Emerso a metà 2012, Reveton Ransomware, noto anche come Win23/Reveton.A o il ransomware della polizia Reveton, è stato uno dei primi esempi di “ransomware poliziesco“.

Si presentava come una notifica da parte di FBI, Polizia o enti governativi, chiedendo agli utenti di pagare una “multa” e arrivando perfino a minacciare l’arresto.

Inutile specificare che il malware arrivava a fruttare centinaia di migliaia di dollari ogni mese.

Reveton ransomware

Ciò che ha reso unico questo ransomware è stata la sua personalizzazione in base alla nazione di ogni vittima.

Gli hacker, infatti, diversificavano le finte multe conformandole a quelle delle forze dell’ordine locali. Ciò includeva l’FBI per gli utenti degli Stati Uniti, o la Polizia per l’Italia.

Altro elemento di forza, la sofisticata rete di server e affiliati che ha reso praticamente impossibile identificare i punti di origine della minaccia.

  1. Come funziona Reveton Ransomware
  2. Meccanismo d’infezione di Reveton Ransomware
  3. Gli effetti negativi di Reveton Ransomware
  4. 5 Motivi per cui stare alla larga da Reveton Ransomware
  5. Considerazioni conclusive su Reveton Ransomware

Come funziona Reveton Ransomware

A differenza di altri ransomware, la rete di distribuzione di Reveton è molto grande ed è popolare tra gli hacker per diversi motivi:

  1. in primo luogo, il ransomware funziona come parte di una serie di pacchetti di malware, venduti secondo il modello di Ransomware-as-a-Service
  2. successivamente, i payload malevoli possono essere integrati in allegati o link e-mail infetti o caricati una pagina web.

Quando un utente interagisce con il link malevolo o il portale

  • il payload scansiona il dispositivo alla ricerca di software obsoleti e vulnerabilità sfruttabili
  • dopodiché, rilascia il malware all’interno del dispositivo

Le versioni successive e le sue evoluzioni hanno invece continuato ad infettare gli smartphone anche attraverso download di app fittizie.

I metodi di distribuzione del malware sono molto complessi.

Vengono, infatti, impiegati server proxy per:

  • ospitare i siti web dannosi
  • aggiungere nuove funzionalità e personalizzazioni per i messaggi di riscatto
  • riciclare il denaro estorto

Meccanismo d’infezione di Reveton Ransomware

Una volta sul dispositivo, Reveton si installa come un file .dll, creando un collegamento nella cartella di avvio di Windows. Ciò serve a due scopi:

  1. essere eseguito ad ogni avvio di Windows
  2. prevenire l’interruzione forzata tramite Windows Task Manager (poiché non è un file .exe)

Una volta eseguito, il ransomware cripta tutti i dati e le applicazioni, bloccando l’accesso al dispositivo con una pagina a schermo intero.

Maschera la richiesta di riscatto sotto forma di finta multa, adducendo una serie di accuse false: dalla violazione del copyright, alla pornografia infantile.

La multa è in genere da pagare in Bitcoin. Gli importi di riscatto variano da € 100 a € 200, ma per dati molto importanti, le richieste possono alzarsi notevolmente, spesso accompagnate da una scadenza perentoria che aumenta la pressione psicologica sulla vittima.

Alcune varianti bloccano semplicemente l’accesso alle applicazioni. Altre, invece, criptano anche i file. Altre versioni ancora, come la versione MAC OS X, sarebbero state lanciate specificamente per browser web come Chrome e Safari.

Sebbene Reveton sia rimovibile attraverso una serie di metodi, tra cui:

  • avvio in modalità provvisoria
  • rimozione del file

Le versioni più avanzate sono più difficili da debellare.

Inoltre, la rimozione del ransomware non garantisce la cancellazione di altri malware.

Gli effetti negativi di Reveton Ransomware

Tra gli effetti negativi più eclatanti legati a Reveton Ransomware figurano il panico e la confusione scatenati nell’utente.

Poiché la richiesta di riscatto si presenta come una presunta notifica legittima da parte di un’autorità governativa o delle Forze dell’Ordine, la vittima è indotta a pagare senza prima verificare la veridicità della notifica.

Il che pota a una perdita finanziaria ingente e a una possibile esposizione a ulteriori attacchi di phishing.

Inoltre, Reveton ransomware può anche causare danni al Sistema Operativo e alle applicazioni sul computer dell’utente. Difatti, modifica alcune impostazioni del sistema per eseguire il malware ad ogni avvio.

In alcuni casi, il malware può anche

  • installare ulteriori software dannosi
  • compromettere i dati dell’utente per ulteriori attacchi

Reveton era al culmine della popolarità tra la metà del 2012 e il 2014, raggiungendo a volte addirittura guadagni di € 400.000 al mese.

A questi risultati strabilianti va aggiunta l’innumerevole quantità di credenziali rubate attraverso il malware periferico.

Le versioni successive di Reveton hanno aggiunto ulteriori funzionalità, come:

  • capacità di furto di password più avanzate attraverso il modulo pony stealer
  • mining di Bitcoin

Dalla sua evoluzione, ha avuto origine il ransomware Cryptxxx, considerato parte della famiglia ransomware Reveton.

Il vero problema legato al noleggio di malware è che, mentre i distributori vengono arrestati, spesso dopo aver ottenuto centinaia di milioni di euro o dollari di profitto, il ransomware continua a viaggiare in rete. Il che rende pressoché impossibile estirparlo definitivamente.

5 Motivi per cui evitare Reveton Ransomware

1. Tempi di inattività prolungati

Il tempo di inattività medio dagli attacchi ransomware è aumentato da 15 giorni nel primo trimestre del 2020 a 22 giorni nel terzo trimestre del 2021. Anche le organizzazioni grandi e ben finanziate possono avere la loro produttività paralizzata da questi attacchi.

Le aziende colpite da Reveton affrontano due sfide parallele:

  • accedere nuovamente ai propri dati
  • ricercare le potenziali cause dell’attacco.

Delineare una strategia di Disaster Recovery e provvedere al regolare aggiornamento dei backup consente di avere sempre a disposizione le versioni più recenti dei propri file.

Ciò ridurrà significativamente i tempi di inattività dovuti ai potenziali attacchi ransomware.

Oltre alla tecnologia di archiviazione e recupero dati, simulazioni di attacchi informatici possono aiutare i dipendenti a riconoscere eventuali elementi sospetti, scongiurando l’accidentale download ed esecuzione di payoload ransomware.

2. Danni di reputazione

Circa il 46% delle organizzazioni che ha subito attacchi di Reveton Ransomware, ha in parallelo ricevuto danni alla propria reputazione e al valore del marchio.

Un altro 19% ha invece subito danni alla reputazione e al marchio a seguito di violazioni della sicurezza di Terze Parti o guasti al sistema IT.

Il modo più semplice per impedire al tuo marchio di essere colpito dal Reveton Ransomware è implementare

3. Esposizione dei dati sensibili

Gli attacchi informatici sfruttano l’esposizione di dati per costringere le aziende a pagare i riscatti, minacciando di pubblicare informazioni sensibili sul Dark Web se questi non vengono effettuati.

Che la tua azienda sia o meno una vittima di Reveton, uno dei modi più efficaci per prevenire l’esposizione dei dati è quello di archiviare ed eliminare regolarmente le informazioni ridondanti e obsolete.

Un’altra strategia è limitare l’accesso alle risorse. Una gestione efficace dei dati rappresenta, infatti, la prima e più importante barriera per la loro protezione.

4. impatto finanziario delle richieste di riscatto

Al fine di ridurre al minimo i pagamenti dei riscatti, molte organizzazioni hanno richiesto la protezione dell’assicurazione informatica, per poi scoprire che i prezzi medi sono aumentati del 123% rispetto al 2020.

Tuttavia, le aziende non possono fare affidamento solo sui risarcimenti, soprattutto poiché gli assicuratori

  • rivalutano il rischio
  • adeguano i parametri di riferimento in risposta all’aumento degli attacchi

Inoltre, ricorda che stai negoziando con un criminale informatico: le negoziazioni potrebbero non essere soggette agli standard etici delle attività commerciali tradizionali.

I rapporti pubblicati indicano che solo il 65% dei dati crittografati è stato ripristinato dopo il pagamento del riscatto.

Dunque, le uniche due strategie vincenti restano:

  1. non cedere mai alle estorsioni
  2. effettuare backup regolari per avere sempre a disposizione i propri dati

5. Reveton ransomware come gateway per futuri attacchi informatici

E’ ormai risaputo che gli attacchi informatici rendono vulnerabili ad ulteriori minacce. Quando un sistema è già stato indebolito è molto più semplice metterlo in ginocchio con ulteriori aggressioni.

Questo schema è reso particolarmente evidente nel caso di Reveton Ransomware, che, come accennavamo, viene scaricato assieme a una serie di malware collaterali.

Continua pertanto ad

Considerazioni conclusive su Reveton Ransomware

Ancora una volta, gli attacchi di Reveton illustrano la necessità di dotarsi un solido piano di backup dei dati.

Ciò è particolarmente importante in quanto il ransomware più sofisticato può crittografare tutti i documenti memorizzati su un disco rigido con una chiave casuale, rendendoli praticamente impossibili da recuperare.

Inoltre, si potrebbe menzionare che, anche se è piuttosto facile rimuovere il ransomware Reveton e rendere nuovamente utilizzabile un sistema compromesso, questo potrebbe rimanere infetto da altri codici dannosi associati allo stesso attacco.

D’altra parte, la raffinatezza degli attacchi di Reveton è piuttosto impressionante.

Oltre al semplice meccanismo di riscatto, infatti, bisogna tener presente l’intera apparato tecnologico, che consta di:

  • Combinazione di vari malware per consentire una distribuzione maggiore e una persistenza più lunga sui sistemi infetti
  • Personalizzazione dei messaggi di riscatto e in base alla posizione geografica della vittima
  • Uso di sofisticate tecniche di intimidazione e soluzioni di pagamento locali e anonime