sicurezza e la polizia hanno collaborato per sviluppare uno strumento di decrittazione per salvare i dati della vittima. Di conseguenza, il team dietro GandCrab ha poi annunciato di aver deciso di ritirare il ransomware.

 

Ryuk

Il ransomware Ryuk ha iniziato a diffondersi nell’agosto 2018. Un tipico attacco crittografa i file e le unità di rete prima di disabilitare l’opzione ‘Ripristino configurazione di sistema’ di Windows.

Il team che sta dietro a Ryuk, Wizard Spider, è noto per aver preso di mira le grandi imprese e chiesto riscatti elevati. Questo team con sede in Russia ha rubato circa 3,7 milioni di dollari da 52 transazioni grazie a Ryuk.

Un’infezione da Ryuk inizia con un’e-mail di spear-phishing[21] e una funzione di download basata su dati geografici. Una volta che Ryuk entra nella rete, un file di riscatto RyukReadMe.txt richiede il pagamento in Bitcoin. La richiesta di riscatto dipende dalle dimensioni dell’obiettivo.

 

Phobos

Phobos è apparso per la prima volta all’inizio del 2019. Questo ransomware condivide molte somiglianze con Dharma, quindi i due programmi hanno probabilmente lo stesso autore.

Phobos si affida a deboli connessioni RDP (Remote Desktop)[22] per infiltrarsi in una rete. L’hacking dei server RDP è un processo economico, che consente agli aggressori dietro Phobos di addebitare costi inferiori rispetto ad altri ransomware mirati alle aziende. La richiesta media di riscatto da un attacco Phobos è fra 18 e 19 mila dollari.

 

Netwalker

Il gruppo di crimini informatici Circus Spider ha creato Netwalker nel 2019. Ciò che distingue Netwalker è che gli aggressori fanno trapelare sempre un campione dei dati rubati prima di contattare la vittima. Se l’azienda decide di ignorare la richiesta di riscatto, il resto dei dati va al Dark Web.

Nel marzo 2020, Circus Spider ha iniziato a offrire Netwalker su base RaaS. Il passaggio a RaaS ha consentito agli aggressori di prendere di mira più organizzazioni e aumentare le dimensioni dei loro riscatti.

 

Sodinoki

Sodinoki è apparso per la prima volta nell’aprile 2019. Sodinoki (noto anche come Sodin e REvil) si rivolge principalmente ad aziende americane ed europee.  Questo ransomware ottiene l’accesso tramite attacchi di forza bruta, exploit del server o e-mail di phishing. Dopo aver aggirato il software antivirus, Sodinokibi scarica un file JavaScript .zip e crittografa i dati mentre si muove attraverso la rete.

Gli aggressori dietro Sodinokibi hanno esercitato pressioni sulle vittime raddoppiando il riscatto ogni pochi giorni. Questo ransomware viene reinstallato anche se il file .zip originale rimane nel sistema.

 

Maze

Il primo attacco noto di Maze ransomware è stato nel maggio 2019. Il piano di infezione iniziale si basava su e-mail di spam e kit di exploit, ma ora gli aggressori utilizzano varie tattiche e tecniche per analizzare le entrate e i punti deboli della vittima.

Una volta che Maze viola la rete, il programma si sposta lateralmente attraverso il sistema e distribuisce la crittografia dei file su tutte le unità. Maze crittografa i dati utilizzando gli algoritmi ChaCha20 e RSA.

Prima della crittografia, Maze esfiltra i dati. Se la vittima decide di ignorare la richiesta di riscatto, gli hacker minacciano di vendere o rilasciare i dati e causare un problema GDPR.

 

Snake

Snake, noto anche come Ekans, è apparso per la prima volta nel gennaio 2020. A differenza di altri ransomware destinati alle aziende, Snake si diffonde attraverso i sistemi di controllo industriale (ICS). Gli hacker dietro Snake utilizzano un’istanza RDP (Remote Desktop Protocol) esposta con password deboli per accedere e infettare un ambiente ICS. Una volta che il programma è all’interno del sistema, Snake crittografa i dati tramite un mix di crittografia simmetrica e asimmetrica.

Snake però non attacca i file o i programmi del sistema operativo. I computer infetti continuano ad avviarsi, ma Snake impedisce l’accesso ai dati di destinazione.

 

WastedLocker

WastedLocker ha iniziato a colpire le aziende nel maggio 2020. Famosi per le elevate richieste di riscatto, gli hacker che lo usano chiedono milioni di dollari per vittima.

WastedLocker è un esempio di ransomware mirato: ogni attacco ha un piano personalizzato per violare un’azienda specifica. I messaggi di riscatto si riferiscono sempre alla vittima per nome e tutti i file crittografati hanno l’estensione .garminwasted.

WastedLocker crittografa i dati con una combinazione di algoritmi AES e RSA. Ciò che distingue questo ransomware è che una singola chiave RSA pubblica crittografa i file, mentre la maggior parte degli altri programmi genera una chiave RSA pubblica univoca per ciascuna infezione.

 

 

  1. Strategie di difesa

 

Anche se le infezioni ransomware non sono completamente prevenibili a causa dell’efficacia delle email di phishing e dei drive-by download[23] da siti altrimenti legittimi, gli utenti possono ridurre drasticamente questo rischio implementando strategie di cyber sicurezza e migliorare sia la consapevolezza delle minacce che le pratiche di sicurezza[24]. La strategia più efficace per mitigare il rischio della perdita di dati derivante da un attacco ransomware riuscito è avere un processo completo di backup dei dati in atto.

Tuttavia, i backup devono essere conservati fuori dalla rete e la loro integrità deve essere testata regolarmente.

Una lista completa di raccomandazioni per ridurre il rischio posto dalle infezioni ransomware dovrebbe comprendere le seguenti attività:

 

4.1 Protezione dei dati

 

  • Backup fuori sede con controlli di coerenza regolari.
  • Backup dei file online.

 

4.2 Gestione del sistema

 

  • Software antivirus aggiornato.
  • Aggiornamenti automatici per il SO, software, plugin e browser[25].
  • Buon controllo dell’accesso degli utenti.
  • Whitelisting delle applicazioni[26].
  • Spegnere le connessioni wireless non utilizzate.
  • Disattivare le macro sul software Microsoft Office.
  • Utilizzare le estensioni di blocco degli annunci nei browser per prevenire le infezioni “drive-by”.
  • Disabilitare Windows Script Host e Windows PowerShell
  • Disabilitare le connessioni Remote Desktop Protocol, Telnet e SSH. Bloccare il traffico inbound verso le porte associate.
  • Se l’accesso remoto è necessario, controllare l’accesso, assicurarsi che le credenziali di accesso siano complesse e implementare una soluzione 2FA[27] per prevenire l’accesso non autorizzato.
  • Configurare i sistemi modificando l’Editor dei criteri di gruppo per impedire agli eseguibili (.exe, .rar, .pdf, .exe, .zip) l’esecuzione in luoghi come appdata, localappdata, temp e il Cestino. CryptoPrevent è uno strumento gratuito che può aiutare ad automatizzare questo processo e impedire l’esecuzione del ransomware.
  • Usare la protezione web e email per bloccare l’accesso ai siti web dannosi e scansionare tutte le email, gli allegati e i download e configurare i server di posta elettronica per bloccare proattivamente le e-mail contenenti allegati sospetti come .exe, .vbs e .scr.
  • Implementare un behavior blocker[28] per evitare che il ransomware esegua o faccia modifiche non autorizzate a sistemi o file.
  • Considerare l’utilizzo di uno strumento anti-ransomware gratuito o disponibile in commercio da parte dei principali venditori di sicurezza informatica.

 

4.3 Gestione della rete

 

  • Assicurarsi che il firewall sia abilitato e configurato correttamente.
  • Chiudere e monitorare le porte inutilizzate.
  • Bloccare gli indirizzi IP Tor maligni conosciuti.

 

 

  1. Conclusioni

 

Negli ultimi anni gli attacchi ransomware sono diventati sempre più popolari tra i criminali informatici e pericolosi per gli utenti. Abbiamo visto come questo tipo di malware richieda il pagamento per funzionalità rubate, dati personali/informazioni rubati o dati a cui l’accesso dell’utente è stato limitato, attraverso l’estorsione di denaro alle vittime utilizzando servizi di pagamento online o criptovalute. I danni ad individui e/o aziende possono essere ingenti, non solo dal punto di vista economico ma anche e soprattutto in termini di danno reputazionale[29].

 

Formare le persone sulle basi della sicurezza IT è la chiave per ridurre il rischio di essere attaccati da ransomware, così come investire in software di sicurezza adeguato[30]. Ancora una volta, il ruolo del capitale umano è basilare, la risposta alle minacce in termini di cybersecurity è sempre in primis di tipo behavioral [31] e anche in questo la formazione continua delle persone assume un’importanza cruciale.

 

 

Sergio Guida

 

[1] Cfr. ad es. Daniel Morato, Eduardo Berrueta, Eduardo Magaña, Mikel Izal, Ransomware early detection by the analysis of file sharing traffic, Journal of Network and Computer Applications, Volume 124, 15 December 2018, Pages 14-32, in https://www.sciencedirect.com/science/article/pii/S108480451830300X?via%3Dihub, pag.14.

[2] “Il malware è un software dannoso che consente l’accesso non autorizzato alle reti a scopo di furto, sabotaggio o spionaggio. Esistono molti tipi di malware e molti attacchi informatici utilizzano una combinazione di diversi tipi per raggiungere i propri obiettivi. Il malware viene solitamente introdotto in una rete tramite phishing, allegati dannosi o download dannosi, ma può accedere anche tramite ingegneria sociale o unità flash” in Kurt Baker, The 11 most common types of malware, January 14, 2021 in https://www.crowdstrike.com/cybersecurity-101/malware/types-of-malware/.

[3] Cfr. “Si pensa che il primo virus ransomware fosse PC Cyborg, apparso nel 1998. Utilizzava una semplice crittografia simmetrica ed era relativamente facile produrre strumenti per decrittografare i file crittografati da PC Cyborg. Ma è stato solo nel 2012, con l’arrivo del worm Reveton, che i tentativi di ‘trattenere’ i computer degli utenti per il pagamento del riscatto sono diventati pratica comune. Reveton ha bloccato gli utenti fuori dai loro computer a meno che non pagassero una “multa” tramite un servizio di pagamento come Ukash. Due anni dopo, è stato rilasciato CryptoLocker, che crittografa i file degli utenti e chiede un riscatto per la chiave per decrittografarli. Questo è diventato il modello per la maggior parte dei successivi tipi di ransomware apparsi da allora” in Paul Rubens, Types of Ransomware | eSecurity Planet, March 2, 2017 in https://www.esecurityplanet.com/threats/common-types-of-ransomware/.

[4] In molti casi, vengono usate  tecniche basate sulla ricognizione strategica degli utenti finali, spesso riservate a specifici attacchi mirati. Cfr. ad es. “i ‘watering hole attacks’ (attacchi ai pozzi d’acqua) sono molto comuni; dove la visita di un sito Web legittimo che sia popolare con un tipo specifico di utente (ad esempio, un forum di contabilità) può causare l’infezione del dispositivo del dipendente. In questi casi di infezione drive-by, il sito web sarà già stato infettato da malware pronto a sfruttare le vulnerabilità sui dispositivi dei visitatori”  in Esther Kezia Thorpe, What are the different types of ransomware?, IT PRO, 17 Jan 2020 in https://www.itpro.co.uk/security/29241/what-are-the-different-types-of-ransomware.

[5]  “Il clickjacking, noto anche come ‘User Interface redress attack’ (attacco di dirottamento dell’interfaccia utente), si verifica quando un utente malintenzionato utilizza più livelli trasparenti o opachi per indurre un utente a fare clic su un pulsante o un collegamento in un’altra pagina quando intendeva fare clic sulla pagina di livello superiore. Pertanto, l’autore dell’attacco “dirotta” i clic destinati alla propria pagina e li indirizza a un’altra pagina, molto probabilmente di proprietà di un’altra applicazione, dominio o entrambi. Utilizzando una tecnica simile, anche le sequenze di tasti possono essere dirottate. Con una combinazione accuratamente predisposta di fogli di stile, iframe e caselle di testo, un utente può essere indotto a credere che stia digitando la password nella propria e-mail o conto bancario, ma invece sta digitando in una cornice invisibile controllata dall’aggressore“ in Gustav Rydstedt , Clickjacking , in https://owasp.org/www-community/attacks/Clickjacking .

[6]  I dati dei casi riportati sono tratti da Andreja Velimirovic,  Ransomware Types and Examples, Data Protection,  January 13, 2021  in https://phoenixnap.com/blog/ransomware-examples-types .

[7]  “Un trojan horse, in sicurezza informatica, è un file malevolo (es. malware) che può infettare il pc computer della vittima, e prenderne possesso. I trojan sono un particolare tipo di malware che i criminali possono usare per prendere il completo controllo del nostro dispositivo, mobile o fisso, e svolgere quasi qualsiasi tipo di operazione: da bloccare, modificare e cancellare i dati a mettere ko il sistema informatico”,  come si legge in Rosita Rijtano, Trojan Horse: cos’è, come funziona, come rimuoverlo ed evitarlo,  Cybersecurity 360, 25 Mag 2018 in https://www.cybersecurity360.it/nuove-minacce/trojan-i-malware-spia-come-funzionano-e-come-difendersi/.

[8]  Le botnet “sono reti di elaboratori originariamente utilizzati per gestire e mantenere attivi servizi Web. Il nome deriva dalla combinazione delle due parole robot e network. L’accezione che questo termine ha oggi è quella di una rete costituita da elaboratori infettati, gestiti centralmente da un command & control center, operato da attaccanti di varia natura”, come si legge in Matteo Cuscusa, Botnet: cosa sono, come funzionano e come proteggere la rete aziendale dagli zombie del Web, Cybersecurity 360, 03 Dic 2018 in https://www.cybersecurity360.it/nuove-minacce/botnet-cosa-sono-come-funzionano-e-come-proteggere-la-rete-aziendale-dagli-zombie-del-web/.

[9]  “I  kit di exploit sono toolkit utilizzati dagli utenti malintenzionati per gestire gli exploit e distribuire programmi dannosi a un computer o un dispositivo vulnerabile. Un kit di exploit contiene tutta una serie di exploit, ognuno realizzato per sfruttare un difetto (una vulnerabilità) in un programma, computer o dispositivo. Di solito il kit è ospitato in un sito piratato o dannoso: qualunque computer o dispositivo che visiti il sito sarà esposto ai suoi effetti.  Quando un nuovo computer o dispositivo si connette al sito piratato, il kit di exploit lo analizza in cerca di difetti vulnerabili a uno degli exploit del kit. Se ne trova uno, il kit lancia l’exploit per sfruttare la vulnerabilità. Dopo averlo compromesso, il kit di exploit può distribuire al computer o al dispositivo un payload, che in genere è un altro programma dannoso installato e avviato sul computer o sul dispositivo stesso allo scopo di eseguire ancora altre azioni non autorizzate” si legge ad es. in https://help.f-secure.com/product.html?home/anti-virus/latest/it/concept_9FAADC54245B4E179A8E52272EF063D4-anti-virus-latest-it.

[10] “Uno dei tanti vantaggi del gaming su PC è la possibilità di aggiungere mod, vale a dire componenti aggiuntivi e revisioni creati dagli utenti, che modificano il contenuto di un videogame. Fin dagli anni ’80, gli utenti hanno utilizzato mod di videogame su PC per personalizzare l’aspetto e le funzionalità dei loro videogame preferiti” .. “ci sono alcuni potenziali rischi che è bene tenere presenti. Come per qualsiasi contenuto di terze parti, assicurati di eseguire il download da fonti attendibili e stai sempre attento a malware o virus” si legge ad es. in https://www.intel.it/content/www/it/it/gaming/resources/mods.html.

[11] Come si legge sul sito web, “ESET è nato come un pioniere della protezione antivirus, creando premiati software di rilevazione delle minacce. Adesso lo scopo di ESET è assicurarsi che ognuno possa godere delle incredibili opportunità offerte dalla tecnologia. Oggi le nostre soluzioni permettono alle aziende e ai consumatori in più di 200 paesi di sfruttare al massimo il mondo digitale”, in https://www.eset.com/it/info/.

[12] “JBoss è una piattaforma server di applicazioni che viene fornita con le migliori tecnologie open source per creare, distribuire e ospitare applicazioni Java di livello aziendale” .. “La nostra soluzione di application server JBoss a basso costo è scalabile e affidabile e consente il controllo completo del tuo server” si legge al sito web http://www.virtualservergeeks.com/jboss-hosting/.

[13] “Ransomware as a Service (RaaS) è ​​un modello di business utilizzato dagli sviluppatori di ransomware, in cui noleggiano varianti di ransomware nello stesso modo in cui gli sviluppatori di software legittimi noleggiano prodotti SaaS. RaaS offre a tutti, anche a persone senza molte conoscenze tecniche, la possibilità di lanciare attacchi ransomware semplicemente registrandosi a un servizio. I kit RaaS consentono agli attori malintenzionati che non hanno le capacità o il tempo di sviluppare le proprie varianti di ransomware per essere operativi in ​​modo rapido e conveniente. Sono facili da trovare sul dark web, dove vengono pubblicizzati nello stesso modo in cui i prodotti vengono pubblicizzati sul web legittimo. Un kit RaaS può includere supporto 24 ore su 24, 7 giorni su 7, offerte in bundle, recensioni degli utenti, forum e altre funzionalità identiche a quelle offerte dai fornitori SaaS legittimi. Il prezzo dei kit RaaS varia da $ 40 al mese a diverse migliaia di dollari – importi insignificanti, considerando che la richiesta media di riscatto nel terzo trimestre del 2020 era di $ 234.000 (e tendente al rialzo). Un attore di minacce non ha bisogno che ogni attacco abbia successo per diventare ricco” si legge in Ransomware as a Service (RaaS) explained, Crowdstrike, January 28, 2021 in https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/.

[14] E’ il Master Boot Records (MBR) che contiene il codice di avvio eseguibile e la tabella delle partizioni. L’MBR si trova nel primo settore di un disco rigido, e viene caricato in memoria al boot time quando il sistema trasferisce il controllo al codice memorizzato nell’MBR. Alcuni esempi puntano l’MBR per impedire al sistema infetto di caricare il codice d’avvio nella partizione attiva semplicemente sostituendolo con un MBR fasullo che visualizza un messaggio che chiede un riscatto.

[15] “Il ripristino di emergenza come servizio (DRaaS) è un modello di servizio che consente a un’organizzazione di eseguire il backup dei propri dati e dell’infrastruttura IT in un ambiente di cloud computing di terze parti e fornire tutta l’orchestrazione DR, il tutto tramite una soluzione SaaS, per riottenere funzionalità per l’infrastruttura IT dopo un disastro. Il modello as-a-service significa che l’organizzazione stessa non deve possedere tutte le risorse o gestire tutta la gestione per il ripristino di emergenza, ma affidarsi al fornitore di servizi”, si legge ad es. in https://www.vmware.com/topics/glossary/content/disaster-recovery-service-draas#:~:text=Disasterrecovery asaservice(DRaaS)isacloudcomputing,toITinfrastructureaftera.

[16] A conferma di possibili convergenze cross-mediali addirittura strategiche, basate anche su sofisticate tecniche business-oriented di segmentazione della clientela.

[17] “.NET è un framework di sviluppo software open source gratuito sviluppato da Microsoft. Fornisce strumenti di programmazione e linee guida che puoi utilizzare per creare un’ampia gamma di applicazioni per il web, i giochi, i dispositivi mobili, i desktop e l’Internet of Things (IoT)” .. “.NET Framework comprende un’ampia libreria di classi denominata Framework Class Library (FCL) e Common Language Runtime (CLR), che consente alle applicazioni software sviluppate sulla piattaforma l’interoperabilità tra più linguaggi di programmazione. Con .NET Framework, gli sviluppatori possono creare ed eseguire applicazioni software per Windows, Windows Mobile, Windows Server, Microsoft Azure e servizi Web XML in un unico ambiente di sviluppo integrato. L’obiettivo principale di .NET era eliminare le principali sfide dello sviluppo delle applicazioni, come gli alti costi di proprietà, la facilità di implementazione, la difficoltà nel cambiare le applicazioni e i periodi di sviluppo prolungati. Il CLR e l’FCL hanno affrontato molti di questi problemi”, come si legge ad es. in https://www.indeed.com/career-advice/career-development/what-is-net.

[18] A parte le ben note definizioni GDPR, “alcuni paesi utilizzano ‘dati personali’ o ‘informazioni personali’ invece di ‘Informazioni di identificazione personale’ quando si fa riferimento a tipi di informazioni che possono identificare una persona. Negli Stati Uniti, la Guida alla protezione della riservatezza delle informazioni di identificazione personale (PII) pubblicata dal National Institute of Standards and Technology (NIST), fornisce la definizione più utilizzata: ‘PII è qualsiasi informazione su un individuo gestita da un’agenzia, incluse (1) qualsiasi informazione che può essere utilizzata per distinguere o rintracciare l’identità di una persona, come nome, numero di previdenza sociale, data e luogo di nome da nubile o record biometrici; e (2) qualsiasi altra informazione collegata o collegabile a un individuo, come informazioni mediche, educative, finanziarie e occupazionali’”, come dettagliato ad es. in Personally Identifiable Information (PII) vs. Personal Data – What’s the difference?, Usercentric, March 3, 2021 in https://usercentrics.com/knowledge-hub/personally-identifiable-information-vs-personal-data/.

[19] “Un worm è un tipo di programma malevolo la cui caratteristica è quello di infiltrarsi in maniera latente sulle macchine per poi propagarsi, infettando altri PC sfruttando le capacità di comunicazione della macchina stessa (rete, Internet, contatti e-mail). Si tratta a tutti gli effetti di un virus con capacità autoreplicante ed è comune che vengano notati solo quando la loro replica incontrollata impatta sulle risorse di sistema, rallentando o arrestando la macchina stessa” come dettagliato in Manuel De Stefano, Worm: cosa sono, come funzionano, i più famosi e come rimuoverli, Cybersecurity 360, 09 Gen 2020 in https://www.cybersecurity360.it/nuove-minacce/worm-cosa-sono-come-funzionano-i-piu-famosi-e-come-rimuoverli/.

[20] “Wannacry è stato fermato, racconta il Guardian, da una persona che registrato il nome del dominio nascosto nel malware. Lo switch del sotware malevolo, infatti, era codificato nel malware stesso, in caso che il mandante stesso volesse interrompere l’azione: in pratica, Wannacry inoltrava le sue richieste a un dominio dal nome lunghissimo e del tutto privo di senso come cercasse il collegamento a un sito qualsiasi e se la richiesta fosse atterrata a un sito “vivo”, attivo, sarebbe tornata indietro, smettendo di diffondersi. Il ricercatore di sicurezza britannico MalwareTechBlog, con l’aiuto Darien Huss di Footprint, lo ha trovato e individuato, creando così il “kill switch”, come si legge in Diletta Parlangeli , Wannacry, l’attacco hacker mondiale fermato da un eroe per caso, WIRED, 13 May, 2017 in https://www.wired.it/internet/web/2017/05/13/wannacry-attacco-hacker-mondiale-fermato-da-eroe-per-caso/?refresh_ce=.

[21] “Lo spear-phishing è un tentativo mirato di rubare informazioni sensibili come credenziali dell’account o informazioni finanziarie da una vittima specifica.. Ciò si ottiene acquisendo dettagli personali sulla vittima come i suoi amici, la città natale, il datore di lavoro, i luoghi che frequentano e ciò che hanno recentemente acquistato online. Gli aggressori si travestono quindi da amici o entità affidabili per acquisire informazioni sensibili, in genere tramite e-mail o altri messaggi online. Questa è la forma più efficace per acquisire informazioni riservate su Internet, rappresentando il 91% degli attacchi”, come spiegato ad es. in Nena Giandomenico, What is Spear-phishing? Defining and Differentiating Spear-phishing from Phishing, Digital Guardian, December 1, 2020 in https://digitalguardian.com/blog/what-is-spear-phishing-defining-and-differentiating-spear-phishing-and-phishing.

[22] RDP è l’abbreviazione di Remote Desktop Protocol. “È un protocollo di comunicazione dell’applicazione che consente a un utente di connettersi a un computer o server Windows remoto e utilizzare l’interfaccia grafica del sistema operativo. È stato sviluppato da Microsoft e, per impostazione predefinita, utilizza la porta 3389. Una connessione RDP a un endpoint remoto si verifica dopo aver inserito un set di credenziali di accesso valide.

Il PSR esiste da un po ‘di tempo e nel corso degli anni  i ricercatori della sicurezza hanno identificato una serie di vulnerabilità e ci sono diversi strumenti di hacking che sfruttano i punti deboli. Il modo più comune di compromettere il PSR, tuttavia, è con un umile attacco a forza bruta.  Anche le sgradevoli abitudini di gestione delle password degli utenti si riflettonosulla sicurezza di RDP. Armati di elenchi di credenziali di accesso semplici e prevedibili, gli hacker possono facilmente compromettere un gran numero di computer e server con RDP in esecuzione. L’attacco potrebbe essere semplice, ma poiché offre ai criminali informatici un accesso più o meno libero all’endpoint compromesso, il danno che potrebbe essere causato da esso è enorme. Per questo motivo, ci sono mercati web oscuri dedicati al trading di credenziali RDP compromesse” come si legge ad es. in Che cos’è un attacco RDP e come proteggersi da esso?,   Cyclonis Computer Security, May 4, 2020  in https://www.cyclonis.com/it/che-cose-un-attacco-rdp-e-come-proteggersi-da-esso/.

[23] “Un attacco di download drive-by si riferisce al download involontario di codice dannoso sul tuo computer o dispositivo mobile che ti lascia aperto a un attacco informatico. Non devi fare clic su nulla, premere download o aprire un allegato e-mail dannoso per essere infettato. Un download drive-by può sfruttare un’app, un sistema operativo o un browser Web che contiene falle di sicurezza dovute a aggiornamenti non riusciti o alla mancanza di aggiornamenti. A differenza di molti altri tipi di attacco informatico, un drive-by non si basa sul fatto che l’utente faccia nulla per abilitare attivamente l’attacco”, come si legge ad es. in What Is a Drive by Download, Kaspersky in https://www.kaspersky.com/resource-center/definitions/drive-by-download.

[24]  Cfr. “È importante che l’azienda fornisca adeguate istruzioni su come comportarsi nelle più comuni situazioni di rischio potenziale, in particolare là dove queste si manifestano nel corso della normale operatività quotidiana, quale appunto può essere l’apertura di una e-mail. Fornire corrette informazioni sui comportamenti da adottare è diventato ancor più urgente ed importante in conseguenza della larga diffusione dello smart working, che ha portato (meglio sarebbe dire ha accelerato) l’allargamento dei tradizionali con{ni della rete aziendale, che non può più essere suddivisa fra un dentro ed un fuori. Le regole di comportamento sono organizzate spesso indicando una serie di azioni che gli utenti devono fare (ad esempio bloccare il PC quando si allontanano dallo stesso), o non devono fare (ad esempio effettuare copie di file)” in Giancarlo Butti, Awareness e regole di comportamento: un giusto equilibrio tra formazione e sicurezza aziendale, Cybersecurity 360, 26 Feb 2021 in https://www.cybersecurity360.it/soluzioni-aziendali/awareness-e-regole-di-comportamento-un-giusto-equilibrio-tra-formazione-e-sicurezza-aziendale/.

[25]  Cfr. “I lunghi ritardi nell’aggiornamento o nell’applicazione di patch software critiche in queste organizzazioni offrono grandi opportunità agli aggressori. Questo è stato il caso della campagna di ransomware ‘SamSam’ che ha colpito i server JBoss nel settore sanitario (Cisco Systems, 2016), come nella vasta infezione ‘WannaCry’ (Selvaraj et al., 2017; Leeet al., 2017). Questi ritardi sono dovuti ai costi operativi sostenuti da ciascun aggiornamento, poiché qualsiasi modifica deve essere convalidata rispetto a tutto il software utilizzato nell’organizzazione e deve essere pianificata la distribuzione della patch, di solito interrompendo il lavoro” in Daniel Morato, Eduardo Berrueta, Eduardo Magaña, Mikel Izal, Ransomware early detection by the analysis of file sharing traffic, Journal of Network and Computer Applications, Volume 124, 15 December 2018, Pages 14-32, in https://www.sciencedirect.com/science/article/pii/S108480451830300X?via%3Dihub, cit., pag.15.

[26] “Il whitelisting delle applicazioni non è un concetto nuovo nell’ambito della sicurezza aziendale. In diretta opposizione al concetto di blacklist, il whitelisting delle applicazioni è un approccio più proattivo che consente l’esecuzione solo di programmi pre-approvati e specificati. Qualsiasi altro programma non inserito nella whitelist è bloccato per impostazione predefinita. L’uso più ovvio del whitelisting delle applicazioni è quello di impedire al malware di entrare ed eseguire sugli endpoint all’interno di una rete, ma un vantaggio secondario del whitelisting delle applicazioni è la capacità di gestire, ridurre o controllare la richiesta di risorse all’interno di una rete. Quando i dipendenti sono in grado di eseguire solo le applicazioni inserite nella whitelist, è improbabile che si verifichino arresti anomali del sistema e rallentamenti della velocità a causa dell’aumento della domanda di risorse di rete. COME FUNZIONA IL WHITELISTING DELL’APPLICAZIONE  Il processo è abbastanza semplice in teoria: un programma che desidera eseguire viene confrontato con una whitelist e può essere eseguito solo se si trova nell’elenco. Una misura secondaria nota come hashing viene talvolta utilizzata per garantire l’integrità di un programma (indipendentemente dal fatto che sia effettivamente il programma che sembra essere, evitando così programmi progettati per imitare programmi approvati allo scopo di ottenere il permesso di esecuzione). La whitelist delle applicazioni consente di controllare quali programmi possono essere eseguiti sulla macchina di un utente o su una rete nelle mani degli amministratori, piuttosto che degli utenti finali. Secondo le normali procedure operative, l’utente finale sarebbe autorizzato a selezionare ed eseguire tutti i programmi che sceglie sulla propria macchina. Questo maggiore controllo garantisce che gli utenti non possano eseguire programmi dannosi, poiché nessun programma non controllato e inserito nella whitelist dagli amministratori può essere eseguito. Con il volume di malware che cresce di minuto in minuto, è poco pratico e impossibile mantenere una lista nera completa di programmi dannosi identificati. L’approccio alla whitelist delle applicazioni, l’approccio inverso, è molto più pratico nell’ambiente di oggi”, come dettagliato in Nate Lord,  What is Application Whitelisting? An Application Whitelisting Definition,  Digital Guardian,  December 17, 2018 in https://digitalguardian.com/blog/what-application-whitelisting-application-whitelisting-definition.

[27]  Cfr. “oggi non è più sufficiente proteggere i propri account con una password forte: è opportuno – anzi necessario – utilizzare l’autenticazione forte (strong authentication), nota anche come autenticazione a due fattori (2FA: two factor authentication). ..  Per accedere a qualunque sistema digitale (computer, bancomat, siti web o altro) dovremo dapprima “presentarci” inserendo il nostro username. Poi dovremo “dimostrare” che siamo proprio noi: questa è la fase di “autenticazione” che può avvenire in tre diversi modi:

  • Conoscenza: “Una cosa che sai”, per esempio una password o il PIN.
  • Possesso: “Una cosa che hai”, come uno smartphone o un token di sicurezza (quelle piccole “chiavette” che ci davano le banche e che generavano un codice a 6 cifre).
  • Inerenza: “Una cosa che sei”, come l’impronta digitale, il timbro vocale, il viso, l’iride, o qualunque altro dato biometrico.

In molti casi l’autenticazione avviene con la sola password: si tratta di autenticazione ad un fattore.

Si parla invece di 2FA se si usano almeno due dei tre fattori sopra elencati. Ma non basta: la condizione affinché si possa definire “autenticazione a due fattori” si verifica solo quando i due fattori utilizzati sono di matrice differente: in altre parole se, per esempio, si usa “Una cosa che sai” + “Una cosa che hai”. Utilizzare la 2FA non è difficile e non abbiamo quindi alcun motivo per non adottarla: dopo aver inserito la password (primo fattore) del proprio account, sarà richiesto di digitare un secondo fattore, che nella maggior parte dei casi è un codice numerico. Questo secondo fattore in genere viene ottenuto attraverso lo smartphone (sotto forma di sms o tramite un’apposita applicazione) o tramite un token fisico. A differenza della password, il secondo codice è di fatto inattaccabile, perché generato in maniera pseudocasuale secondo uno specifico algoritmo ed ha una durata molto limitata nel tempo (solitamente 30 secondi). Per questo motivo, lo si definisce anche OTP: “one time password”. Il secondo fattore può essere – in alternativa – di tipo biometrico (”una cosa che sei”). Ne abbiamo un esempio nelle applicazioni per smartphone che ci forniscono le banche: per aprire l’app e anche per eseguire operazioni dispositive (ad esempio: fare un bonifico), ci viene richiesta la seconda autenticazione con l’impronta digitale o con il riconoscimento facciale” in Giorgio Sbaraglia, Autenticazione a due fattori: cos’è, come e perché usarla, anche alla luce della PSD2, Cybersecurity 360, 06 Apr 2020 in https://www.cybersecurity360.it/soluzioni-aziendali/autenticazione-a-due-fattori-cose-come-e-perche-usarla-per-google-facebook-instagram-e-altri/.

[28] Si tratta di un “programma, in genere residente nella memoria del computer, che scherma il sistema da azioni comunemente riscontrate nei virus e in altro tipo di malware: scrittura su file eseguibili o su settori di sistema, tentativi di tracciamento dei gestori di interrupt (tunneling), modifica di chiavi nel Registro di sistema, ecc. A differenza degli scanner e dei monitor antivirus, che identificano i virus analizzandone la struttura, i behavior blocker tentano di prevenirne l’attività in base al comportamento”, si veda ad es. in http://www.notrace.it/glossario/Behavior-Blocker/.

[29] “I rischi legati alla cybersecurity sono molteplici, tutti con un impatto sull’operatività e sul business delle aziende, influendo in modo sostanziale sul brand e sulla sua percezione esterna. Una strategia efficace di cybersecurity non difende solamente dati e reti, ma protegge il brand, che è l’essenza stessa dell’impresa, spiega Luca Maiocchi, country manager di Proofpoint Italia.  La ricerca, condotta dalla community Facciamo sistema – Cybersecurity per conto di Proofpoint tra maggio e giugno 2020, ha coinvolto 138 CSO/CISO di diversi settori industriali in Italia. Ha esplorato tre aree principali: la frequenza degli attacchi informatici, la preparazione dei dipendenti e delle organizzazioni e le problematiche da affrontare per l’implementazione di strategie informatiche di difesa” come si legge in Cybersecurity, il rischio maggiore è per la reputazione aziendale, BitMAT Speciale Sicurezza, 3 Novembre 2020 in https://www.bitmat.it/specialesicurezza/news/4842/cybersecurity-il-rischio-maggiore-e-per-la-reputazione-aziendale.

[30] Come ricordato anche in Esther Kezia Thorpe, What are the different types of ransomware?, IT PRO, 17 Jan 2020 in https://www.itpro.co.uk/security/29241/what-are-the-different-types-of-ransomware, cit..

[31] “La scienza comportamentale si concentra non solo su come potrebbero essere rilevati nuovi rischi e vulnerabilità, ma anche su come gli esseri umani li percepiscono e su come tali percezioni possono travisare le minacce effettive che portano a una reazione insufficiente o eccessiva quando vengono formulate le risposte alle minacce. In qualità di scienziati comportamentali, esaminiamo anche come la capacità di anticipare nuovi rischi e vulnerabilità possa influenzare i modelli di business e l’innovazione del modello di business. In sostanza, la scienza comportamentale può essere vista come una porta per consentire alle aziende di essere in grado di applicare una nuova visione incentrata sull’uomo ai problemi di sicurezza informatica al fine di rilevare rischi che non hanno incontrato o non hanno previsto prima” come molto ben spiegato in Ganna Pogrebna, Boris Taratine,  Cybersecurity as a Behavioural Science: Part 1 – Why Cyber Security Is About Human Behavior?, Cyberbitsetc © 2020 in https://www.cyberbitsetc.org/post/cybersecurity-as-a-behavioural-science-part-1.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *