Quante cose devono andare storte per essere contagiati da Cryptowall?

La nuova campagna di SPAM e virus mirata alla diffusione del virus Cryptowall colpisce anche in Italia.

Cryptowall è un virus particolarmente insidioso, nato dal suo predecessore Cryptolocker che abbiamo visto apparire l'anno scorso. Essenzialmente il suo proposito è quello di cifrare i dati in modo reversibile, ma per poter invertire questo processo è necessario pagare un riscatto. Ecco quindi che i documenti, file di testo, disegni CAD, file di posta elettronica di Outlook o Live Mail (o Outlook Express) diventano all'improvviso inaccessibili, sia sul PC locale che nelle condivisioni di rete (come i NAS), e appaiono tre file. Alla stregua del miglior Servizio Clienti, le istruzioni su come pagare il riscatto, in lingua Italiana, degne del miglior manuale.

Morale della storia: rivolete i dati? Vi tocca pagare 1 BTC (BitCoin), ossia circa 500 EUR.

Ma come ci si può infettare con un simile virus? Non è un contagio che viene dal nulla, apparso nel computer o nella rete a causa di qualche eruzione Solare. Per contagiare un dispositivo Cryptowall deve superare una considerevole serie di ostacoli... che evidentemente falliscono. Per fortuna abbiamo il backup dei dati sul NAS... che... è accessibile via rete e quindi... anche i dati al suo interno sono cifrati.

Ma tornando all'analisi iniziale: che cosa è andato storto per consentire a questo malware di installarsi ed eseguirsi nella vostra rete?

1. La campagna di Cryptowall è basata su messaggi di posta contenenti un allegato che si presenta come un programma eseguibile mascherato da file legittimo (di solito .pdf). Il messaggio è ben scritto e incita l'utente ad aprire l'allegato che potrebbe essere una fattura o un documento legale. Ma se il messaggio con l'allegato (che ricordo É™ssere un programma Eseguibile) è probabile che il vostro fornitore di servizi di Posta Elettronica (o del vostro sistema di Posta interno) non è adeguatamente configurato per filtrare il messaggio. In altri termini, ha fallito la sicurezza del servizio E-Mail.
2. All'aumentare del numero di intercettazioni di SPAM e virus nel mondo, provider di servizi come Cyren lanciano un allarme "Epidemia". Se il sistema che mantiene la sicurezza del vostro sistema di Posta Elettronica (o del fornitore di servizi) non prevede la ricezione di questo tipo di allarmi, allora non ha potuto fermare il messaggio in questione. La protezione proattiva della posta elettronica con servizi di "Virus Outbreak Detection" ha fallito.
3. I produttori di sistemi Anti Virus rilasciano firme elettroniche per intercettare i virus nelle e-mail con una frequenza piuttosto elevata, ed è molto probabile che l'allegato di cui sopra sarebbe stato filtrato dal sistema Anti Virus prima ancora di arrivare nella cassetta di posta dell'utente. In pratica la pratica Anti Virus sulla posta elettronica ha fallito.
4. A questo punto il messaggio è nella casella di posta elettronica e l'utente la scarica sul proprio computer. La connessione al server di posta è cifrata, e l'antivirus gratuito non è in grado di scansionare l'allegato sul PC. E per come è formattato il messaggio di posta, riesce a sfruttare una breccia nel programma di posta elettronica ed eseguirsi in automatico. Può capitare (e capita) in sistemi non aggiornati da molto tempo. In questo caso, la procedura di aggiornamento dei programmi ha fallito.
5. L'allegato non si è aperto automaticamente, ma lo ha aperto un utente, certo che si trattasse di un messaggio legittimo, arrivato da un perfetto sconosciuto con una fattura di un servizio mai acquistato. In questo caso il fallimento è legato alla formazione del personale sull'utilizzo degli strumenti informatici sul lavoro.
6. L'allegato è un programma, quindi è in esecuzione sul computer. Il sistema antivirus non c'è, è obsoleto, non è aggiornato o più comunemente è inefficace. Inevitabilmente il virus ha libertà di operare e può agire liberamente. Anche la politica di gestione Anti Virus sul computer locale è fallita. E trattandosi di operazioni effettuate in rete, l'antivirus del sistema server (o del NAS se previsto e funzionante) non ha alcun valore. Il virus riesce comunque ad accedere ai file incondizionatamente.
7. Cryptowall ormai è in esecuzione sul computer, per prima cosa cerca di creare quella parte di "chiave" per rendere possibile la decifrazione dei dati (ossia la "chiave privata"). Per farlo installa un client TOR: quello stesso programma che si utilizza per aggirare i firewall e navigare in modo anonimo in rete. Ci riesce, si collega al suo server di Controllo & Comando (C&C), genera la chiave privata e inizia a cifrare i dati del PC e in rete. Se questo accade è perchè il vostro firewall non è in grado di bloccare traffico di reti Peer to Peer o cosiddetti anonimizzatori, fallendo nel suo lavoro di protezione della rete.
8. Ormai i dati sono cifrati, anche quella copia di backup sul NAS che non era altro che una copia dei file dei PC o del server. I documenti di OneDrive, Dropbox e GoogleDrive (ammesso che sia installato il client sul computer) sono anch'essi cifrati. A meno che non abbiate una copia di backup reale (off-line) in cloud o su nastro, probabilmente solo una parte di dati relativi a quelli nei Cloud storage sono recuperabili (grazie alle funzionalità delle "copie precedenti"). Tutto il resto è inaccessibile. La politica di backup è inefficiente ed ha fallito il suo compito.

E non avete accesso ai vostri dati.

Cryptowall è un virus che ci si aspettava di vedere dopo l'avvento del suo predecessore, ma perchè un sistema sia messo in ginocchio devono andare male veramente un mare di cose, e tutte insieme. Sarebbe bastato che solo uno o due dei punti elencati fosse stato efficiente e il problema si sarebbe ridotto al minimo, ma 625.000 sistemi infetti già a metà Marzo 2014 dovrebbe dare un segnale allarmante su quanto siano fragilmente impostati i Sistemi Informativi Aziendali, e come avevo già premesso (e non solo io) l'anno scorso, questo tipo di Virus ora diverrà, secondo me, sempre più diffuso (perchè estremamente redditizio).

Quanto è complesso difendersi da una minaccia come Cryptowall?

Non molto: poche, semplici ma efficaci regole e qualche prodotto in aiuto possono rendere innocuo il virus, e minimizzare un suo eventuale contagio.

Gran parte dei problemi possono essere fermati sul nascere con un buon dispositivo di controllo perimetrale. Watchguard con le sue soluzioni XTM risolve tecnicamente ed efficacemente tutti i problemi di posta elettronica grazie ai sistemi Spam Blocker e Gateway Antivirus (GAV), scartando a priori i messaggi provenienti da BotNet e contenenti allegati non desiderati (come le applicazioni). La funzionalità Application Control, inoltre, è in grado di impedire la connessione alle reti TOR o qualsiasi altra rete di anonimizzazione (grazie anche alla funzionalità WebBlocker) rendendo il virus inefficace dal momento che non ha modo di contattare il server di C&C (questo assumendo che il virus non si sia già attivato altrove, naturalmente).

Una buona politica di Aggiornamenti e verifica della validità dei sistemi AntiVirus rappresenta un ulteriore buona pratica, che oltre a fornire nuove funzionalità grazie agli aggiornamenti, consente di ridurre i pericoli derivanti da altre fonti (per esempio i pen-drive USB).

Infine, non per importanza, dei processi di backup solidi ed efficaci, con periodiche verifiche di funzionamento. Poter riprendere in mano un backup consistente dei dati rappresenta indubbiamente l'ultima spiaggia in un caso come questo, ma in un momento in cui l'informazione digitale rappresenta gran parte, se non tutto, il patrimonio culturale dell'Azienda non disporre di una copia di sicurezza dei propri dati potrebbe essere equivalente ad un suicidio. Ma senza drammatizzare troppo, una spesa considerevole (ammesso che, pagato il riscatto, si ottenga davvero la chiave di ripristino).

Al momento in cui sto scrivendo questo articolo il server di C&C a cui fa capo Cryptowall è ancora attivo, il che vuol dire che la minaccia è tutt'altro che finita, e visto il suo successo potrebbe essere anche solo l'inizio. Voci nella Rete dicono che pagando il riscatto si sia in grado di ottenere una chiave di decifratura dei dati che consente di riavere l'accesso alle proprie informazioni, ma il vero problema è che, a differenza del corpo umano, un computer non genera anticorpi che prevengono una futura infezione. Se non ci si adegua, si rischia di soccombere nuovamente al problema alla prima buona occasione.

Lavoro professionalmente nel settore IT dalla metà degli anni '90. Ho avuto occasione di sviluppare competenze orizzontali che mi hanno consentito di approcciare pressoché qualsiasi progetto IT. Dal 2005 il mio ruolo è stato principalmente quello di CTO in diverse realtà, da piccoli ISP a System Integrator. Dal 2017 ho iniziato a lavorare su una nuova piattaforma per la protezione della Proprietà Intellettuale e Diritto d’autore per la gestione e tutela di asset digitali.

C’è qualcosa in cui posso essere di supporto? Trovate i miei contatti a fondo pagina. Se avete curiosità o necessità sarò lieto di poter dare un riscontro.