IL GIOCO PERICOLOSO DEI RANSOMWARE

di Serena Lisi

 

Il 28 luglio 2018, a poco più di due mesi dall’entrata in vigore del nuovo regolamento europeo  2016/679, testate nazionali, locali e diffuse via web diffondono la notizia di un nuovo, ennesimo attacco alla privacy degli utenti di internet e social network, nonché proprietari di dispositivi mobili, in primis di smartphone, tablet e altri computer portatili. L’attacco è stato perpetrato attraverso una e-mail o tramite SMS ed MMS (Messaggi Multimediali) o ancora messaggi inviati tramite app dei social network (un esempio è il famosissimo Messenger di Whatsapp). Il contenuto del messaggio incriminato è un link che, se aperto dall’utente, mostra un video pornografico. L’oggetto del suddetto messaggio riguarda la password, non meglio identificata, dell’utente che, preso da una iniziale perplessità, continua a leggere pensando che la parola-chiave menzionata sia riferita all’account di posta stesso (privato o di lavoro) oppure ad un conto postale, bancario e affini. Durante la lettura, la vittima scopre che, in effetti, una delle sue password, quella della posta che sta leggendo (o del suo account principale collegato ai social network su cui riceve riceve la minaccia), è stata effettivamente sottratta e che la “controparte” chiede un vero e proprio riscatto (ransom), il più delle volte in bitcoin, affinché quella password non venga utilizzata per far sì che gli spazi personali (posta ed altro) ad esse correlati diventino un vero e proprio trampolino di lancio per la diffusione di un video che riprende l’utente intento nell’aprire il video pornografico accessibile tramite il link-esca contenuto nel messaggio. Il messaggio spiega che tramite il link è pornografico aperto è stato effettuato un accesso alla webcam della vittima, che viene ripresa mentre guarda, suo malgrado, il video porno inviato.

 

La realtà dei fatti è, però, più semplice, come spiegato anche nel forum della Polizia Postale dedicato ai reati telematici (https://www.commissariatodips.it/profilo/commissariato-di-ps-on-line.html). La password dell’account di posta è stata effettivamente reperita, magari tramite dark web, tra quelle più recenti (può trattarsi di quella attuale o della penultima), ma essa non può dare la possibilità di accedere al controllo di dispositivi quali telecamere e microfoni; la password è stata carpita in un momento precedente all’invio del messaggio incriminato ma non è sufficiente, di per sé, ad accedere alle app e hardware collegati al dispositivo. Il link al video pornografico, al più, può dare accesso alla galleria di immagini collegata a posta e social network e bloccare il sistema per un overflow, ossia inondazione di immagini e dati. Tecnicamente, l’accesso a telecamere e microfoni è tramite il furto di password e link di posta elettronica è possibile ma, almeno n quest’ultimo caso, ciò non è accaduto, perché il ricatto era basato sulla paura e parziale disinformazione delle vittime e non su una struttura robusta del malware. In breve, questo ransomware sfruttava quello che in etologia è chiamato mimetismo malleriano, ossia fingeva di essere qualcosa di più pericoloso di ciò che è in realtà: chi ha ricevuto il messaggio, in sostanza, credeva di essere oggetto della cosiddetta revenge porn, una forma di vendetta (con ricatto) basata sulla diffusione di immagini pornografiche presso i propri contatti privati e di lavoro.

 

In casi come questi, il problema non risiede solo nella violazione della privacy delle persone fisiche, oggetto della nuova normativa europea. Tale violazione spalanca la porta a reati ancora più gravi e preoccupanti, come la violazione di segreti di azienda o di archivi di enti pubblici. Italia e Paesi europei sono solo le ultime vittime di questo sistema di ricatto e riscatto, ormai noto agli esperti da più di tre anni: sviluppatosi come gioco pericoloso tra adolescenti in cerca di riscatto, notorietà o vendette private contro coetanei e adulti, i ransomware, ossia i codici malevoli che conducono a richieste di riscatto per furto di dati e/o identità, hanno colpito in tutto il mondo: dagli Stati Uniti all’Estonia, dalla Russia alla Cina. Gli attacchi più noti al grande pubblico sono stati White Rose, citato anche sul sito del DIS, l’attacco ad Atlanta, l’attacco allo spazio iCloud e Mirai.

 

White Rose è un ransomware della famiglia di Infinite Tear, così come lo sono Black Ruby e Zenis. Tutti questi codici malevoli agiscono principalmente sui sistemi Windows ed accedono con vari metodi al desktop o altri spazi del device colpito bloccando file di svariate estensioni (moltissime) attraverso una vera e propria operazione di encryption, ossia di cifratura. I target file vengono resi inutilizzabili perché ne viene cambiata l’estensione: ad esempio, Infinite Tear cifrava numerosissimi tipi di file aggiungendo una ulteriore estensione alla fine della denominazione degli stessi, del tipo .JezRos, in modo che l’utente si ritrovasse di fronte a file del tipo .doc.JezRos anziché .doc, .docx, jpeg, e via dicendo. I vari tipi di ransomware della famiglia di Infinite Tear riportano, in luogo dell’apertura dei file compromessi, un messaggio che richiede il riscatto. A differenza di altri ransomware, il messaggio è scritto in un inglese accettabile, con linguaggio falsamente poetico ed evocativo, ma privo degli errori vistosi che saltano agli occhi negli ultimi attacchi del 2018. In breve, questa famiglia di codici è creata con cura e attenzione da personaggi esperti.

 

Anche l’attacco ad Atlanta ha funzionato come un denial of service. Il pericolo derivava dal fatto che i computer bloccati erano quelli dell’amministrazione cittadina, contenenti i dati dei cittadini, ma anche altre informazioni ed accessi ad ulteriori funzionalità dei pubblici servizi. E anche in questo caso, è stato richiesto un riscatto per “liberare” dati e funzionalità.

 

Diversamente, l’interesse del grande pubblico per iCloud è dovuto al fatto che ad essere colpiti sono stati i dispositivi Mac, funzionanti fondamentalmente con un sistema operativo Linux e non con Windows: il Cloud che raccoglieva i dati degli utenti Mac colpiti veniva criptato e reso inaccessibile richiesto con l’automatica richiesta di riscatto per lo sblocco.

 

Al contrario dei precedenti malware citati, Mirai ha creato scompiglio proprio perché nel 2016 ha realizzato in concreto quello che l’attacco di luglio 2018 non avrebbe mai potuto compiere: ha preso di mira le password di svariati utenti ed ha ottenuto l’accesso a dispositivi di vario tipo (in pratica, all’intero Internet of Things, IoT), prendendo il controllo di telecamere, monitor, webcam, microfoni e altro ancora e, tramite botnet (connessioni-pirata), ha trasformato i dispositivi in veri e propri computer zombie.

 

Sul come difendersi non esiste una risposta univoca, ma si possono sicuramente usare alcune accortezze basilari ma spesso trascurate: aver cura delle proprie password ed eseguire sempre il log out  da posta, social network ed altre app collegate alla rete; prestare attenzione ai permessi (richiesti o automatici) di varie app, come ad esempio l’accesso automatico alla propria galleria di immagini e foto (una app come Whatsapp lo fa); non aprire o cliccare links sconosciuti o dubbi; non farsi prendere dal panico al primo messaggio minaccioso ricevuto, facendo attenzione anche al linguaggio (ed alla grammatica del medesimo) con cui esso è scritto; non collegare la propria posizione lavorativa (e quindi l’eventuale comunicazione di segreti di ufficio) a quella privata. Le accortezze qui riportate sono solo la base di una  più complessa cultura e cura della sicurezza globale, ma sono il punto di partenza dal quale ogni cittadino medio dovrebbe trarre spunti di riflessioni sul proprio operato ed uso dei dispositivi internet in suo possesso.

Leave a Reply