19 Aprile 2017
Il 2016 è stato l'anno dei ransomware, software malevoli che, attraverso l'utilizzo di sistemi di cifratura, prendono in ostaggio i dati e i dispositivi dei malcapitati, in attesa di ricevere un riscatto, spesso da pagare in BitCoin, che permetta all'utente di rientrare in possesso di quanto sottratto. Nel corso dell'anno abbiamo assistito a diversi tipi di attacchi; persino le Android TV non sono state risparmiate.
Oggi ci giunge notizia di un attacco davvero singolare, avvenuto ai danni di un hotel austriaco situato nelle Alpi, tal Romantik Seehotel Jägerwir. Si tratta di una struttura di lusso che, in seguito ad un attacco ransomware, si è vista esclusa dall'accesso al proprio sistema di controllo della chiusura e apertura delle stanze e impossibilitata ad effettuare tutte le operazioni di check in e check out.
L'attacco è stato particolarmente efficace, in quanto, bloccando l'accesso o l'uscita dalle stanze, la situazione sarebbe potuta facilmente degenerare dando via ad attacchi di panico da parte della clientela inconsapevole di quanto stesse accadendo. Per ovviare a ciò, la direzione ha immediatamente pagato il riscatto, pari a 1500 Euro in BitCoin, in modo da ottenere nuovamente il controllo del proprio sistema, dal momento che risultava impossibile sia disattivarlo che creare delle nuove chiavi che permettessero di aggirare il ricatto.
Quello che colpisce, oltre all'esigua cifra richiesta, a fronte di attacchi ben più esosi in altre occasioni, riguarda la presa di coscienza relativa alle nuove vulnerabilità a cui ci espongono i sistemi di sicurezza automatizzati. In questo caso particolare, una volta pagato il riscatto, è emerso che chi ha effettuato l'attacco ha lasciato aperta una backdoor in modo da garantirsi la possibilità di provarci nuovamente. Provvedimento vano, dal momento che l'avvenimento è servito da monito e ha portato alla sostituzione totale del sistema software e alla disconnessione dalla rete di tutti i computer dedicati allo svolgimento di compiti delicati, proprio come la creazione delle chiavi delle stanze e l'accesso alla cassa.
In ogni caso, il fenomeno dei ransomware è sempre più diffuso proprio a causa della possibilità di colpire privati, siano essi semplici cittadini o imprenditori, che utilizzano i sistemi informatici per svolgere il proprio lavoro e che spesso sono inconsapevoli di questo genere di rischi. Come evidenziato da ESET, anche il crescente sviluppo del mondo legato all'Internet delle Cose potrebbe offrire nuovi spunti a tutti i malintenzionati che intendono monetizzare ai danni di coloro che si avventurano in questo campo ancora nascente.
Come al solito, il suggerimento, per quanto riguarda la basilari norme di prevenzione contro i ransomware, è quello di prestare attenzione ai portali web visitati e all'apertura di allegati email sospetti, in particolare se giunti tramite email dal contenuto vago o non familiare.
Commenti
no, è comunque una ca gat a non usare separazione fisica in quel luogo,...
guarda cosa hanno fatto qualche mese fa alla Jeep Cherokee (che non ha separazione fisica)
Queste persone dovrebbero morire di leucemia, piano piano ripensando al male che fanno in cambio di soldi
Ahahah sicuramente, sta di fatto che ogni tanto partiva di botto e mi spaventava (all'epoca ero ancora un ragazzino), da quelle volte ho deciso di staccare la spina e praticamente ho dimenticato di avere uno stereo.
Probabilmente qualche interferenza radio. Tipo quelle per cui viene chiamato di Capitan Ventosa col suo team di ingegneri :D
Ahahahah potrebbe essere, mi pare che avesse un telecomando del satellitare che faceva il suo lavoro troppo bene ahah
Adesso invece ha smesso, gli si sarà fuso tutto
Non è che hai li spiriti in casa, Poltergeist o simili? LOL
È la cosa che più mi preoccupa pensando all'IoT, farà ridere, ma qualche anno fa il mio vicino di casa ogni tanto riusciva (non so bene come, visto che avrà 80anni) ad accendere il mio stereo.
Se tu da tecnico, mi dici che il lavoro va fatto in un certo modo, ed io per abbassare i costi ti ignoro, allora si che son c....i miei. Ma se non sono stato avvisato no!
Per la cifra che era, avrebbero pagato anche avendo l'apertura manuale.
Il mio commento era riferito al "...bloccando l'accesso o l'uscita dalle stanze, la situazione sarebbe potuta facilmente degenerare dando via ad attacchi di panico da parte della clientela inconsapevole di quanto stesse accadendo..." ;)
Non potendo fare chek in e out, rimanendo fuori dalla cassa e fatturazione questi salutavano per sempre i clienti che si vedrebbero bene dal ritornare e il danno economico sarebbe stato maggiore. Oltre che, essendo di lusso, ci perde la faccia a dire che i loro sistemi sono inefficaci e usare il sistma di chiavi di sicurezza. Un hotel di lusso vende per l'esperienza exlusive che da. Non ha clientela molto dell'idea di adattarsi alla situazione. L'opzione manuale, c'è per forza. Non si fossero trovati senza check in/out e cassa bloccaa (che poi, è il loro motivo principale per pagare immagino) probabilmente sarebbero stati più restii a pagare
Io tempo fa rischiai di prenderne uno ed era un file ,js, mi salvò il fatto che io dai browser disabilito sempre il download automatico ma richiedono sempre un mio intervento prima di iniziare a scaricare qualcosa.
Ha senso invece, rendendo l'estensione visibile l'utente comune la rinominerebbe inavvertitamente insieme al nome del file qualora volesse cambiarlo, visto accadere varie volte.
ma usare la classica chiave con serratura fisica fa troppo vintage
Perfetto grazie :)
Chiavi delle stanze alla reception ti dice nulla!??!?!
ehhehe si non so perché mi sia uscito "solo 90%" :)
sui miei pc onestamente nessuno, ma ai clienti metto sempre avira (tanto un 0day buca tutti gli antivir anche a pagamento).
ps su android invece è sicuramente utile tu metta adaway
Mah dare sempre la colpa a tecnici e programmatori, mi pare stupido è, cosa dovrebbe fare il tecnico, il tecnico o il programmatore esegue le richieste che si ritrova con il tempo ed il budget che gli viene dato, se il tecnico dice "questa cosa è poco sicura e bisognerebbe implementare questo e questo, aggiornare il sistema operativo, aggiungere un firewall, riconfigurare la rete in questo modo" e il responsabile dice "no, perché dovremmo spendere soldi che funziona benissimo tutto com'è ora" è colpa del tecnico relativamente eh...
Perché probabilmente hanno tutto su un sistema solo, non hanno separazione, quindi il computer che usano per aprire le stanze è lo stesso che usano per controllare la posta per esempio... che di per se non sarebbe un problema, se non ci fossero utenti incapaci che vanno ad aprire allegati attaccati alle mail o simili
ah beh si alla fine la responsabilità è del "tecnico", però è l'hotel che ha responsabilità verso i clienti...
Per forza deve esserci un sistema di apertura manuale, quantomeno dall'interno la porta deve sempre aprirsi per ovvie norme di sicurezza (in caso di emergenza se non c'è la corrente, cosa succede, tutti restano bloccati ?)
Il punto è che ovviamente questo avrebbe consentito di uscire a chi è dentro, ma a quelli che sono fuori e avessero voluto rientrare, bel problema, anche ci fosse stata una doppia opzione di apertura con chiave, non è che potevano mettersi li ad aprire manualmente ogni stanza ogni volta che gli ospiti lo richiedevano
Ci fosse stata non avrebbero pagato, penso, non è così enorme da creare panico se una stanza non la apri in 20 secondi piuttosto che 120 secondi.
Con tutto il tempo utile a seguire per ripristinare il sistema, è un Hotel di "lusso", non credo abbiano problemi a fare certi interventi. Se mai è questo il punto, il sistema in uso nel caso non avessero pagato......ed è il motivo per cui penso abbiano pagato che mi porta a pensare che sia convenuto ciò.
Si, in generale sono script in javascript che se eseguiti puntano a siti web compromessi o creati appositamente per scaricare il malware.
Ricordo infatti un virus che aveva l'icona tipica dei file gestiti da ACDsee, taaanto tempo fa...
La prima cosa da fare sarebbe far fare un buon corso di informatica e sicurezza informatica ai dipendenti di qualsiasi azienda!!
Muah ah ah, che niubbi... :D
su windows l'antivirus MS ( win 10 ) non li intercetta?
dite quel che volete ma chi ha pensato ai ransomware ha avuto l'idea del decennio. Chapeau davvero per aver saputo creare una nuova categoria (dal punto di vista del guadagno è un'idea brillante). Prima i malware facevano danni, visualizzavano pubblicità o aprivano backdoor e basta. Chi ha pensato alla questione riscatto ha trovato un modo decisamente più ""elegante"" per ricavare denaro direttamente.
questo è anche vero
ahahahhaha
ma i file js sono semplici file javascript?
A un exe gli puoi mettere l'icona che vuoi
beh in quel caso non avrebbe avuto l'icona di edge o del lettore predefinito dei pdf
Su mac che io sappia c'è stato un unico caso ed è stato veicolato da transmission, sostituendo per qualche ora il file originale sul server hackerato da cui veniva scaricato.
guarda, io ho una casella di posta alla quale mi arrivano in continuazione mail con ransomware allegati. Ne ho così tante che potrei fare la collezione =)
La mail risulta essere una di quelle trafugate ad Adobe qualche anno fa. Evidentemente chi le ha rubate mi ha inserito in una spam list. In generale ti mandano una mail con un titolo accattivante e in allegato file .zip o .xlsm
Eccoti alcuni degli esempi più tipici (i primi 6 che ho trovato) https://uploads.disquscdn.com/... https://uploads.disquscdn.com/... https://uploads.disquscdn.com/... https://uploads.disquscdn.com/... https://uploads.disquscdn.com/... :
https://uploads.disquscdn.com/...
Pensa una volta l'ho disabilitata ad un analfabeta informatico spiegandoli la questione, se ne viene un mese dopo che mi chiede di rimettere le cose come stavano (neanche quello sapeva fare per conto suo) perché aveva difficoltà a rinominare i file.
La colpa non è loro, perlomeno non al 100%. Ogni azienda si appoggia al tecnico di turno, idraulico, tappezziere, etc etc. Se il minkione che gli cura la parte informatica non fa il suo dovere, Io hotel ho colpa fino ad un certo punto. Personalmente gli farei una bella causa, per vari danni, sopratutto per i danni d'immagine subiti. Io ti pago per la tua professionalità, se mi arrechi danno, paghi!
Ci sarà stata, ma a dirlo non faceva notizia.
Perfetto, grazie mille
I vecchi doc ed xls sono stati abbandonati in favore di docx, docm, xlsx, xlsm. I nuovi docx e xlsx non possono contenere macro, quindi sono puliti. Quelli con macro hanno estensione docm o xlsm, quindi devi stare attento a questi ultimi.
l'occhio meno esperto non legge l'estensione neanche se c'è, non guarda neanche l'icona se è per questo.. clicca e basta :)
Un'altra cosa tutto ciò non è possibile con i nuovi formati (.docx) ma solo con quelli vecchi come i .doc o .xls?
Perfetto sei stato chiarissimo.
Grazie
I cryptoransomware non sono altro che un po' di righe di codice, e nel caso dei file office questo codice si trova in una macro. La macro è dentro il file doc, non in un altro allegato o zip, di conseguenza basta ricevere ed aprire il singolo file e si esegue la macro. Per prevenire questo comportamento puoi disabilitare l'esecuzione automatica di macro dalle opzioni di word/excel/powerpoint.
Ok Grazie ;)
E da li il motivo per cui aprendo i file scaricati word e famiglia chiede di Abilitare la lettura suppongo. Però per richiamare il ransomware c'è comunque bisogno di esso, quindi il tutto dovrebbe trovarsi in un archivio. Mi spiego meglio scaricare il singolo file word/excel/powerpoint non dovrebbe avere questo problema o sbaglio?
Su Windows sono exe, o più frequentemente js, di solito dentro file zip.
I più temibili però sono i file Office con vecchio formato, come i .doc o .xls, che contengono macro e possono richiamare il ransomware all'apertura (se fossero con il nuovo formato vedresti dei docm o xlsm).
Ho visto anche dei pdf, di per se innocui, che all'apertura chiedevano di cliccare su un link che a sua volta provava a scaricare il ransomware.
Fai anche 99% scaricando dallo store ufficiale, a meno di non scaricare una app sconosciuta appena uscita con 10 installazioni, è veramente difficile beccarsi qualcosa.
no basta non scaricare aprire,almeno per esperienza diretta di un mio amico