I principali vettori di infezione per i ransomware

I principali vettori di infezione per i ransomware

Data Center modulari prefabbricati: blocchi funzionali
Data Center modulari prefabbricati: blocchi funzionali
30 Settembre 2021
L’arte di comunicare secondo Cicerone: La disposizione
L’arte di comunicare secondo Cicerone: La disposizione
6 Ottobre 2021

Dietro ai ransomware non troviamo hacker isolati, ma organizzazioni criminali complesse in grado di gestire, dopo aver colpito il nostro computer, il pagamento del riscatto attraverso la rete TOR¹ con un pagamento in Bitcoin o altra criptovaluta. Alcuni ransomware come JIGSAW prevedono perfino un servizio clienti (vittime in questo caso) a mezzo chat!

Il riscatto richiesto è generalmente di poche centinaia di euro. I criminali sanno che un utente al quale viene chiesto un riscatto di qualche centinaio di euro pagherà facilmente, magari anche nel caso abbia a disposizione un backup dei dati perché il loro ripristino può rivelarsi più costoso. Inoltre la richiesta di un basso riscatto comporta che solo un quarto degli incidenti da ransomware viene denunciato alla polizia postale.

I vettori di infezione utilizzati dai malviventi per inoculare i ransomware sono i medesimi utilizzati per gli altri tipi di malware. I più comuni sono: email di phishing, la navigazione su siti compromessi, l’incapsulamento all’interno di altri software o il ricorso al desktop remoto.

Email di phishing

Si tratta della tecnica più diffusa proprio perché il social engineering funziona molto bene nella maggioranza dei casi. Il 75% dei ransomware viene veicolato in questo modo perché nel 30% dei casi le email di phishing

vengono aperte dai destinatari e nel 10% dei casi questi aprono anche gli allegati o cliccano sui link in esse contenuti.

Navigazione su siti compromessi

La navigazione su siti violati dagli hacker consente, attraverso la tecnica del drive by download², di operare agli exploit kit ³ che sfruttano le vulnerabilità dei browser o dei plug in. Durante la navigazione su siti violati possono presentarsi collegamenti, pulsanti o banner che rinviano l’utente al dowload del malware.

All’interno di altri software

Ransomware possono essere embadded all’interno di altri software, in particolare programmi gratuiti che gli utenti scaricano in rete per le finalità più diverse. Si tratta di un veicolo molto pericoloso perché il software ospitante è un eseguibile (.exe).

Attraverso il desktop remoto

Ransomware come LOKMANN.KEY993 ricorrono al Remote Desktop Protocol ⁴ (RDP) per sferrare un attacco brute force⁵ al dispositivo vittima finalizzato ad individuare le password di accesso via Desktop Remoto appunto. Individuata la password di accesso, l’hacker si collega al dispositivo utilizzando le credenziali della vittima potendo così lanciare l’esecuzione del ransomware direttamente in locale. Si rivela dunque ancora una volta importante ricorrere a password robuste oltre che disabilitare il servizio di desktop remoto qualora non utilizzato.

 

¹Acronimo di The Onion Router. Si tratta di un software libero basato sulla licenza BSD che permette una comunicazione anonima su Internet basata sul protocollo di rete di onion routing. Tramite TOR è molto più difficile tracciare l’attività Internet di un utente essendo l’onion routing finalizzato a proteggere la privacy degli utenti, la loro libertà e la possibilità di condurre delle comunicazioni confidenziali senza che vengano monitorate o intercettate.

² Si intende per drive by download l’installazione di software malevolo eseguita attraverso pagine Web appositamente realizzate per sfruttare le vulnerabilità dei browser o dei loro plug-in.

³ Un exploit kit è una tipologia di script, virus, worm, porzione di dati o binario che sfrutta un bug o una vulnerabilità per creare comportamenti non previsti in software e hardware per consentire l’accesso a sistemi informatici, permettere l’acquisizione dei privilegi amministrativi o attacchi denial of service (DoS o il correlato DDoS).

⁴ l Remote Desktop Protocol è un protocollo di rete proprietario sviluppato da Microsoft, che permette la connessione remota da un computer a un altro in maniera grafica. Il protocollo di default utilizza la porta TCP e UDP 3389. I client RDP esistono per la maggior parte delle versioni di Microsoft Windows, Linux, Unix, macOS, Android e iOS.

⁵ Il metodo brute force (forza bruta) è un algoritmo di ricerca esaustiva della soluzione di un problema che consiste nel verificare tutte le soluzioni teoricamente possibili fino a che si trova quella effettivamente corretta. Questo fu il metodo utilizzato dal controspionaggio polacco per decifrare i messaggi tedeschi della macchina Enigma, ideata da Arthur Scherbius. Per ottenere il risultato essi utilizzarono la famosa Bomba ideata da Marian Rejewski, una speciale macchina calcolatrice in grado di sottoporre il messaggio cifrato ad un attacco di forza bruta, fino a trovare la soluzione. La macchina venne poi perfezionata dagli inglesi, grazie al contributo del grande matematico Alan Turing.

Bibliografia:
Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

EnglishFrenchGermanItalianRussianSpanish