Come funziona il ransomware CryptoLocker
Tra i più diffusi e temibili virus ransomware spicca il CryptoLocker.
Questo pericolosissimo virus informatico ha già mietuto moltissime vittime, causando danni totali per più di 3 miliardi di dollari. L’attacco, molto spesso, parte da una semplice email di phishing, a seguito della quale i dati dei dispositivi vengono criptati. Per recuperarli, la vittima viene spesso obbligata a pagare un riscatto. Sebbene possa colpire potenzialmente chiunque, questo tipo di attacco diventa particolarmente pericoloso in contesti aziendali.
Recentemente, solo per fare un esempio, l’azienda Marposs di Bentivoglio è stata oggetto di attacco, con conseguenze gravi. Ma in cosa consiste questa tipologia di virus, come agisce e come comportarsi in caso di cyberattacco?
Scopriamolo insieme.
CryptoLocker: cos’è
Il CryptoLocker appartiene alla categoria dei virus ransomware. Si tratta di virus informatici che infettano i computer bloccando l’accesso ai dati.
Quando si parla di ransomware, esistono due tipologie principali di software malevoli.
Una prima categoria comprende tutti quei virus che impediscono l’accesso al pc con lock screen. Il dispositivo viene cioè reso inutilizzabile mediante pagina o un’immagine a schermo intero.
Abbiamo poi i virus che, al contrario, impediscono l’accesso criptando tutti i dati contenuti nel dispositivo. Questi ransomware vengono definiti encryption, e CryptoLocker fa parte di questa seconda tipologia di virus informatici.
In sostanza, le vittime sotto attacco non possono più recuperare il contenuto dei sistemi. Per riottenere i dati, viene chiesto loro il pagamento di un riscatto.
Come vedremo a breve, spesso questi virus vengono veicolati tramite email di phishing. La vittima viene tratta in inganno dai cybercriminali, che si spacciano per aziende note e istituzioni. Il malcapitato viene indotto a scaricare un allegato, che tuttavia contiene un virus ransomware. Una volta infettato il computer, l’accesso ai dati sarà totalmente compromesso e alla vittima verrà richiesto un vero e proprio riscatto.
Questo tipo di ransomware è infatti in grado di rilevare e crittografare tutti i file contenuti nel dispositivo.
La vulnerabilità dei sistemi operativi Microsoft Windows
Il ransomware può criptare i dati di sistemi operativi Microsoft Windows, come XP, Vista, Windows 7 e 8. Tuttavia, non ha effetti sui prodotti di Apple. Inoltre, non può infettare dispositivi mobili come tablet e smartphone. Può però infettare drive USB e dischi esterni, ma anche dispositivi basati su cloud.
In merito alle origini dei CryptoLocker, questi virus apparvero per la prima volta già nel lontano 1989, con un periodo di massima diffusione tra il 2013 e il 2014. Tuttavia, sono ancora oggi molto utilizzati dagli hacker.
I cyberattacchi odierni che sfruttano questo sistema, tra l’altro, sono più dettagliati e mirati. Un aspetto che rende difficile mitigare gli effetti del virus informatico ad infezione avvenuta.
Modalità di attacco del virus ransomware: phishing, falle e accessi da remoto
Ci sono diverse modalità per avviare un attacco CryptoLocker. Questo virus ransomware che, come detto, serve per bloccare e criptare i dati delle vittime, spesso entra nei sistemi aziendali utilizzano del email.
Si può parlare, in questi casi, di vere e proprie email di phishing, che possono avere come bersaglio gli impiegati aziendali. Una volta scaricato e aperto l’allegato malevolo, inviato via email, parte l’attacco CryptoLocker.
Tuttavia, i cybercriminali possono infiltrarsi nei sistemi aziendali quando questi sono particolarmente vulnerabili. Ricordiamo infatti che mancati aggiornamenti ai sistemi possono creare delle vere e proprie falle nella sicurezza dei sistemi. E gli hacker possono sfruttare tali falle per infiltrarsi nei server aziendali, criptandone poi i dati.
Altro aspetto che può rendere i server aziendali vulnerabili riguarda l’uso di VPN e accessi da remoto. In questo caso, le violazioni possono avvenire facilmente se gli hacker rubano le credenziali di uno o più utenti.
L’attacco del ransomware alla sede Marposs
Tra le note vittime del ransomware di tipo CryptoLocker, anche la nota azienda Marposs, nella sua sede di i Bentivoglio, in provincia di Bologna.
L’azienda, specializzata in soluzioni di controllo qualità e di precisione in ambito industriale, è stata colpita duramente dall’attacco.
Il virus ransomware è stato infatti in grado di compromettere alcuni sistemi fondamentali, causando difficoltà operative legate in particolar modo all’utilizzo dei server aziendali. A farne le spese, sono stati soprattutto i servizi logistici e gli uffici amministrativi. L’attacco del CryptoLocker ha avuto impatto minore sul settore produttivo.
L’impresa ha dunque dovuto correre ai ripari, attivando la CIG per i propri dipendenti fino alla data del 7 febbraio. Oltre ad attivare la cassa integrazione, ovviamente, una task force di esperti in sicurezza informatica si è messa all’opera per ripristinare i sistemi compromessi.
Sono inoltre ancora in corso le indagini della Polizia Postale per individuare gli autori dell’attacco informatico.
Cosa fare in caso di attacco CryptoLocker
Ora che abbiamo chiarito tutti i dettagli sul CryptoLocker, cerchiamo di capire come agire in caso di attacco.
Il primo passo da compiere è quello di recuperare i dati. Se sono stati effettuati backup recenti, questi possono essere ripristinati. Ovviamente, il ripristino dovrà avvenire esclusivamente su altri dispositivi, diversi da quelli già infetti.
Potrebbe però accadere che non vi siano backup recenti a disposizione.
In questo caso, la tentazione di cedere alle richieste dei cybercriminali per recuperare i dati potrebbe essere forte. Tuttavia, si consiglia di non cedere ai ricatti e di rivolgersi, piuttosto, a esperti in cybersecurity. Gli esperti potrebbero essere in grado di recuperare i backup anche se i dati sono compromessi.
Cedere al pagamento di un riscatto, infatti, non garantisce di rientrare in possesso dei propri dati. Dopo aver ricevuto i soldi, i criminali potrebbero decidere di non mantenere la parola data e di non restituire l’accesso ai dispositivi.
L’importanza della prevenzione
A seguito di un attacco CryptoLocker, infine, è opportuno per l’azienda colpita procedere con il potenziamento della sicurezza. Un potenziamento che può avvenire non solo aggiornando i sistemi e rivolgendosi a esperti, ma anche formando i dipendenti.
I lavoratori devono infatti acquisire consapevolezza sul phishing e sui potenziali attacchi, in modo da riconoscere le minacce e, in futuro, evitarle.
Dopo un attacco, inoltre, è necessario rivolgersi alle Forze dell’Ordine. Ricordiamo infatti che, come ogni altro attacco ransomware, anche il CryptoLocker è un vero e proprio atto criminale.
