CryptoLocker ransomware

CryptoLocker: il ransomware più famoso

CryptoLocker è un ransomware che colpisce i dispositivi cifrando tutti i file presti. Il malware agisce attivano un processo di crittografia dei dati presenti sul dispositivo e subito dopo, richiede il pagamento di un riscatto in bitcoin per poter restituire la chiave di decrittazione dei file alla vittima.

Il virus Cryptolocker è apparso per la prima volta nel 2013, fu il primo tra tutti i ransomware a colpire una vasta massa di vittime. Fin dal principio, questo cryptovirus era in grado di prendere in ostaggio i file presenti sull’hard disk.

Cryptolocker è stato permanentemente neutralizzato a maggio 2014, ma alcune sue varianti continuano ad affliggere individui e organizzazioni.

Cos’è un ransomware

Cryptolocker durante la sua vita riuscì ad estorcere denaro per oltre 27 milioni di dollari.

Il periodo di maggiore attività Cryptolocker si estese tra Settembre 2013 e Maggio 2014. Nel 2017 il codice sorgente del malware venne implementato e ci fu l’ultima grande turnata di infezione.

Inizialmente classificato come malware trojan, oggi possiamo definirlo come cryptovirus tra i più letali della storia dell’informatica ad oggi.

Il ransomware, ovvero la categoria di malware di cui Cryptolocker fa parte, è un tipo di minaccia che impedisce (o limita) l’accesso accedere al sistema, blocca lo schermo e cripta i file presenti sul dispositivo fino a quando non viene pagato un riscatto.

Cos’è ransomware CryptoLocker

Cryptolocker è ormai un noto malware che può essere particolarmente dannoso per qualsiasi organizzazione.

Una volta eseguito il payload, il cryptovirus crittografa i file su desktop o condivisioni di rete e li trattiene per richiedere un riscatto, spingendo qualsiasi utente che cerca di aprire il file a pagare una cifra per decrittarli. Per questo motivo, Cryptolocker e le sue varianti sono diventate conosciute come “ransomware“.

CryptoLocker può entrare in una rete protetta tramite molti vettori, tra cui

  • allegato e-mail (file ZIP, documento .docx, .pdf ecc)
  • siti web di condivisione di file

e

  • download di altri malware (come trojan Zeus).

Una volta che il malware viene scaricato e il dispositivo riavviato, s’installa il software dannoso nella cartella Utenti. Il file prende un con un nome casuale e aggiunge una chiave al registro che lo mette in avvio automatico. Solo successivamente, il ransomware tenterà di avviare le comunicazioni con un server di controllo esterno, il quale consentirà l’inizio delle operazioni di crittografia.

Il ransomware utilizza una chiave RSA 2048-bit per criptare i file e rinominarli aggiungendo un’estensione, come .encrypted, .cryptoLocker o altro a seconda della variante.

Il processo cifra solo dati con alcune estensioni, tra cui:

  • presentazioni
  • fogli di calcolo
  • documenti di testo
  • PDF

e

  • immagini

Nuove varianti del ransomware sono persino in grado di eludere le tecnologie di difesa di antivirus e firewall, ed è ragionevole aspettarsi che altre ne continueranno ad emergere, sempre più in grado di aggirare le misure preventive.

L’allegato infetto che solitamente porta con sé il payload di un malware può assomigliare ad un documento attendibile come

  • fattura
  • avviso di spedizione

o

  • fax o documento di ufficio.

Infine, il malware crea un file in ciascuna directory interessata che si collega a una pagina Web con le istruzioni di decrittazione che richiedono all’utente di effettuare un pagamento (ad esempio tramite Bitcoin).

I nomi dei file di istruzioni sono in genere decrypt_instruction.txt o decrypt_instructions.html.

Come prevenire l’infezione di ransomware CryptoLocker

La prevenzione Cryptolocker richiede consapevolezza tra gli utenti ed un’ottima protezione anti-ransomware in grado di impedire agli utenti di fare clic su collegamenti o scaricare allegati dannosi.

Nel caso in cui queste misure non riuscissero a bloccare l’attacco ransomware Cryptolocker, avere validi strumenti di backup e recupero possono mitigare il danno causato da un attacco.

Inoltre, è bene sapere che più un account utente ha accesso ai file, più danni possono infliggere i malware.
Limitare l’accesso è quindi un modo prudente di agire, in quanto ci saranno meno dati che possono essere crittografati. Oltre a offrire una linea di difesa per il malware, diminuirà la potenziale esposizione ad altri attacchi da attori sia interni che esterni.

Mentre utilizzare un modello con minor privilegi non è una soluzione veloce, è possibile ridurre rapidamente l’esposizione al malware rimuovendo i gruppi di accesso globali dalle liste di controllo degli accessi.

Oltre ad essere obiettivi facili per il furto, è molto probabile che questi set di dati esposti siano danneggiati in un attacco di malware. Sui file server, queste cartelle sono note come “cartelle condivise“, se sia il file system che le autorizzazioni di condivisione sono accessibili tramite un gruppo di accesso globale.

Come localizzare l’infezione ransomware CryptoLocker

Se sospetti di essere vittima di CryptoLocker, è importante prendere provvedimenti per rimuovere l’infezione dal sistema.

Esistono diversi modi per scoprire se Cryptolocker ti ha infettato.

Innanzitutto, controlla e-mail o messaggi sospetti che ti chiedono di fare clic sui collegamenti nelle e-mail o scaricare gli allegati.
Successivamente, guarda le estensioni dei file associate ai file crittografati usando la crittografia asimmetrica. Conviene anche controllare la cronologia del browser per trovare qualsiasi sito Web in cui hai scaricato i file.

Per concludere cerca nel tuo computer qualsiasi file che contenga “CryptoLocker” nel suo nome e scansiona il computer utilizzando un software anti-malware.

Inoltre se l’attività di accesso ai file viene monitorata sui server interessati, si può osservare come Cryptolocker genera un numero elevato di eventi di apertura, modifica e creazione, ad un ritmo rapido e facilmente individuabile.

Ad esempio, se un singolo account utente modifica 250 file in un minuto, con buona probabilità sta agendo un tool o un processo automatizzato.
In questo caso, è consigliato configurare una soluzione di monitoraggio per attivare un avviso quando si rileva questo comportamento.

Se non si dispone di una soluzione automatizzata per monitorare l’attività di accesso al file, potrebbe essere necessario abilitare l’auditing nativo.

Come si rimuove ransomware CryptoLocker

Una volta che l’utente rileva un ransomware o un virus, dovrebbe immediatamente disconnettersi dalla rete.
Se possibile, dovrebbe prendere fisicamente il computer che è stato utilizzato e portarlo al team di sicurezza IT.

Il punto centrale è se pagare il riscatto o no.

Gli attacchi ransomware Cryptolocker sono un crimine e le organizzazioni dovrebbero contattare le forze dell’ordine se ne restano vittima.

Cyberment Srl

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!