Che cos’è il ransomware CryptoWall?

Guida di Sopravvivenza ai Ransomware
Hub Ransomware

Il CryptoWall è un malware ransomware che agisce crittografando i file sul computer infetto e richiedendo poi alla vittima di pagare un riscatto per ricevere la chiave di decifratura. Inizialmente rilasciato nel 2014, nel corso degli anni ha subìto molteplici aggiornamenti, che lo hanno reso molto più insidioso e difficile da individuare rispetto ad altri. Come altri ransomware, CryptoWall crittografa i file nascondendosi sul sistema operativo Windows, rimanendo persistente ad ogni riavvio del sistema.

Storia del ransomware CryptoWall

Dopo che i ricercatori hanno bloccato CryptoLocker nel 2015, gli sviluppatori di malware ne presero il codice convertendolo in un altro ransomware chiamato CryptoWall. In principio si trattava di un semplice malware che utilizzava il protocollo HTTP per comunicare con un server command-and-control. Proprio in virtù di questo fatto, i ricercatori furono in grado di identificare i pattern relativi a CryptoWall, e di bloccarlo, portando poi alla nascita di CryptoWall 2.0.

Dalla sua nascita nel 2015, sono state rilasciate numerose versioni di CryptoWall, ogni volta allo scopo di eludere le misure di difesa. CryptoWall è ora alla versione 4.0, e ogni nuova versione aggiunge funzionalità per estorcere denaro alle vittime. L'ultima versione del CryptoWall 4.0 è stata rilasciata alla fine del 2021, perciò presumibilmente ne saranno rilasciate in futuro altre versioni aggiornate.

Analisi delle Versioni di CryptoWall

La prima versione di CryptoWall era in sostanza un clone di CryptoLocker con un server command-and-control differente, mentre è con la versione 2.0 di CryptoWall che si ebbe un significativo salto di qualità. Le nuove versioni si basano sulle stesse strategie di crittografia e distribuzione tramite phishing, ma le funzionalità tecniche del ransomware vengono di volta in volta aggiornate per evitare il rilevamento. Le ultime versioni sono le più pericolose per la sicurezza delle infrastrutture aziendali, perché non assomigliano più al CryptoLocker originale.

CryptoWall 2.0

La grande novità della versione 2.0 fu il metodo di distribuzione. Non era più basato sul protocollo HTTP per comunicare con il server command-and-control che rendeva le precedenti versioni facilmente rilevabili dalle analisi dei ricercatori. Gli autori della versione 2.0 hanno fatto ricorso alla distribuzione tramite annunci pubblicitari sui siti web, sfruttando le vulnerabilità dei browser degli utenti e le vulnerabilità dei software non ancora aggiornati per installare malware e ransomware.

CryptoWall 3.0

Dopo la versione 2.0, i produttori di malware aumentarono l'aggressività nell'installazione con la versione 3.0, la prima ad utilizzare la rete anonima I2P per nascondere la comunicazione con il server agli occhi dei ricercatori. CryptoWall 3.0 si diffondeva a partire da un'email di phishing contenente un link che scaricava un downloader sul computer della vittima. Lanciare il downloader faceva partire una connessione tra l'utente e uno dei tanti domini che distribuivano e installavano il ransomware sul sistema colpito. Una volta fatto ciò, il copione era sempre lo stesso degli altri ransomware, i file venivano crittografati e la rete scansionata alla ricerca di drive e dispositivi condivisi da crittografare. Quindi una volta completata la crittografia dei file, veniva mostrato il messaggio alla vittima, invitando a pagare il riscatto per rientrarne in possesso.

CryptoWall 4.0

La versione 4.0 venne rilasciata nel 2021. Questa versione migliora la comunicazione tra il dispositivo locale e il server command-and-control. Utilizza un protocollo modificato per prevenire il rilevamento da parte di antivirus e bypassare le regole dei firewall. CryptoWall si diffonde tramite email di phishing, ma questa versione si nasconde all'interno di Windows e disabilita la funzionalità di ripristino del sistema colpito.

Tutte le versioni di CryptoWall utilizzano una chiave crittografica sicura per crittografare i dati. Le versioni attuali utilizzano l'algoritmo RC4, ma le versioni precedenti di CryptoWall utilizzano l'RSA-2048. In entrambi i casi risulta impossibile decifrare i dati senza le chiavi private. Tutte le versioni effettuano inoltre la scansione dei dispositivi di rete, e sono programmate per distruggere i backup. La versione 4.0 compromette le operazioni di ripristino dei backup distruggendo le copie shadow e disabilitando le funzionalità di ripristino di Windows.

CryptoWall 5.1

La versione più recente di CryptoWall, la 5.1 è diversa dalle altre versioni, ed è basata su un codice completamente differente. È basata infatti sul malware HiddenTear, un trojan open-source pubblicato su GitHub nel 2015 e utilizza la crittografia AES-256. Mentre il metodo di funzionamento è simile alle altre versioni. Altre varianti, come CryptoDefense, sono simili all'ultima versione di CryptoWall.

Come funziona CryptoWall?

Alcune delle funzionalità di CryptoWall persistono da versione a versione. CryptoWall 4.0 è l'ultima versione col maggior numero di modifiche dalla prima versione del 2015. Mentre la funzione principale dei ransomware è crittografare i file dell'utente al fine di renderli irrecuperabili, sono le specifiche strategie degli sviluppatori a rendere di volta in volta complicato rilevare e rimediare a questo tipo di attacchi. Il ripristino tramite backup costituisce l'unica soluzione ad un incidente causato da CryptoWall, ma va tenuto a mente che il CryptoWall è programmato per andare alla ricerca delle copie di backup e crittografare anch'esse.

L'attacco inizia come la maggior parte delle comuni campagne ransomware. La vittima riceve un'email di phishing contenente un link malevolo che punta a un URL su un dominio controllato dai cybercriminali, dal quale l'utente deve accettare di scaricare il malware. Lo scaricamento può avvenire tramite script, file eseguibile, o macro malevola. Generalmente, un downloader collega il computer della vittima a un dominio malevolo sul quale è conservato il ransomware.

Il downloader trasferisce i file sul sistema locale ed esegue il ransomware. A questo punto il CryptoWall scansiona il computer alla ricerca di circa 150 estensioni di file differenti. Ogni file corrispondente a una delle estensioni viene crittografato, e nel caso di CryptoWall 4.0 vengono crittografati anche i nomi dei file oltre che il loro contenuto. Il ransomware va ad insinuarsi all'interno del sistema operativo, in particolare nei processi explorer.exe e svchost.exe. Cryptowall punta inoltre a compromettere ogni possibilità di ripristino, disabilitando le funzionalità di backup e ripristino del sistema, come lo strumento Startup Repair di Windows.

Tutte le copie shadow, utilizzate in Windows per ripristinare i backup, vengono distrutte. A quel punto CryptoWall scansiona il sistema alla ricerca di qualsiasi drive di rete e lo crittografa. Viene generata la chiave privata e inviata al server command-and-control, con le informazioni sul sistema colpito, come l'architettura, l'indirizzo IP, il livello di privilegi del ransomware e la versione di Windows.

Una volta scaricato il payload, CryptoWall salva tre file sulla macchina locale: una versione HTML e una di testo con l'avviso e le istruzioni per pagare il riscatto e recuperare i file. L'utente viene invitato a scaricare il browser Tor, collegarsi a uno specifico sito, e pagare il riscatto. Gli esperti sconsigliano di pagare qualsiasi tipo di riscatto, perché non esiste alcuna garanzia di ricevere effettivamente la chiave privata per decifrare i file. Nonostante ciò, molti utenti finiscono per pagare il riscatto nella speranza di riuscire a rientrare in possesso dei propri file.

Come riconoscere un'infezione da CryptoWall

Il processo di crittografia di CryptoWall avviene rapidamente, e le fasi iniziali dell'infezione avvengono in background senza destare alcun sospetto. Dopo aver scaricato il proprio payload, viene mostrato all'utente un messaggio in cui lo si avvisa che i suoi dati sono stati crittografati, e sarà possibile rientrarne in possesso soltanto pagando un riscatto.

A parte il messaggio di avviso relativo al riscatto, esistono altri segni rivelatori del fatto che un sistema è stato infettato da CryptoWall. Le nuove versioni del ransomware crittografano infatti i nomi dei file, oltre a crittografare i file stessi. La strategia è quella di infondere un senso di timore e urgenza nella vittima, così da aumentare le possibilità che paghi il riscatto, anziché provare a recuperare i file dai backup.

CryptoWall salva tre file sul computer della vittima, con le istruzioni per il pagamento. Trovare questi tre file sul proprio sistema indica che il computer è stato infettato dal ransomware CryptoWall:

  • HELP_YOUR_FILES.TXT
  • HELP_YOUR_FILES.HTML
  • HELP_YOUR_FILES.PNG

Quando gli utenti aprono la propria cartella Documenti in Windows, nessuno dei file avrà più il nome originale. I nomi dei file vengono sostituiti con nomi crittografati, che appaiono come una serie di numeri e lettere casuali e con estensioni casuali. Trovare i file con le istruzioni di pagamento del riscatto, e trovare i propri file con i nomi crittografati, costituiscono i due principali sintomi di un'infezione da CryptoWall.

Cosa fare se rimanete vittima di CryptoWall

La decisione più difficile per le vittime di ransomware è se pagare il riscatto oppure no. Gli esperti sconsigliano di farlo, in quanto non è detto che la chiave privata venga effettivamente fornita. Inoltre pagare i riscatti alimenta il sistema spingendo i cybercriminali a sviluppare sempre nuovi ransomware. A volte il processo di ripristino del ransomware ha inoltre dei bug che potrebbero corrompere i dati rendendoli comunque inaccessibili.

Rimuovere CryptoWall dal sistema non è la parte più complicata. Un buon antivirus è in grado di rimuovere CryptoWall dal sistema, ma non è in grado di decifrare i file. L'unico modo per recuperare i file è attraverso la chiave privata, che è crittografata e impossibile da trovare.

Un buon sistema di backup permetterà di risolvere il problema della crittografia dei file, permettendo all'utente di recuperarli in mancanza della chiave privata. Tuttavia i ransomware, incluso CryptoWall, vanno alla ricerca di copie di backup sul sistema della vittima, e sui dispositivi connessi alla rete o removibili, e le crittografano affinché l'utente non riesca a recuperare i file. Crittografare i backup aumenta le possibilità che venga pagato il riscatto, a tutto vantaggio dei cybercriminali.

Come prevenire il CryptoWall

Quasi tutti i malware hanno origine da un'email di phishing malevola, che spinge gli utenti meno attenti a cliccare sul link all'interno dell'email, prestando poca attenzione al destinatario dell'email e al potenziale rischio di finire vittima di un malware. La formazione finalizzata all'aumento della consapevolezza in tema di cybersecurity è sicuramente un ottimo aiuto, ma la miglior difesa contro le email di phishing è costituita dai filtri email, in grado di bloccare le email con gli header contraffatti, e tutti i messaggi considerati sospetti. Ridurre le possibilità che un'email di phishing raggiunga la casella email della vittima, rappresenta la miglior difesa contro ogni tipo di ransomware.

Gli utenti vanno innanzitutto educati a non aprire mai i link nelle email provenienti da mittenti sospetti, anche se negli attacchi più avanzati, quelli basati su account email compromessi, le email provengono da mittenti considerati affidabili. Gli utenti devono evitare di aprire link che fanno partire automaticamente download di file eseguibili, e qualsiasi eseguibile accidentalmente scaricato da un link presente su un'email va immediatamente eliminato per evitare danni. Un buon antivirus sarà in grado di bloccare molti eseguibili, ma non sarà in grado di rilevare i malware zero-day ancora non noti, perciò non si dovrebbe puntare soltanto sull'antivirus per la propria strategia di difesa dai malware.

Programmare frequenti backup da ripristinare in caso di attacco ransomware. I backup vanno tenuti al riparo dalle scansioni dei ransomware, ossia non vanno tenuti su drive condivisi accessibili a tutti. Devono essere accessibili soltanto agli utenti con elevati privilegi. Utilizzare il cloud per conservare i backup è una buona strategia contro gli attacchi ransomware, dal momento che non sono accessibili utilizzando i tipici drive condivisi.

Quali danni può causare un CryptoWall?

La maggior parte delle infezioni da CryptoWall, avvengono negli Stati Uniti, in Canada, in Olanda e in Germania. In questi paesi che si registrano quasi la metà delle infezioni che avvengono in tutto il mondo. Il riscatto medio richiesto per rientrare in possesso dei propri file, è di circa 500$ in Bitcoin. Ma di recente sembra che la cifra richiesta si aggiri solitamente attorno ai 1000$ in Bitcoin, per cui i costi sembrano essere aumentati.

Per le aziende che gestiscono dati sensibili, rimanere vittima di attacchi ransomware come CryptoWall si rivela un evento disastroso per la produttività e le finanze aziendali, a causa del blocco della produzione per via dell'inaccessibilità dei dati. L'unico modo per difendersi da tali eventi è programmando frequenti backup da ripristinare in caso di bisogno. Ecco perché avere una buona strategia di backup sul proprio piano di disaster recovery costituisce un fattore chiave per le aziende.

Come può aiutarvi Proofpoint

Proofpoint offre risorse e strategie per aiutare i nostri clienti a prevenire gli attacchi ransomware. Il nostro Hub Ransomware contiene soluzioni, strategie, consigli, e informazioni sui ransomware e vi permetterà di capire come bloccare tali attacchi così distruttivi per la vostra produttività e continuità aziendale. Abbiamo inoltre creato un'apposita guida di sopravvivenza ai ransomware per aiutare i nostri clienti a comprendere i pericoli dei ransomware e quali danni possono causare alle proprie aziende. Nel caso poi qualcuno fosse finito vittima di ransomware, forniamo una serie di indicazioni per gli amministratori di sistema e vi aiutiamo a capire se pagare o meno il riscatto.