Cronaca di un attacco di ransomware: notte 1

3 marzo 2017, 2:00 AM



[ZEUS News - www.zeusnews.it - 05-05-2017]

Ransomware2

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Cronaca di un attacco di ransomware: in chat con i criminali

Sono le due del mattino: come capita spesso agli informatici, sono ancora al computer e mi vedo arrivare una mail intitolata Urgente ransomware. Se qualcuno mi scrive a quest'ora, dev'essere davvero urgente, per cui leggo subito la mail, che dice che un'azienda della regione in cui abito è stata attaccata da criminali informatici e "tutto è stato criptato". Sono scomparsi tutti i dati di produzione; cosa peggiore, sono stati criptati anche i backup. Senza i dati aziendali ci saranno più di cinquanta dipendenti che non potranno lavorare: niente mail, niente contabilità, niente di niente.

I criminali vogliono 2 bitcoin di riscatto (circa 2000 franchi) entro cinque giorni per fornire la chiave di decifrazione. Trascorsi questi cinque giorni, il riscatto raddoppierà. L'azienda pensa subito di pagare, perché ogni giorni di inattività costa migliaia di franchi, ma i titolari non sanno come procurarsi i bitcoin e così chiedono aiuto a me.

Avendo già visto cosa succede e come ci si sente in casi come questi, rispondo subito nonostante l'orario: chiedo una schermata che mostri l'avviso visualizzato dal ransomware, per capire se per caso è uno di quelli per i quali esiste già una chiave di sblocco conosciuta (nel qual caso non ci sarebbe bisogno di pagare) o uno di quelli che cifra i dati ma non li decifra (nel qual caso è inutile pagare, perché tanto i dati non verranno recuperati).

Ricevo la schermata, scritta in buon inglese: il ransomware è Nemesis, che non ha chiavi di decifrazione note. Però ha una chat interattiva (sì, si può dialogare con il "servizio clienti" dei criminali) e anche un pratico link a un video tutorial presente su Youtube (ma non creato dai criminali) che spiega come installare il browser Tor per poi accedere alla chat.

nemesis initial screen censored

C'è il problema di procurarsi i bitcoin: io non li posso fornire, perché dal punto di vista legale, visto che so a cosa servono, un mio aiuto potrebbe essere considerato come una forma di assistenza ai criminali e quindi di complicità. Posso solo indicare alcune informazioni pubbliche (per esempio il fatto che si possono acquistare bitcoin presso le stazioni ferroviarie svizzere) e citare le raccomandazioni di MELANI (la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Confederazione), che sconsigliano di pagare.

Raccomando di spegnere appena possibile tutti i computer affetti e di isolarli da qualunque connessione di rete cablata o Wi-Fi. In casi come questi, infatti, bisogna presumere che tutti i computer della rete aziendale siano infetti e debbano essere bonificati uno per uno. Fino a quel momento, nessuno di essi deve collegarsi a Internet o alla rete aziendale per non reinfettarsi e reinfettare gli altri computer.

Sondaggio
Ogni quanto tempo il tuo Pc è affetto da malware?
Una o due volte l'anno.
Tre o più volte l'anno.
E' successo una volta e mai più.
Mai.

Mostra i risultati (2638 voti)
Leggi i commenti (38)

Bisogna anche pensare a eventuali dispositivi o macchinari connessi alla rete aziendale: il ransomware colpisce i sistemi Windows, ma che succede se uno dei macchinari è comandato da un PC che usa questo sistema operativo?

Consiglio inoltre di non tentare di risolvere l'attacco usando antivirus o altro, almeno fino a quando non saranno stati recuperati i dati: c'è il rischio che l'antivirus riconosca e rimuova il malware che serve per la decrittazione (ammesso, e non concesso, che i criminali siano di parola e diano la chiave di decrittazione).

Il sistemista chiamato dall'azienda per risolvere la crisi, Giovanni (non è il suo vero nome e non è lui responsabile delle scelte informatiche dell'azienda), è già al lavoro ed è già in chat con i truffatori da mezzanotte. Ormai è chiaro che i dati non sono recuperabili in altro modo e che l'unica via per tentare di far ripartire l'azienda è pagare il riscatto, sperando che i criminali siano di parola e diano la chiave di decrittazione.

@Support: Hello!
Are your files encrypted?
@User: Yes
@Support: Please your all personal IDs
@Support: I need all the IDs to calculate the total cost and possible discounts
[...]

Il ransomware, infatti, genera uno più numeri identificativi individuali (ID), che i criminali usano per generare la chiave di decrittazione. Notate il tono professionale, quasi da servizio clienti, appunto, del criminale che chiede i dati per calcolare persino gli eventuali sconti.

Il criminale fornisce le coordinate del proprio wallet nel quale versare i bitcoin e offre persino consigli su come proteggersi e del software che dà "immunità" contro ulteriori attacchi: in pratica, un pizzo. Che naturalmente si paga a parte.

@Support: Tips, programs to protect your computer. Immunity from nemesis.
@Support: 200$. This is bought separately.

I criminali sembrano quasi cortesi, dei ladri gentiluomini, ma Giovanni scopre che gli hanno installato nei computer aziendali un malware, RPD Patch, pronto a colpire.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Cronaca di un attacco di ransomware: pomeriggio 1

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Come perdere mezzo miliardo: non serve smarrire la password del wallet Bitcoin
Estorsione digitale: si tende a cedere al ricatto

Commenti all'articolo (ultimi 5 di 12)


{Dario}
ci sono società come 2open che permettono di recuperare file criptati da ramsmware per molto meno e senza pagare questi criminali!
9-5-2017 16:08

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Science ha pubblicato una classifica di 10 grandi scoperte avvenute nel 2011. Quale ritieni che sia la più significativa?
Nuovi metodi per la lotta all'AIDS. I trattamenti somministrati alle persone infette da HIV riducono il tasso di trasmissione: si potranno elaborare nuove strategie.
L'origine delle meteoriti. La missione giapponese Hayabusa ha scoperto che le meteoriti che più comunemente cadono sulla Terra provengono da un unico gruppo di asteroidi.
Luce sull'origine dell'uomo. Molte persone hanno ancora tracce di DNA arcaico, frutto di incroci avvenuti nella preistoria.
I meccanismi della fotosintesi. Scienziati giapponesi hanno scoperto la proteina usata dalle piante per separare acqua e ossigeno. Potrebbe aprire la strada per produrre energia pulita.
Gas primordiale. Sono state scoperte delle nubi di gas primordiale, rimaste nelle condizioni in cui si trovavano poco dopo il Big Bang.
Microbioma. I microbi che abitano nel nostro corpo non sono casuali ma appartengono a tre enterotipi, uno dei quali dominante. Conoscerli può aiutare a elaborare strategie personalizzate contro le malattie.
Vaccino contro la malaria. La sperimentazione ha fornito i primi risultati promettenti dopo anni infruttuosi.
Esopianeti. Le scoperte di Kepler hanno scovato dei "fratelli" della Terra che li costringeranno a rivedere le teorie sulla formazione dei pianeti.
Zeoliti sempre più efficienti ed economiche. Le zeoliti sintetiche sono minerali usati come "setacci molecolari" per ottenere la benzina dal petrolio, per purificare l'acqua o l'aria.
Prevenire l'invecchiamento. Eliminare le celle più vecchie, non più in grado di dividersi, si è rivelato un buon metodo per mantenerci sani più a lungo.

Mostra i risultati (5204 voti)
Settembre 2021
Apple svela gli iPhone “più Pro” di sempre
Ripristinare il vecchio menu Start in Windows 11
Uno spot mette Windows 11 KO
L'auto elettrica di Apple
Microsoft non bloccherà Windows 11 sui PC non supportati
Windows 11, svelata la data di lancio
Agosto 2021
La barra di Windows 11 è di proposito peggiore di quella di Windows 10
Violati i server TIM, password degli utenti a rischio
Windows 11, disponibile la prima ISO ufficiale
Microsoft: disabilitate il sistema di stampa di Windows (di nuovo)
Google taglia gli stipendi a chi sceglie il telelavoro
Gli iPhone scansioneranno tutte le foto alla ricerca di pedopornografia
Due parole sull’attacco informatico “terroristico” alla Regione Lazio
Windows 365 è già disponibile e costa meno di 30 euro al mese
Luglio 2021
Nuovo digitale terrestre, tutto rimandato
Tutti gli Arretrati
Accadde oggi - 17 settembre


web metrics