Da anni ormai i cosiddetti ransomware mettono a dura prova le capacità dei più tenaci specialisti con ingenti richieste di denaro per riavere in cambio i file che riescono a prendere in ostaggio per poi crittografarli con algoritmi sempre più complessi e difficili da espugnare. Tutto ciò ha spesso obbligato migliaia di utenti a cedere alle richieste di organizzazioni criminali che continuano a prosperare indisturbate.
Stavolta si tratta di una minaccia ancora più complessa, che ha iniziato nelle ultime settimane a diffondersi molto rapidamente per andare a colpire soprattutto le reti aziendali. Identificato con il nome Trojan.ArchiveLock.20, una volta inserito nel sistema rimane invisibile e viene risvegliato a distanza.
Attivato è in grado di cifrare numerosi file attraverso password dall’elevato livello di sicurezza per poi mostrare attraverso una schermata (che blocca l’interfaccia) cosa sta succedendo al pc e le istruzioni per riavere i propri dati in cambio di un notevole esborso di denaro. Oltre a ciò il ransomware arriva a cancellare gli eventuali backup presenti nel sistema minacciando in taluni casi di rivelare alle autorità il possesso di materiale pedopornografico contenuto all’interno del pc.
Sono ormai numerosi i casi dei quali siamo a conoscenza – dichiara Marco Zanovello, CTO di Yarix – una vera e propria ondata massiccia che attualmente non è quantificabile con precisione, anche perché alcuni non vengono denunciati. Ma possiamo tranquillamente affermare che sono diverse decine solo nella sola area triveneta. Ed in costante aumento”.
Emblematico è il caso di un privato che ha deciso di non farsi estorcere denaro e si è rivolto a Yarix per risolvere il problema: attraverso una falla nel sistema i cracker hanno depositato all’interno del pc un programma che ha cifrato tutti i dati utilizzando una password di circa un centinaio di caratteri. I dati originali sono stati cancellati sovrascrivendo più volte lo spazio libero del server al fine di rendere irriconoscibili eventuali frammenti di informazione.
In questo modo – continua Zanovello – il recupero dei dati è praticamente impossibile: o si trova il sistema di risalire alla password usata oppure servirebbero anni per provare l’intera gamma delle combinazioni possibili. Sfortuna ha voluto che siano stati colpiti anche i backup, lasciando l’utente completamente privo di risorse”.
Come intervenire? “La strada per trovare una soluzione reale a questo tipo di attacchi sembra ancora lunga – spiega Zanovello – anche perché questi cracker sono abilissimi professionisti del crimine. Siamo comunque intervenuti tempestivamente per evitare che il problema si propagasse agli altri pc della rete e grazie al nostro Forensic Lab siamo riusciti a ripristinare parte dei file.
Successivamente abbiamo affidato i dati ai nostri team di ricerca e sviluppo che, utilizzando tecnologie particolari quali, ad esempio, lo sfruttamento dei chipset delle schede video, potrebbero essere in grado di recuperare la totalità dei dati”.
“Se esiste una morale che possiamo trarre da questo episodio – dichiara l’Amministratore Delegato di Yarix Mirko Gatto – è l’assoluta necessità di una cultura della sicurezza informatica. Si tratta di capire che una volta attivata una protezione è necessario seguirne e verificarne costantemente la tenuta, allo scopo di limitare l’esposizione della macchina ad attacchi esterni. Ma anche l’importanza di un piano di disaster recovery, in mancanza del quale i tempi di ripristino della continuità operativa possono essere assai dilatati, con tutte le conseguenze che ciò comporta per il business dell’azienda. Un accorgimento semplice ma fondamentale che in caso di danno può permettere di recuperare l’attività in due giorni invece che in tre settimane”.
