da LA STAMPA del 30.03.2016 – CAROLA FREDIANI
La conversazione con il venditore di cyber estorsioni ha preso subito una brutta piega. Soprattutto quando ha capito che non volevo comprare il suo kit per distribuire software malevoli in giro, ma volevo solo delle informazioni. «Il mio tempo è denaro, mi “urla” (in maiuscolo) nella chat criptata con cui lo avevo raggiunto, «e io devo pagare le bollette, l’hosting, il sistema per aggirare gli antivirus. Mi hai preso per un ente di beneficenza? Ma chi sei? Un investigatore? Un analista alla Brian Krebs? Mi stai provocando?».
DAL FORUM RUSSO AL KIT IN AFFITTO
Brian Krebs è un giornalista americano molto noto negli ambienti della cybercriminalità russa. Ha infiltrato così bene i suoi forum che alcuni dei suoi membri, per ringraziarlo, gli hanno spedito delle partite di droga per metterlo nei guai. Una volta gli è piombata in casa anche una unità speciale della polizia, sempre grazie agli scherzetti degli “amici” online. Ad ogni modo, prima di darmi il tempo di spiegare, il venditore di ransomware mi aveva già spiattellato tutta la procedura: dovevo pagare 300 dollari in bitcoin, subito, e lui all’istante mi avrebbe affiliato al suo sistema di ransomware, i software malevoli che criptano i file di un computer e poi chiedono un riscatto per decifrarli. Una volta pagato mi avrebbe dato un file eseguibile che avrei dovuto usare per infettare le mie vittime nonché l’accesso a un pannello con cui accedere alla mia parte di guadagni, ottenuti dopo aver gestito da remoto le infezioni e la procedura di raccolta dei riscatti.
A questo venditore sono arrivata dai siti e i forum russi dedicati ad attacchi informatici, perché come vedremo sono un po’ l’epicentro del fenomeno ransomware. Il secondo che contatto in chat appare più tranquillo, anche quando gli dico di essere una giornalista, e accetta di rispondere alle mie domande. Dice perfino che posso citare il suo nome utente sul sito Exploit.in, Tartarus. Anche lui ha un programma di affiliazione. Paghi subito 100 dollari in bitcoin, lui ti dà un file eseguibile da distribuire (come distribuirlo sono poi affari miei) sui computer delle vittime e l’accesso a un pannello di controllo. Di tutti i riscatti incassati si prende il 15 per cento. Dice di avere 3/400 clienti. La ragione per cui la formula ha successo è che è molto semplice, mi scrive Tartarus, e in più libera gli affiliati dai costi di hosting per gestire l’infrastruttura di controllo del malware e dei pagamenti. «E sono soldi facili».
In effetti i programmi di affiliazione dei ransomware pullulano. Ce ne sono anche di automatizzati, in cui non devi stare nemmeno a trattare con chi lo fornisce. Vai sul sito, metti l’indirizzo bitcoin dove ti verrà pagata la tua parte di riscatto, configuri online il malware come lo vuoi tu (ad esempio decidi quanti soldi chiedere e quanto tempo dare alle vittime per pagare), scarichi il malware, lo distribuisci con delle email. È tutto gratuito, si paga con una percentuale degli incassi a chi gestisce l’infrastruttura, il centro di comando e controllo che comunica con i computer infettati. Così semplice che anche noi della Stampa siamo andati su uno di questi siti, ci siamo configurati il nostro ransomware e lo abbiamo scaricato. Poi lo abbiamo spedito a degli esperti di sicurezza informatica. «Non è molto sofisticato ma fa il suo lavoro», ha spiegato alla Stampa Alberto Pelliccione, che con la sua società ReaQta offre alle aziende soluzioni per difendersi da attacchi avanzati, ma che improvvisamente si è trovato a gestire anche un’invasione di cyber estorsioni.
(Il sito da cui abbiamo scaricato il malware con cui infettare potenziali vittime con un ransomware)
EPIDEMIA GLOBALE
«Sono passato ai ransomware perché sono soldi facili”, mi diceva Tartarus. Così facili che stiamo assistendo a un’epidemia di cyber ricatti. “Il 2016 è l’anno in cui i ransomware si abbatteranno sulla comunità che gestisce le infrastrutture critiche americane», tuona un recente rapporto dell’Institute for critical infrastructure technology, pensatoio americano che studia le cyberminacce. «Pagare o non Pagare» sarà la domanda che alimenterà accesi dibattiti all’interno delle aziende, prosegue il documento. E in effetti all’amletico interrogativo vengono date risposte diverse a seconda delle situazioni e dei soggetti interpellati. Molte aziende di sicurezza dicono di non pagare; poi senti l’Fbi, che per bocca di Joseph Bonavolonta, capo della unità cyber di Boston, dichiara: «A dire il vero, spesso consigliamo alle persone di pagare».
ITALIA NEL MIRINO
Insomma, si va in ordine sparso e si naviga a vista, mentre frotte di semplici utenti, aziende, enti pubblici e ospedali (ormai famoso quello di Los Angeles che avrebbe
pagato addirittura un riscatto da 17mila dollari) assaltano letteralmente i consulenti di sicurezza informatica. E mica solo in America: il BelPaese è in prima linea nel campo di battaglia dei ransomware. Sul lato del fronte meno fortunato, però, quello del Paese sotto attacco. Stati Uniti, Giappone, Gran Bretagna, Germania, Italia sono infatti le nazioni più colpite, secondo un rapporto della società di consulenza NYA International.
«Ogni settimana ho un cliente che arriva per questo, l’impennata l’ho vista da metà 2015», spiega alla Stampa Stefano Fratepietro, dell’azienda di sicurezza informatica Tesla Consulting. Tanto che ha dovuto mettere in piedi una unità apposita dedicata solo ai ransomware e alle risposte d’emergenza da dare alle aziende colpite. Una di queste, che forniva buste paga a numerosi enti, si è trovata tutti i file e i documenti cifrati pochi giorni prima di dover distribuire i cedolini. Panico, chiamata al consulente, straordinari notturni. E file alla fine decifrati sì, ma pagando.
QUANTI PAGANO?
Già, perché il fenomeno ha radici lontane ma ha avuto un’impennata negli ultimi anni, dal 2013, quando molti di questi software malevoli che criptano i file di un computer hanno adottato algoritmi di cifratura più forti, impossibili da “craccare” o da aggirare. A quel punto l’unico modo per recuperare i dati cifrati, se non si ha un backup, è ottenere la chiave unica in possesso dei ricattatori. E per quanto bravo sia il consulente che si ha sotto mano, alla fine la scelta è sempre una: prendere o lasciare. Siccome le cifre da pagare non sono altissime, in media 300 dollari (tra i 300 e i 500 euro in Italia) per un utente comune, una fetta consistente di chi viene infettato paga. Il 41 per cento secondo i dati dell’University of Kent. Il 30 per cento secondo le stime di TrendMicro. Nel 2012, secondo Symantec, la percentuale pagante degli utenti infettati era il 3 per cento. Un incremento marcato che sarebbe da attribuire proprio alla cifratura più sofisticata.
IL SEGRETO DEI RANSOMWARE
Le famiglie di ransomware sono diverse. CTB-Locker. CryptoWall, Cryptolocker, TeslaCrypt, Locky sono le più recenti e diffuse. «Nel 2015 era molto usato Cryptowall, a fine anno è salito Cryptolocker e sono apparsi i primi TeslaCrypt e Locky», spiega ancora Pelliccione. «Il fatto è che questi malware non hanno bisogno di essere tecnicamente complessi, anzi, più sono semplici e più sono funzionali perché sfuggono agli antivirus. La parte più evoluta sta semmai nella diffusione del malware».
Detto in altri termini: la forza dei ransomware è che sono semplici da scrivere e se ne possono generare in continuazione e in grandi quantità, usando poi delle tecniche per offuscarli, renderli invisibili (anche qua si trovano siti per farlo). Ma essendo programmi nuovi, spesso gli antivirus non li riconoscono. A quel punto la sfida è solo rendere minimamente credibile la mail (il vettore di attacco più usato) che lo veicola.
BOLLETTE FALSE
«Tipicamente sono mail con false bollette di Telecom o Enel, o finte email di corrieri che dicono di non essere riusciti a consegnare un pacco e che in allegato c’è il modulo per richiedere la consegna», spiega alla Stampa il responsabile ICT di una importante università italiana: ne ha visti parecchi di ransomware ma preferisce restare anonimo. «Le prime mail che arrivavano erano molto rozze e fatte con traduttore automatico; poi è stato evidente che è entrato in gioco qualche italiano e sono migliorate, anche se c’è sempre qualcosa che non torna».
La finta bolletta Enel è molto diffusa, a detta di tutti i consulenti e le vittime interpellate. È perfino citata nel rapporto globale di NYA International, che ricorda come siano presi di mira anche i servizi postali nei vari Paesi. Una campagna che ha attaccato la Royal Mail, cioè gli utenti delle poste inglesi, con mail finte, è arrivata a ben 10 milioni di britannici e ha prodotto 250mila vittime. E avrebbe avuto origine in Russia. Non solo quella specifica campagna, a dire il vero. «Ci sono diverse gang criminali, la maggior parte sono dell’Europa dell’Est, alcune hanno migliori canali di distribuzione di altre», commenta alla Stampa Jérôme Segura, ricercatore di sicurezza dell’azienda californiana Malwarebytes. «Ma abbiamo visto anche molti criminali saltare sul carro dei ransomware perché è un modo molto efficace di raccogliere soldi senza intermediari».
E molti soldi. Sebbene sia difficile quantificare il fenomeno, abbiamo delle stime parziali che fanno scorgere l’entità del mercato. Secondo i calcoli di Dell SecureWorks, ad esempio, nel 2013 CryptoLocker avrebbe prodotto 30 milioni di dollari di ricavi in soli 100 giorni.
DALLA RUSSIA CON FURORE
Inoltre individuare questi gruppi, da parte delle forze dell’ordine dei Paesi colpiti, soprattutto nel Nord America e nell’Europa Occidentale, non è facile. «L’origine di queste campagne è in Russia e nell’Est Europa – conferma anche Santiago Pontiroli, ricercatore di punta della società di sicurezza Kaspersky – e rimane molto difficile individuarne gli autori anche per complicazioni o cavilli legali». Inoltre molte di queste gang stanno attente a non dare troppo fastidio ai Paesi in cui si trovano. «Le tecnologie vendute sui siti e mercati russi tendono a non affliggere utenti residenti negli Stati vicini a quei mercati», spiega Luca Allodi, ricercatore dell’Università di Trento che ha studiato quel tipo di ecosistemi. «Ad esempio i malware russi tendono a non colpire Stati dell’ex-blocco sovietico. Prima di installarsi profilano il sistema attaccato: controllano per esempio se la tastiera ha un layout russo».
L’ultima novità dei ransomware, il malware Cerber, nato proprio nell’underground dell’Est Europa, fa esattamente questo, spiega Segura, ovvero verifica il Paese in cui si trova la vittima e batte in ritirata se si tratta di Russia, Ucraina o altri Stati dell’ex-blocco sovietico. Cerber rappresenta bene anche la capacità di innovazione di questo tipo di software, introducendo una funziona aggiuntiva: parla direttamente alle sue vittime. Attraverso una funzione “da testo a voce” (text-to-speech) trasmette infatti via audio le richieste di riscatto dei cybercriminali. E la cifratura che usa appare delle più forti e inespugnabili. Inoltre, anche questo specifico malware sembra accompagnarsi a una modalità di commercializzazione di “software come servizio”, ovvero il programmatore originario affitta il proprio sistema ad altri in cambio di una percentuale degli introiti.
Non solo: oltre alle campagne di attacco indiscriminate, fatte di mail di phishing che sparano nel mucchio, stanno arrivando anche operazioni mirate, mail che puntano a specifici target, commenta Pontiroli.
EVOLUZIONI FUTURE
Una capacità trasformistica che preoccupa molto l’Fbi. In un memo inviato a marzo ad aziende e organizzazioni, la divisione cyber dell’agenzia americana avverte di un nuovo schema e una nuova variante di ransomware che cerca di infettare interi network e di localizzare e cancellare eventuali backup. A ciò va aggiunta una indagine di Reuters, secondo la quale starebbero emergendo casi di attacchi di questo tipo condotti da gruppi di hacker cinesi in genere associati a operazioni governative e a campagne più sofisticate delle cyber estorsioni. Come dire: sul carro dei soldi facili possono saltare anche mercenari con capacità avanzate, col rischio di far evolvere ulteriormente il fenomeno.
In Italia sta già evolvendo. «È probabile che molte mail inviate a utenti italiani siano fatte col traduttore o chiedendo aiuto a degli italiani, ma gestite comunque da altri», mi dice Tartarus. Ma l’idea che sia rimasto solo un business russo o dell’Est si scontra con l’osservazione dei nostri esperti di cybersicurezza. «Secondo me qualche italiano inizia ad esserci», commenta Paolo Dal Checco, dello studio di informatica forense DiFoB, che da tempo sta analizzando il fenomeno al punto da aver aperto anche un sito apposito, per raccogliere le segnalazioni dagli utenti mettendo nello stesso tempo a disposizione risorse e informazioni. Anche Fratepietro ne è convinto. «In un caso abbiamo visto email di phishing con finte bollette Hera», spiega riferendosi alla multiutility che opera in centro Italia.
«In Italia oltre a Teslacrypt (la versione 4.0 è di pochi giorni fa) e Locky, ora stanno arrivando Cerber, e si sono visti ultimamente persino tornare i ransomware per Android, oltre a strascichi di Crypt0l0cker, Rakhni e persino il CTB Locker sia per PC sia per siti web», commenta Dal Checco. Sì, perché anche i siti web possono essere colpiti. E per gli stessi esperti che se ne occupano, stare dietro a questo fenomeno è un lavoro a parte. «Solo oggi mi hanno contattato per infezioni di TeslaCrypt e Cerber, poi è uscito un decryptor (un programma per decrittare) gratuito per Nemucod, mentre è stato identificato un nuovo ransomware di nome Troldesh che mette come estensione ai file cifrati “.better_call_saul” (”faresti meglio a chiamare Saul”…)».
In attesa di Saul, i consigli restano pochi. Li elenca Segura:«Tenete aggiornati i vostri sistemi; fate backup regolari e teneteli offline; segregate parti della vostra rete in modo da contenere le infezioni; usate apposite soluzioni per bloccare proattivamente gli attacchi». E come si vede, non funzionano col senno di poi.