Il ransomware di oggi non è più come quello del 2013, anno in cui è nato; non stiamo parlando semplicemente della sua struttura, che ovviamente si è evoluta, ci riferiamo piuttosto allo scopo del malware stesso a fronte di un cambiamento della direzione verso cui gli hacker orientano il loro operato. I malviventi che distribuiscono i suddetti malware hanno ovviamente il solo obiettivo di trarne profitto e ciò che era redditizio anni fa non è detto che lo sia ancora oggi. Partendo dall’inizio e volendo parlare di malware in generale, negli anni 2000 una fonte appetibile di guadagno era l’appropriazione illecita di credenziali dai siti di online banking attraverso Banking Trojan, cosa che al giorno d’oggi difficilmente viene effettuata in quanto ritenuta rischiosa. Non sempre poi la “pesca” può ritenersi fruttuosa: entrano in gioco fattori come l’abilità di estrazione del denaro da parte del cybercriminale e la grandezza del conto in banca hackerato. A seguito di queste difficoltà e lo spopolare delle criptovalute, si sviluppa il ransomware, che altro non è che un espediente di guadagno più sicuro ed efficiente. Le criptovalute infatti -bitcoin per citare la più famosa- essendo totalmente anonime non devono passare per la banca durante la transazione, momento delicato e rischioso per l’hacker.
Come è ben noto il ransomware, una volta insinuatosi all’interno del computer della vittima e recuperata una dose significativa di dati personali, cripta i file rendendoli inutilizzabili; viene quindi chiesto un riscatto da pagare in bitcoin. Da qualche tempo a questa parte però anche questa metodologia, comunque largamente utilizzata ancora oggi (vedi wannacry), per alcuni hacker è considerata superata. Basti pensare che, nonostante la contaminazione avvenga attraverso l’apertura di e-mail infette inviate in gran quantità, solo una parte delle persone che ricevono le suddette e-mail “abboccano” e solo alcune tra esse pagano il riscatto.
L’evoluzione del ransomware consiste innanzitutto nel mezzo di propagazione: vengono infettati un’enorme quantità di utenti della rete attraverso criticità di sicurezza di siti web e, una volta installato nei computer il malware utilizza il loro hardware per minare criptovalute. L’altro aspetto che può essere considerato un grosso aggiornamento del malware è il fattore incognito: quando presente nel computer, il malware agisce in maniera quasi del tutto invisibile; non compaiono nessun messaggio e nessun avviso in quanto per minare non ce n’è bisogno. Il mining di criptovalute è un’attività dispendiosa dal punto di vista energetico, che spinge la componentistica del pc al limite; per riconoscere un’infezione quindi bisognerà fare attenzione alla bolletta della luce e a usi anomali di CPU e ventole. Ma perché questa modalità di attacco si propaga solo ora? Il bitcoin sta continuando a innalzare il suo valore rispetto al dollaro -è passato da un valore di 2000% rispetto al dollaro, ad un valore di 4000% negli ultimi due anni- diventando preda ghiotta di associazioni criminali. La vera causa però non è da imputare al bitcoin, quanto al Monero, altra moneta virtuale dal valore elevato e dalle caratteristiche che più si addicono alla suddetta modalità di attacco: per minare il bitcoin, c’è bisogno di apparecchiature molto potenti, costruite apposta con componenti high-end, cosa che invece non necessita Monero. Con un normale computer di casa può essere minato un valore della suddetta moneta corrispondente a 0.25 centesimi di dollaro al giorno. A gennaio Palo Alto Networks ha identificato una campagna di Monero mining che aveva infettato circa 15 milioni di sistemi, soprattutto nei paesi in via di sviluppo. Se questi computer fossero rimasti attivi anche un solo giorno, i guadagni avrebbero superato i 3 milioni di dollari! Per difendersi da questo tipo di attacco il consiglio è quello, come accennato sopra, di fare attenzione a un consumo anomalo di corrente e un utilizzo esagerato delle risorse del pc. Oltre a questo sarà necessario installare un buon antivirus e mantenerlo costantemente aggiornato: la lotta tra cybercrimine e aziende antivirus è eterna e l’evoluzione di una va al passo con l’evoluzione dell’altra.
Marco Serico