Allarme Ransomware: quando i dati son presi in ostaggio

di Cecilia Cantadore

GFI Software ha inserito tra i Security Alert del mese il “Ransomware”, un malware che si autoinstalla sul computer degli utenti a loro insaputa e ne blocca il contenuto da remoto: una finestra popup richiede poi il pagamento di una somma di denaro per “liberare” il PC e i relativi dati.
Sono finiti i tempi in cui gli attacchi informatici avevano il solo scopo di creare scompiglio e rappresentare una forma di ribellione alle major dell’IT; oggi i criminali informatici pensano soprattutto al profitto che possono trarre dagli utenti più sprovveduti, con modalità che vanno dal phishing agli scamware, fino alle finte raccolte di beneficenza.
E tra i “malware-for-profit” più insidiosi c’è proprio il ransomware, un fenomeno sempre più diffuso che non tiene in ostaggio il PC; bloccati per sempre con una password sconosciuta all’utente, i dati vengono rilasciati solo dietro pagamento di un riscatto. Il “rapimento” dei dati può essere condotto in vari modi, che vanno dalla cifratura dei file, fino al blocco dell’intero sistema; i criminali informatici possono anche intervenire direttamente sul Master Boot Record o cambiare le impostazioni di Windows.
Esiste uno schema utilizzato dal ransomware, che ha fatto salire il numero dei sistemi infetti fino a 350.000 (nel mese di giugno) e che lo inserisce a pieno titolo tra le minacce informatiche più pericolose e diffuse. Ha fruttato ai criminali oltre 70.000 dollari in Bitcoin: le vittime ricevevano email fasulle che le invitavano ad aprire un file .zip da Dropbox ma, appena aperto l’eseguibile, un file CryptoWall – un sistema di cifratura a 2048 bit – impediva l’accesso ai dati se non a fronte del pagamento di un riscatto di 500 dollari in Bitcoin (somma che veniva raddoppiata se le vittime non erano veloci abbastanza nel pagare). Bitcoin è una modalità di pagamento opensource che funziona come un conto corrente digitale non nominativo e chi la utilizza non è identificabile; questo rende più difficile tracciare le transazioni illegali.
Pur pagando il riscatto, non esiste poi alcuna certezza che il pc venga liberato dal malware o che i criminali inviino all’utente una chiave per la decodifica funzionante; esistono molti casi in cui le vittime, anche pagando, non sono mai più state ricontattate dall’autore del furto.