I ransomware sono solo una parte del problema

I ransomware sono solo una delle tante attività illegali condotte online dagli hacker. Il vero problema da affrontare è quello dei "bot".

Articolo sponsorizzato su ransomware e botnet

Questo articolo è sponsorizzato da Hosting Solutions e dalla gamma “Servizi per la Sicurezza”.

Tra Aprile e Giugno l’opinione pubblica si è scoperta interessata alle ondate di attacchi ransomware che hanno colpito i terminali di mezzo mondo. Ed il merito è stato principalmente dei giornali/siti non specializzati che hanno deciso di dare ampio risalto alla vicenda Wannacrypt, il malware “confezionato” da programmatori ancora sconosciuti in grado di crittare gli hard disk e rendere inutilizzabili i dati in essi contenuti – la chiave di decrittazione era ottenibile previo pagamento di un riscatto in BitCoin.

Il caso Petya ha ricevuto meno attenzione da parte dei media classici (TV, radio e giornali cartacei) acquisendo invece una buona “popolarità” online. Considerato inizialmente come un’evoluzione di Wannacrypt, basato quindi sull’expoilt NSA EternalBlue, il malware si è rivelato negli ultimi giorni qualcosa di profondamente differente da un semplice mezzo per raccimolare BitCoin: Eset ed altre aziende di sicurezza informatica hanno avanzato l’ipotesi che si sia trattato di un attacco ben congegnato e pensato esclusivamente per provocare danni – ecco perchè Petya è stato ribattezzato poi NotPetya e classificato come “wiper”, un programma che elimina i dati. Si è addirittura parlato di “attacco informatico ad uno Stato [l’Ucraina ndr] mascherato da campagna ransomware”.

Ransomware: a capo del problema

Uno degli elementi trascurati/dimenticati dal racconto mediatico degli attacchi sono le botnet, reti costituite da computer/webserver/altri device (es: dispositivi “intelligenti”) ed impiegate per svariate attività illegali: dall’invio di classici messaggi di spam fino al lancio di attacchi DDoS, campagne ransomware (che sono quindi una parte del problema, come afferma il titolo), “truffe” sul mercato finanziario (financial stock scam spam), utilizzo della capacità di calcolo per operazioni di BitCoin mining etc.

Le botnet hanno saputo fronteggiare con successo governi, agenzie ed aziende di sicurezza. E se queste ultime sono state in grado di portare a casa importanti risultati, come la chiusura della botnet Avalanche (vari arresti, 800.000 domini sequestrati, 200 server coinvolti ed 1 milione di “vittime” stimate), non sono riuscite (prevedibilmente)  a debellare completamente il problema botnet dalla Rete.

L’espediente di passare dal vecchio sistema client-server al p2p (peer to peer) ha trasformato ogni bot in un’entità capace sia di inviare che ricevere “ordini”, aumentando la resilienza della botnet stessa – dipendente dal client nel precedente modello “organizzativo”. L’innovazione passa anche dall’aggiramento di sistemi di blacklisting ed autenticazione come gli odiati (dagli utenti) captcha: la botnet (ora dismessa) Mumblehard, costituita da 4000 server, si appoggiava ad uno script in grado di monitorare costantemente la Spamhaus Composite Blocking List, tra le più note lista di indirizzi IP bloccati per SPAM, e portare a termine la richiesta di cancellazione dell’indirizzo IP dalla lista bypassando i captcha sfruttanto servizi esterni o soluzioni OCR (Optical character recognition).

Sotto osservazione

Necurs è la bot net di spam più grande attualmente “in servizio” e conta, affermano gli esperti, circa 5 milioni di bot. I gestori di Necurs si sono concentrati fino ad ora su attività di spam (classico, financial stock scam spam) ma la possibilità che possano lanciare attacchi DDoS sono elevate. Risale infatti al 2016 l’aggiunta di un modulo destinato proprio al lancio di attacchi DDoS – ma la sua implementazione è stata notata solo recentemente dagli esperti.

Considerando che il malware Mirai, disponendo di migliaia di telecamere di sorveglianza hackerate, è riuscito a raggiungere (sono sempre stime, il bersaglio dell’attacco DYN non ha divulgato i valori esatti) la soglia di 1Tbps (il precendente record era 620Gbps ed aveva interessato il blog Krebs On Security) quale volume di dati potrebbe “muovere” una botnet come Necarus?

Wannacrypt, uno dei ransomware che ha avuto più “successo”, almeno per numero di terminali colpiti, ha superato indicativamente quota 300.000. Botnet come Necarus o altre “minori” possono arrivare anche a milioni di “bot” sui quali è possibile agire (es: crittarli, cancellare i dati etc.) in qualsiasi momento con una percentuale di successo prossima al 100%.

Contromisure

Per prevenire e/o mitigare problematiche associate alle attività illegali menzionate in apertura è opportuno non solo istruire adeguatamente il personale aziendale (nozioni base di sicurezza spesso ignorate o non applicate) ma anche utilizzare i più noti servizi/sistemi di sicurezza: certificati SSL, filtri antivirus ed antispam per le caselle di posta, servizi di monitoraggio dei siti ed analisi del traffico, firewall, sistemi di mitigazione degli attacchi DDoS; non bisogna dimenticare infine l’aggiornamento periodico di software, plugin e sistemi operativi. Come dimostrato dalla vicenda Wannacrypt, l’applicazione degli aggiornamenti rilasciati solo due mesi prima da Microsoft avrebbe sostanzilamente reso vana la campagna ransomware degli hacker.

Fonti: 1,2,3

 

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *