Il pericolo CryptoLocker

La nuova variante di CryptoLocker apre uno scenario preoccupante sulla possibilità di perdita dei Dati Aziendali.

Da qualche tempo si parla di CryptoLocker, una nuova variante di un virus che, se dovesse infettare un computer, cifra i dati al suo interno per poi chiedere un "riscatto" al fine di poter riavere accesso a tali dati. Il virus si diffonde principalmente a mezzo E-Mail e induce l'utente a scaricare un allegato che tipicamente si presenta come se fosse un file di Acrobat Reader (PDF).

L'apertura di questo file, in condizioni ottimali per il suo contagio, comporta il tentativo di connessione di questo virus a un Centro di Controllo e Comando (C&C) e successivamente inizia ad effettuare una scansione del PC infetto e delle condivisioni di rete accessibili alla ricerca di documenti che vengono progressivamente cifrati con algoritmi commerciali estremamente complessi (AES ed RSA con chiavi a 2048 bit). Una volta cifrati i documenti il virus modifica lo sfondo del desktop mostrando un avviso che invita al pagamento del "riscatto" e visualizza un conto alla rovescia di 72-100 ore al termine del quale i dati (stando al comunicato) non saranno più recuperabili.

L'aggressività di questo virus è degna di nota e richiede l'adozione di precauzioni per ridurre il rischio di contagio o, se dovesse accadere, di propagazione e una perdita catastrofica dei dati. L'uso di tale termine non è un'esagerazione considerando che la crittografia adottata per cifrare i dati è così forte da richiedere (forse) anni per decifrare la chiave di cifratura con gli strumenti più potenti disponibili ad oggi. Questo comporta che, qualora non si disponesse di strumenti di backup e protezione adeguati, i danni potrebbero essere davvero irreparabili.

Qualora vi fosse il dubbio che una postazione fosse infetta da questo virus è opportuno scollegare completamente la macchina dalla rete e richiedere l'intervento di un tecnico per la sua rimozione e verifica dello stato delle postazioni rimanenti.

A tal proposito le Linee Guida di sicurezza che proponiamo nelle nostre soluzioni di gestione IT prevedono molteplici contromisure in grado di contrastare questo tipo di infezioni. Le nostre procedure prevedono l'adozione di soluzioni di difesa perimetrale della navigazione (Firewall) per prevenirne il download anche accidentale, la propagazione in rete locale e misure di backup off-line per consentire il ripristino dei dati in caso di compromissione.

In particolare abbiamo revisionato le nostre procedure standard di gestione dei Firewall Watchguard XTM con pacchetto licenze UTM che si sono verificate efficaci nella difesa contro questo virus, bloccando al di fuori del perimetro aziendale questa minaccia.