Il ransomware può crittografare i dati cloud

Il ransomware è piccolo come un granello di sabbia ed è ovunque. E possono crittografare più di quanto pensi. La distruzione dei tuoi file personali è una grande perdita, ma quando il Ransomware attacca le tue copie, il dolore aumenta ancora di più.

Esistono diverse varianti di ransomware che attaccano non solo i dischi rigidi ma anche altre unità di sistema, e anche le unità cloud non sono fuori dalla loro portata. Quindi, è il momento di rivedere esattamente quali sono i backup dei file e dove vengono conservate le copie.

Il ransomware attacca ovunque

Sappiamo che un attacco ransomware può essere devastante. Il ransomware rappresenta un ostacolo particolare perché i suoi file di destinazione sono immagini, musica, film e documenti di ogni tipo. Il tuo disco rigido contiene file personali, di lavoro e aziendali che sono gli obiettivi principali della crittografia. Una volta crittografati, vedrai un messaggio di riscatto che richiede il pagamento, solitamente in Bitcoin difficili da rintracciare, per il rilascio sicuro dei tuoi file.

E anche in questo caso, non esiste alcuna garanzia che riceverai la password di crittografia o lo strumento di decrittografia.

CryptoLocker

CryptoLocker è una variante del ransomware di crittografia in grado di crittografare più dischi rigidi. È apparso per la prima volta nel 2013, diffondendosi tramite allegati e-mail infetti. Quando CryptoLocker è installato su un computer, può eseguire la scansione del disco rigido per un elenco specifico di estensioni di file. Inoltre, esegue la scansione di tutte le unità collegate alla macchina, siano esse USB o di rete.

Un'unità di rete con accesso in lettura/scrittura verrà crittografata proprio come un disco rigido. È una sfida per le aziende in cui i dipendenti accedono alle cartelle di rete condivise.

Fortunatamente, i ricercatori di sicurezza hanno rilasciato una copia del database delle vittime di CryptoLocker e hanno abbinato ciascuna crittografia. Hanno creato il portale Decrypt CryptoLocker per aiutare le vittime a decrittografare i propri file.

Evoluzione: CryptoFortress

CryptoLocker è apparso e ha affermato di avere 500.000 vittime. Secondo Keith Jarvis di Dell SecureWorks, CryptoLocker potrebbe aver ricevuto 30 milioni di dollari nei primi 100 giorni dall'operazione di estorsione (arriverebbe a 150 milioni di dollari se ciascuna vittima pagasse 300 dollari di riscatto). Tuttavia, la rimozione di CryptoLocker non rappresenta l'inizio della prevenzione del ransomware di mappatura dei driver di rete.

CryptoFortress è stato scoperto nel 2015 dal ricercatore di sicurezza Kafein. Ha l'aspetto e l'approccio di TorrentLocker ma uno dei progressi chiave; può crittografare i driver di rete non mappati.

In genere, il ransomware recupera un elenco di unità di rete mappate, ad esempio C:, D:, E:, ecc. Quindi esegue la scansione delle unità, confronta le estensioni dei file e quindi le crittografa, crittografando i file corrispondenti. Inoltre, CryptoFortress enumera tutte le condivisioni di rete Server Message Block (SMB) aperte e crittografa quelle che trova.

Locky

Locky è un'altra variante del ransomware, famosa per la modifica di singoli file in .locky, nonché wallet.dat, il portafoglio di Bitcoin. Locky prende di mira anche file su computer o file su condivisioni di rete non mappate, modificando i file nel processo. Questo caos rende il processo di recupero più difficile.

Inoltre Locky non dispone di decoder.

Ransomware sul cloud

Il ransomware bypassa la memoria fisica della rete e del computer e trascende anche i dati cloud. Questa è una cosa importante. L'archiviazione nel cloud viene spesso pubblicizzata come una delle opzioni di backup più sicure, poiché mantiene i dati sottoposti a backup lontano dalle condivisioni di rete interne, creando isolamento dai pericoli circostanti. Ma sfortunatamente, le varianti ransomware hanno aggirato questa sicurezza.

Secondo il rapporto State of the Cloud di RightScale, l’82% delle aziende utilizza una strategia multi-cloud. E un ulteriore studio (Slideshare ebook) di Intuit mostra che entro il 2020, il 78% delle piccole imprese utilizzerà le funzionalità cloud. Questo cambiamento radicale da parte delle aziende grandi e piccole rende i servizi cloud un obiettivo primario per i fornitori di ransomware.

Ransom_Cerber.cad

I fornitori di malware troveranno un modo per aggirare questo problema. L’ingegneria sociale e il phishing tramite posta elettronica sono strumenti chiave e possono essere utilizzati per aggirare robusti controlli di sicurezza. I ricercatori di sicurezza di Trend Micro hanno trovato una variante speciale del ransomware chiamata RANSOM_CERBER.CAD. È destinato agli utenti domestici e aziendali di Microsoft 365, cloud computing e piattaforme di produttività.

La variante Cerber può crittografare 442 tipi di file utilizzando una combinazione di AES-265 e RSA, modificare le impostazioni della zona di Internet Explorer sul computer, rimuovere copie shadow, disattivare Ripristino all'avvio di Windows e terminare i programmi Outlook, The bat!, Thunderbird e Microsoft Word.

Inoltre, e questo è il comportamento presentato da altre varianti di ransomware, Cerber interroga la posizione geografica del sistema interessato. Se il sistema host è un membro della Comunità degli Stati Indipendenti (paesi dell'ex Unione Sovietica come Russia, Moldavia e Bielorussia), il ransomware verrà terminato automaticamente.

Il cloud come strumento di contaminazione

Il ransomware Petya è apparso per la prima volta nel 2016. Alcune cose degne di nota di questa variante sono innanzitutto che Petya può crittografare l'intero Master Boot Record (MBR) di un personal computer, causando il crash del sistema. Ciò rende l'intero sistema inutilizzabile. Quindi, al riavvio, veniva invece visualizzata la richiesta di riscatto di Petya, con l'immagine di un teschio e una richiesta di pagamento in Bitcoin.

In secondo luogo, Petya si è diffuso su diversi sistemi attraverso un file infetto archiviato su Dropbox, mascherato da riepilogo. Il collegamento è mascherato da dettagli dell'applicazione, quando in realtà si collega a un file eseguibile autoestraente per installare il ransomware.

Fortunatamente, un programmatore anonimo ha trovato il modo di violare la crittografia di Petya. Questo metodo è in grado di rilevare la chiave di crittografia necessaria per sbloccare l'MBR e rilasciare i file catturati.

L’utilizzo dei servizi cloud per diffondere ransomware è comprensibile. Gli utenti sono stati incoraggiati a utilizzare soluzioni di archiviazione cloud per eseguire il backup dei dati perché forniscono un ulteriore livello di sicurezza. La sicurezza è la chiave del successo dei servizi cloud. Tuttavia, la fiducia degli utenti nella sicurezza del cloud può essere sfruttata per scopi sbagliati.

In breve

L'archiviazione nel cloud, i driver di rete mappati o non mappati e i file di sistema rimangono vulnerabili al ransomware. Questa non è più una cosa nuova. Tuttavia, i distributori di malware prendono di mira attivamente i file di backup aumentando il livello di ansia degli utenti. Al contrario, occorre adottare ulteriori precauzioni .

Gli utenti domestici e aziendali dovrebbero eseguire il backup dei file importanti su dischi rigidi rimovibili. Agire ora è l'azione che ti aiuterà a ripristinare il tuo sistema dopo un'infezione ransomware indesiderata proveniente da una fonte non attendibile.