CryptoLocker

Cos’è il CryptoLocker (Ransomware)?

Scopri come si diffonde e come funziona

Cos’è il CryptoLocker (Ransomware)

Il CryptoLocker è un ransomware che infetta i computer, cifrando tutti i dati in essi contenuti. Una volta infettate, alle vittime viene richiesto il pagamento di un riscatto per decifrare e recuperare i propri dati.

Il primo metodo di infezione sono le email di phishing, contenenti allegati malevoli. Queste email sono scritte appositamente per trarre in inganno le vittime, spacciandosi per aziende note come ad esempio i corrieri di spedizione, come FedEx, UPS, etc. attraverso false ricevute di spedizione.1

I cybercriminali fin dal principio, camuffavano CryptoLocker come allegato ai messaggi email, così da spingere le ignare vittime, ad aprire il file ed attivare così l'attacco ransomware. Alle vittime veniva quindi richiesto di pagare un riscatto per decifrare i propri file. Questo ransomware si diffuse principalmente tra Settembre 2013 e Maggio 2014.2

Esempio Attacco CryptoLocker

CryptoLocker – come si diffonde

Gli attacchi tramite CryptoLocker si concentrarono principalmente tra il 5 Settembre 2013 e la fine di Maggio 2014. Venne identificato come un virus Trojan (codice malevolo camuffato da qualcosa di innocuo) che prendeva di mira i computer con sistema operativo Windows. Prendeva accesso al computer delle vittime grazie a false email scritte in modo da apparire in tutto e per tutto simili alle email di aziende note, come FedEx o UPS che avvisavano gli utenti di ipotetiche spedizioni.

Una volta infettato il computer, il ransomware cerca e crittografa i file trovati all'interno di dispositivi di memorizzazione presenti in rete, drive USB, dischi esterni, e anche alcuni dispositivi di memorizzazione basati sul cloud. Ai primi di Novembre del 2013, questo tipo di virus aveva già infettato circa 34.000 sistemi, perlopiù in America, Inghilterra e in generale nei paesi anglofoni.3

Uno strumento gratuito per la decifratura dei sistemi colpiti da questo ransomware, venne rilasciato nel 2014. Ma gli esperti stimarono che gli attacchi erano già riusciti ad estorcere più di 27 milioni di dollari fino a quel momento.4

Prevenzione

US-CERT consiglia agli utenti di proteggersi dal CryptoLocker, effettuando periodici backup dei dati importanti, e conservando tali backup su dispositivi di memorizzazione offline. Agli utenti viene raccomandato anche di mantenere sempre aggiornati i propri antivirus, così come i sistemi operativi e le applicazioni, a cui vanno sempre applicate le più recenti patch.

Gli utenti inoltre, non dovrebbero aprire i link che ricevono nelle email, e dovrebbero prestare attenzione nell'aprire eventuali allegati. Oltre ovviamente a seguire le classiche raccomandazioni per navigare sul web in maniera sicura.5

Rimozione del CryptoLocker

Nel momento in cui gli utenti si rendono conto di essere stati colpiti da un virus o da un ransomware, la prima cosa da fare è disconnettere immediatamente il proprio sistema dalla rete. Se possibile, si dovrebbe portare subito il computer infetto, agli addetti del dipartimento informatico. Soltanto gli esperti di sicurezza informatica dovrebbero tentare di riavviare il sistema.

Il dubbio principale rimane sempre se pagare il riscatto oppure no. Tale decisione andrebbe presa in base al tipo di attacco, individuando chi è stato colpito all'interno della vostra rete, e quali permessi di rete possiede il sistema da lui utilizzato.6

Gli attacchi Ransomware sono un atto criminale, e pertanto, le aziende dovrebbero rivolgersi alle forze dell'ordine nel momento in cui subiscono un attacco. Gli esperti di informatica forense, possono verificare che i sistemi non siano stati compromessi in altri modi, raccogliendo tutte quelle informazioni utili ad incrementare la sicurezza dell'azienda contro future minacce, cercando allo stesso tempo di risalire ai responsabili dell'attacco.

A volte, gli esperti di sicurezza informatica, offrono strumenti per la decifratura, in grado di decifrare gratuitamente i file, ma non sempre sono disponibili, e non funzionano comunque con tutti i tipi di ransomware.

Se le aziende seguono le buone pratiche sulla sicurezza informatica, effettuando periodicamente e conservando offline i backup dei file importanti, saranno in grado di ripristinare rapidamente i propri sistemi, tornando alla piena operatività senza problemi.7

  1. U.S. Computer Emergency Readiness Team (US-CERT), “Infezioni Ransomware da CryptoLocker.” Novembre 2013.
  2. Dan Goodin (Ars Technica). “Sei stato infettato—se vuoi riavere accesso ai tuoi dati, paga 300$ in Bitcoins.” Ottobre 2013.
  3. Ryan Naraine (SecurityWeek). “Le Infezioni da CryptoLocker Sono in Aumento.” Novembre 2013.
  4. Proofpoint. “Il Grande Business dei Ransomware.” Maggio 2019.
  5. US-CERT. “Infezioni Ransomware da CryptoLocker.” November 2013.
  6. Proofpoint. “Guida di Sopravvivenza Ai Ransomware.” 2017.
  7. Proofpoint. “Il Grande Business dei Ransomware.” May 2019