Salta il menu

Newsletter Feed RSS Facebook Forum Contatti Accadde oggi Cerca

Cronaca di un attacco di ransomware: notte 1

3 marzo 2017, 2:00 AM

Articolo multipagina2 / 6

[ZEUS News - www.zeusnews.it - 05-05-2017]

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Cronaca di un attacco di ransomware: in chat con i criminali

Sono le due del mattino: come capita spesso agli informatici, sono ancora al computer e mi vedo arrivare una mail intitolata Urgente ransomware. Se qualcuno mi scrive a quest'ora, dev'essere davvero urgente, per cui leggo subito la mail, che dice che un'azienda della regione in cui abito è stata attaccata da criminali informatici e "tutto è stato criptato". Sono scomparsi tutti i dati di produzione; cosa peggiore, sono stati criptati anche i backup. Senza i dati aziendali ci saranno più di cinquanta dipendenti che non potranno lavorare: niente mail, niente contabilità, niente di niente.

I criminali vogliono 2 bitcoin di riscatto (circa 2000 franchi) entro cinque giorni per fornire la chiave di decifrazione. Trascorsi questi cinque giorni, il riscatto raddoppierà. L'azienda pensa subito di pagare, perché ogni giorni di inattività costa migliaia di franchi, ma i titolari non sanno come procurarsi i bitcoin e così chiedono aiuto a me.

Avendo già visto cosa succede e come ci si sente in casi come questi, rispondo subito nonostante l'orario: chiedo una schermata che mostri l'avviso visualizzato dal ransomware, per capire se per caso è uno di quelli per i quali esiste già una chiave di sblocco conosciuta (nel qual caso non ci sarebbe bisogno di pagare) o uno di quelli che cifra i dati ma non li decifra (nel qual caso è inutile pagare, perché tanto i dati non verranno recuperati).

Ricevo la schermata, scritta in buon inglese: il ransomware è Nemesis, che non ha chiavi di decifrazione note. Però ha una chat interattiva (sì, si può dialogare con il "servizio clienti" dei criminali) e anche un pratico link a un video tutorial presente su Youtube (ma non creato dai criminali) che spiega come installare il browser Tor per poi accedere alla chat.

C'è il problema di procurarsi i bitcoin: io non li posso fornire, perché dal punto di vista legale, visto che so a cosa servono, un mio aiuto potrebbe essere considerato come una forma di assistenza ai criminali e quindi di complicità. Posso solo indicare alcune informazioni pubbliche (per esempio il fatto che si possono acquistare bitcoin presso le stazioni ferroviarie svizzere) e citare le raccomandazioni di MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Confederazione), che sconsigliano di pagare.

Raccomando di spegnere appena possibile tutti i computer affetti e di isolarli da qualunque connessione di rete cablata o Wi-Fi. In casi come questi, infatti, bisogna presumere che tutti i computer della rete aziendale siano infetti e debbano essere bonificati uno per uno. Fino a quel momento, nessuno di essi deve collegarsi a Internet o alla rete aziendale per non reinfettarsi e reinfettare gli altri computer.

Sondaggio

Ogni quanto tempo il tuo Pc è affetto da malware?

Leggi i commenti (49)

Bisogna anche pensare a eventuali dispositivi o macchinari connessi alla rete aziendale: il ransomware colpisce i sistemi Windows, ma che succede se uno dei macchinari è comandato da un PC che usa questo sistema operativo?

Consiglio inoltre di non tentare di risolvere l'attacco usando antivirus o altro, almeno fino a quando non saranno stati recuperati i dati: c'è il rischio che l'antivirus riconosca e rimuova il malware che serve per la decrittazione (ammesso, e non concesso, che i criminali siano di parola e diano la chiave di decrittazione).

Il sistemista chiamato dall'azienda per risolvere la crisi, Giovanni (non è il suo vero nome e non è lui responsabile delle scelte informatiche dell'azienda), è già al lavoro ed è già in chat con i truffatori da mezzanotte. Ormai è chiaro che i dati non sono recuperabili in altro modo e che l'unica via per tentare di far ripartire l'azienda è pagare il riscatto, sperando che i criminali siano di parola e diano la chiave di decrittazione.

@Support: Hello!
Are your files encrypted?
@User: Yes
@Support: Please your all personal IDs
@Support: I need all the IDs to calculate the total cost and possible discounts
[...]

Il ransomware, infatti, genera uno più numeri identificativi individuali (ID), che i criminali usano per generare la chiave di decrittazione. Notate il tono professionale, quasi da servizio clienti, appunto, del criminale che chiede i dati per calcolare persino gli eventuali sconti.

Il criminale fornisce le coordinate del proprio wallet nel quale versare i bitcoin e offre persino consigli su come proteggersi e del software che dà "immunità" contro ulteriori attacchi: in pratica, un pizzo. Che naturalmente si paga a parte.

@Support: Tips, programs to protect your computer. Immunity from nemesis.
@Support: 200$. This is bought separately.

I criminali sembrano quasi cortesi, dei ladri gentiluomini, ma Giovanni scopre che gli hanno installato nei computer aziendali un malware, RPD Patch, pronto a colpire.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Cronaca di un attacco di ransomware: pomeriggio 1

Articolo multipagina

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.

Paolo Attivissimo

Commenti all'articolo (ultimi 5 di 12)

{Dario}

ci sono società come 2open che permettono di recuperare file criptati da ramsmware per molto meno e senza pagare questi criminali!
9-5-2017 16:08

Leggi gli altri 7 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(5 commenti) Windows in Europa si piega al Digital Markets Act	Editoriale(5 commenti) La fine del mondo, virtuale

News(3 commenti)

Vodafone, è l'ora degli aumenti

News(3 commenti)

WhatsApp e Messenger aprono agli altri servizi di chat

News(5 commenti)

Windows 11, addio alle app per Android

Flash(12 commenti)

Linux conquista il 4% del mercato desktop

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

L'app che permette di noleggiare un'autovettura direttamente dallo smartphone è molto contestata dai tassisti.

	Non è necessario introdurre nuove regole per l'app. I tassisti hanno torto, perché il mondo si evolve ma loro ragionano come se Internet non esistesse, difendendo ciecamente la loro casta (che ha goduto di fin troppi privilegi negli ultimi anni).
	I tassisti dovranno adeguarsi e mandare giù il boccone amaro, anche se un minimo di regolamentazione per l'app è necessaria.
	L'app non va vietata del tutto, ma va limitata in modo pesante così da poter salvaguardare le esigenze dei tassisti.
	L'app va completamente vietata: i tassisti hanno ragione a protestare, perché Uber minaccia il loro lavoro e viola leggi e regolamenti.
	Non saprei.