Il fattore tempo: quale ransomware cripta più velocemente i dati?

I ricercatori di sicurezza di Splunk hanno condotto un esperimento tecnico su dieci diverse varianti ransomware: si tratta di un vero e proprio speed test per verificare quale ransomware proceda più velocemente alla criptazione dei dati. Un problema, quello della velocità di criptazione, non da poco perchè più un ransomware è veloce a propagarsi e criptare i dati minori sono i tempi di reazione che si hanno a disposizione per intervenire, anche fosse solo per staccare le macchine.

Come funziona un ransomware in breve

I ransomware, una volta in esecuzione, per prima cosa solitamente enumerano sia i file che le directoory presenti sulla macchina compromessa. Questo è necessario per selezionare obiettivi valida da criptare. In seguito procede alla criptazione rendendo indisponibili i dati a chiunque non abbia a disposizione la corrispondente chiave di criptazione. Questa tecnica impedisce ai proprietari l'accesso ai dati. Vi sono comunque stati anche casi di ransomare che hanno prodotto la distruzione dei dati, l'interruzione delle operazioni e dei servizi e così via... tutto è finalizzato alla richiesta di un riscatto in criptovalute che la vittima deve corrispondere agli attaccanti per ricevere la chiave di decriptazione.

Si capisce quindi perchè è molto importante sapere quanto velocemente un dispositivo viene criptato, poichè più rapidamente il ransomware viene individuato, meno danni sono arrecati e, di conseguenza, si riduce il volume dei dati che devono essere ripristinati.

Il test di Splunk

I ricercatori di Splunk hanno eseguito oltre 400 test di criptazione, testando 10 diverse famiglie ransomware, più versioni della stessa famiglia e 4 diversi profili host per riflettere differenti performance.

Insomma hanno condotto un attacco ransomware simulando 4 diverse vittime, con diversi profili tra Windows 10 e Windows Server 2019. Ciascuna di queste "vittime" aveva diversi livelli di performance, simulate tenendo conto dell'ambiente di lavoro e delle reti reali di diversi clienti Splunk.

La velocità di criptazione è stata testata su oltre 98.500 files, per un totale di 53 GB circa. Son stati usati, per le rilevazioni, tool divverenti come Microsoft Sysmon, stoQ, Windows Perormance Monitor (Perfmon) ecc...

Per i più curiosi il report completo è disponibile qui

Diamo i numeri

Il tempo medio di crtiptazione per tutti e 100 i differenti campioni è stato di 42 minuti e 52 secondi. Ma questo, sottolineiamo, è un valore mediano: alcune famiglie o specifiche varianti ransowmare mostrano tempi molto molto più contenuti.

World Backup Day 2022: l'importanza di prendersi cura dei dati con Strongbox Cloud PRO

Anche quest'anno arriva la giornata mondiale del backup: è l'occasione giusta per ricordare perchè è ormai irrinunciabile prendersi cura dei dati.

Se il gioco si fa duro... proviamo almeno ad arrivarci preparati!

E' di qualche giorno fa la notizia di un triplice attacco ransomware contro l'Italia. Qualcuno si sarà trovato, ad esempio, nell'impossibilità di acquistare i biglietti di Trenitalia. Questo perchè Trenitalia, anzi in dettaglio RFI, è stata colpita da un attacco del ransomware Hive che è dilagato nella rete (nella quale si annidava, pare, da giorni) e ha iniziato a criptare tutti i dati. Il team IT di Trenitalia è stato costretto quindi a sospendere una parte del servizio di acquisto dei biglietti ed ad obbligare alla disconnessione dipendenti da remoto e in ufficio. Un bel danno per un intero paese, che vede colpita una infrastruttura essenziale. Nella stessa giornata Confindustria Catania e l'azienda Crich sono colpite dal ransomware LockBit 2.0 che in Italia è molto attivo. In tutti questi casi, l'eventuale assenza di un backup o peggio ancora, un backup male organizzato finito anch'esso criptato, potrebbero obbligare a lunghe sospensioni dell'attività, con gravi perdite economiche.

In tutti questi casi contano e conteranno tutte le protezioni e i sistemi anti intrusione che saranno allestiti (e per le quali il CERT-AGID e l'Agenzia Nazionale di Sicurezza cibernetica forniranno e hanno fornito specifiche indicazioni), ma lo strumento che consente infine il ripristino delle reti e dei servizi, quindi la possibilità di tornare a trattare dati, è il backup.

Il triste primato italiano dei cyber attacchi

Ransomware scatenati sull'Italia: colpite Ferrovie dello Stato, Confindustria e l'azienda Crich

Giorni difficili per l'Italia, in stato di emergenza per la crisi ucraina e con la massima mobilitazione delle strutture di cyber security nazionali. Insomma un periodo di massima allerta che vede già vittime importanti, anche se non è detto che tali attacchi siano sponsorizzati da qualche stato. I due ransomware protagonisti dei nuovi attacchi contro Ferrorie dello Stato, Confindustria e Crich colpiscono infatti in Italia da tempo e con una certa contuinuità. Stiamo parlando delle famiglie ransomware Hive e Lockbit 2.0. Potrebbe quindi non esserci alcun collegamento con la crisi ucraina.

Hive attacca Ferrovie dello Stato: 10 milioni di dollari il riscatto

In questi giorni il gruppo Hive è molto attivo: è nella giornata di ieri che ha iniziato a diffondersi la notizia della presenza di segnali di un cyber attacco contro la rete informatica di Trenitalia e Rete Ferroviatia Italiana. L'azienda è stata costreta a disattivare alcune utenze del sistema di vendita, rendendo indisponibile l'acquisto dei biglietti.

L'azienda ha anche inviato un breve messaggio a tutti i dipendenti, indicando di disconnettere le VPN e spegnere i PC per i lavoratori da remoto e di disconnetere il cavo di rete e spegnere i PC per quelli in ufficio. Poche ore dopo è comparsa la rivendicazione: sul sito di leak del ransomware Hive è stato pubblicato l'annuncio dell'attacco.

I governi europei mettono in guardia: disinstallare Kaspersky. Il Garante italiano apre istruttoria

L'Italia potrebbe subire una cyber war
Il primo a fare menzione dei pericoli a cui il conflitto ucraino potrebbe esporre gli utenti italiani è stato Franco Gabrielli, sottosegretario alla Presidenza del Consiglio con delega alla sicurezza nazionale:

"Esiste una guerra visibile, con le drammatiche immagini di morti, feriti e distruzioni che giungono dall’Ucraina, e ne esiste una invisibile (per adesso solo temuta) che potrebbe abbattersi sui sistemi informatici che regolano la nostra vita quotidiana. Sono due fronti che destano la nostra preoccupazione nel senso etimologico del termine» ha dichiarato ai giornali qualche giorno fa.

In concreto ha spiegato che l'Italia è esposta, come ormai tutta Europa, ad una cyber war che potrebbe colpire istituzioni governative, infrastrutture, aziende. Il 6 Marzo ad esempio l'Agenzia per la cyber security nazionale (ACN) ha lanciato un alert specifico, perchè v'erano tutti i segnali di un potenziale attacco contro l'Italia.

Per approfondire > Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio

L'allarme su Kaspersky
Ma l'attenzione di Gabrielli si è concentrata su Kaspersky, il famoso software antivirus russo che è installato sui sistemi informatici di molte Pubbliche Amministrazioni (2348 enti) e aziende. Gabrielli ha parlato apertamente di dipendenza dalla tecnologia russa, spiegando come si stia già progammando la dismissione di Kaspersky dai sistemi della PA per evitare che possa diventare strumento di attacco.

Il concetto è stato ribadito dall'Agenzia per la Cyber sicureza nazionale che has piegato come "programmi e prodotti tecnologici made in Russia potrebbero essere usatri come veicolo di attacco" contro l'occidente, in particolar modo contro quegli Stati che hanno optato per sanzionare Mosca.

"Tra le implicazioni di sicurezza derivanti dalla situazione del momento particolare rilevanza assumono quelle di sicurezza informatica per l’elevato livello di invasività rispetto ai sistemi su cui operano - precisa l’Acn -. Stante la necessità di disporre di tali soluzioni tecnologiche, non si esclude che gli effetti del conflitto ne possano pregiudicare l’affidabilità e l’efficacia, potendo per esempio influire sulla capacità delle aziende fornitrici legate alla Federazione russa di assicurare un adeguato supporto ai propri prodotti e servizi”.

Non è un caso che il Decreto Ucraina, con il quale lo stato italiano ha preso una serie di provvedimenti per fronteggiare la crisi, preveda "di diversificare l'uso di sistemi informativi nelle PA", ovvero di rimuovere Kaspersky ed acquistare prodotti diversi.

Quali rischi in concreto?

Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l'Italia

L'ultimo e più recente alert relativo alla diffusione di Qakbot in Italia è di qualche giorno fa: si può leggere sul sito ufficiale del CERT-Agid e analizza in dettaglio l'ultima campagna mirata contro utenti italiani. E' solo l'ennesimo episodio del lungo rapporto tra Qakbot e il cyber crimine italiano, visto che questo malware è quasi senza interruzione in diffusione, con nuove campagne, ogni settimana. Vediamolo quindi un pò più da vicino.

Qakbot: biografia di una lunga vita al servizio del cyber crime

Qakbot è in attività da più di dieci anni. Fu individuato per la prima volta nel lontano 2007, già in uso in attacchi reali. Non è scomparso semplicemente perché in tutti questi anni non ha mai smesso di essere aggiornato, mantenuto e migliorato. Piano piano ha scalato le classifiche dei trojan più diffusi e pericolosi, arrivando ad essere considerato una minaccia di rilievo mondiale. La sua attività principale, per il quale è stato sviluppato fin dall'inizio, è il furto di credenziali bancarie ma le evoluzioni che lo hanno caratterizzato in questi anni hanno portato all'addizione di una vasta gamma di nuove funzioni: dalla possibilità di installare ransomware al fine di massimizzare i profitti da ogni attacco, passando per tecniche di keylogging (furto delle battiture sulla tastiera), tecniche di evasione delle soluzioni di sicurezza, funzionalità di backdoor ecc...

Ha anche moduli specifici per il furto di account email dai quali rilanciare ulteriormente le proprie campagne di diffusione. 

Nel 2019 viene diffusa una nuova versione, che, rispetto alla precedente dimostra un grande lavoro svolto dai suoi sviluppatori per armarlo ulteriormente e renderlo una minaccia ancora più pericolosa. 

QakBot: la catena di infezione

Il Ransomware Conti si schiera a difesa del governo russo e un ricercatore ucraino pubblica il suo codice sorgente. Il top ransomware sta per scomparire?

Anche il mondo del cyber è stato scosso e si è schierato lungo le fratture prodotte dalla guerra iniziata in Ucraina nel 2014 e giunta proprio in questi giorni al suo massimo culmine. Già sono rimbalzate su tutti i media mondiali le iniziative di Anonymous contro la Russia  (che ha lanciato la campagna #OpRussia), si è parlato anche della cyber war che la Russia ha lanciato contro l'Ucraina tramite una lunga serie di attacchi i cui strascichi sono già arrivati in Italia (parliamo del malware HermeticWiper) e si trovano anche alcuni report sulla cyber war che gli Stati Uniti hanno scatenato contro la Russia. Meno risalto ha invece avuto la frammentazione delle principali bande ransomware tra i vari schieramenti (fisicamente) in campo alle porte di Kiev. Tra tutti, si è resa molto interessante la vicenda che ha riguardato il ransomware Conti, del quale pensiamo non siano necessarie molte presentazioni. Parliamo infatti del top ransomware che, insieme a LockBit, vanta oggi il maggior volume di attacchi e di guadagni ottenuti dalle estorsioni. 

Per approfondire >

• Ransomware Conti: è arrivato il successore di Ryuk?
• Cyber attacchi in Italia: anatomia del ransomware Conti
  
  

Conti si schiera con la Russia...