Cryptolocker: anatomia di un’infezione e prevenzione

Nei giorni scorsi abbiamo avuto testimonianze di una nuova campagna di Cryptolocker che hanno colpito, di nuovo, diverse realtà aziendali di piccole e medie dimensioni.

Nei giorni scorsi abbiamo avuto testimonianze di una nuova campagna di Cryptolocker che hanno colpito, di nuovo, diverse realtà aziendali di piccole e medie dimensioni. Poichè dalla prima apparizione di Cryptolocker sono passati quasi due anni e gli incidenti continuano a capitare, ho pensato di riportare un evento reale di non più di una settimana dalla data del suo avvenimento.

La sequenza di eventi che si va riscontrando è simile in tutte le campagne. Si parte da un’e-mail strutturata per trarre in inganno ed invitare un utente ad accedere ad un sito di servizi noti, per fare un nome a caso (di azienda ovviamente non coinvolta), Enel Energia. Il dominio è niente meno che “servizioenel.com”. A quel punto lo scopo è quello di far scaricare all'utente ignaro un file che contiene il virus mascherato da contratto, da fattura o da qualsiasi comunicazione che possa essere appetibile.

Il risultato di questa operazione (nemmeno un minuto in totale) è l’ingresso all’interno del perimetro aziendale di uno script che si è attivato ed ha iniziato a macinare e cifrare dati su dati, rendendoli inaccessibili e rinominandoli con un’estensione “.encrypted”. All’interno di ogni directory un file “ISTRUZION_DECRITTAZIONE.txt” con al suo interno le informazioni (sempre in Italiano perfetto) sul come pagare in BitCoin il riscatto per ottenere indietro i propri dati. Per dovere di cronaca (sebbene non sia una buona pratica) il pagamento di tale riscatto porta all’ottenimento di un programma che consente effettivamente di recuperare gran parte dei file (con qualche eccezione).

É importante tenere anche in considerazione il fatto che questo tipo di campagne agiscono su finestre di tempo ridottissime, pertanto mietono (quasi letteralmente) quante più vittime possibile in un tempo estremamente breve. Questo breve lasso di tempo deriva dalla necessità dei produttori di software di sicurezza di adottare opportune contromisure ai sistemi e renderle in grado di agire contro le minacce, sebbene queste richiedano (tipicamente) un paio di giorni per essere messe in atto.

Pagando il riscatto si ottiene veramente un ripristino totale dei dati? In questo caso abbiamo avuto conferma che non tutti i file vengono ripristinati correttamente, poichè in pochi (ma critici) casi abbiamo riscontrato che alcuni formati di file presentavano delle differenze che li rendevano inutilizzabili (per esempio i file .DBF o alcuni file di configurazione sensibili al “checksum”, una sorta di firma digitale del file): questa circostanza è stata quasi sempre maggiormente percepita nei sistemi gestionali e basati su database. In questi casi, o nel caso di profili di Windows così corrotti da rendere un server inutilizzabile, pur avendo pagato il riscatto, è stato comunuqe necessario ricorrere al ripristino del sistema da backup.

E a questo punto ci si trova ad affrontare un dilemma non indifferente: pagare o non pagare? E’ possibile ripristinare i dati da un backup consistente o ci si trova a dover necessariamente pagare il riscatto per riavere i propri dati?

Già in passato mi sono trovato a scrivere un articolo su “quante cose devono andare storte” per essere colpiti da un simile virus (nella fattispecie Cryptowall), tuttavia il numero di incidenti è in rapida intensificazione e, talvolta, capita ripetute volte alle medesime Aziende.

Siamo quindi destinati a vedere infezioni incontrastate senza poter fare nulla?

Direi di no, anzi: gli strumenti ci sono, è solo questione di metterli in atto in modo efficiente e consolidato.

Cominciando dall’inizio degli eventi, nella mia analisi il dominio è stato registrato il giorno di inizio della campagna di contagio. Per ridurre i pericoli derivanti da queste fonti è già possibile usare servizi come WebBlocker di Watchguard che classifica e categorizza i siti Internet di tutto il mondo. In aggiunta a questo, è stato introdotto un nuovo sistema di protezione chiamato APT Blocker in grado di elaborare e verificare la presenza di codice malevolo all’interno dei file scaricati che potrebbe non essere intercettato ancora alle firme degli antivirus. In molteplici circostanze, in fase di revisione dei log di Dimension (altro strumento ormai essenziale per la protezione dei Sistemi) abbiamo avuto occasione di individuare virus come Cryptowall che si sono insinuati all'interno dell'Azienda ma che non hanno potuto attivarsi perchè bloccati dallo stesso Firewall, rendendoli così inerti.

E quando il sistema virale dovesse comunque ad attivarsi, solo una efficiente politica di backup è in grado di offrire una valida protezione. Un sistema di backup off-line, non accessibile quindi via rete poichè un virus potrebbe infettare e rendere inutilizzabili anche i file di backup (cosa che, anche in questo caso, abbiamo avuto occasione di sperimentare). Un backup efficiente che, in caso di necessità, sia in grado di rimettere rapidamente in produzione i dati essenziali dell’Azienda colpita senza che questa debba pagare un riscatto per riavere la propria proprietà intellettuale.

Esistono svariate valide soluzioni selezionabili in base alle proprie esigenze e obiettivi. Partendo dai Backup On-Premises, per chi volesse mantenere l’infrastruttura di backup on-site, soluzioni come Unitrends Enterprise Backup sono in grado di gestire infrastrutture di backup affidabili su sistemi locali o NAS che, opportunamente configurati, risultino inaccessibili alla rete dei client, e pertanto “off-line”. A salire di livello, e con mio grande incoraggiamento, abbiamo le soluzioni di backup su nastro, più che mai efficienti (contrariamente a quanto si dica) e soprattutto come unico supporto di memorizzazione off-line affidabile per ambienti come l’archiviazione sostitutiva di cui oggi si parla tanto.

Passando alle soluzioni di Backup in Cloud esistono sempre più soluzioni interessanti in cui si acquista un servizio a canone per uno spazio disco in cui conservare i dati. Contrariamente alle soluzioni di archiviazione in Cloud (es. Dropbox, OneDrive o Google Drive), le soluzioni di Backup in Cloud devono garantire le caratteristiche di inalterabilità, conservazione e resilienza del dato. Vale a dire che è necessario avere uno strumento in grado di archiviare un dato consistente su un supporto di memorizzazione off-line che non venga modificata una volta archiviata, di poterne avere diverse copie (per esempio, una al giorno), e di poter accedere ad una copia in data precedente.

Nell’era in cui i dati possono essere davvero corposi (si pensi solo ai file PST di Microsoft Outlook), una soluzione in Cloud potrebbe essere non efficiente se richiede di dover caricare l’intero file ogni volta che è il momento di fare un backup. In merito a questa caratteristica, e tutte quelle precedentemente elencate, esistono già delle soluzioni in grado di ottimizzare anche i backup di file anche di grandi dimensioni limitando gli upload unicamente alle modifiche che sono state effettuate.

Conclusione

Lo scenario dei cosiddetti “ransomware” come Cryptolocker, Cryptowall o CTBLocker è destinato a peggiorare nel tempo. Le soluzioni per difendersi e ridurre al minimo il rischio di contagio o il danno che questo può causare sono già pronte e disponibili per essere implementate. Basti pensare alle soluzioni Watchguard che sono già da anni in grado di coprire una più che consistente quantità di potenziali rischi di contagio, e alla disponibilità sul mercato di soluzioni software altrettanto all’altezza di offrire un elevato grado di protezione. Il collante che, secondo me, è necessario riuscire a trovare, è il Partner o System Integrator capace di avere una visione d’insieme sufficientemente ampia per poter trasformare in Buone Pratiche (o “Best Practice” per gli amanti dei termini anglofoni) di sicurezza i processi di revisione e protezione dei sistemi, nonchè in grado di gestire un Incidente informatico e sfruttare l’esperienza acquisita in esso per perfezionare e riadattare tali pratiche ad un ambiente che vede pericoli di portata sempre maggiore che non guarda più le dimensioni dell’Azienda che potrebbe colpire.