Doxware: la nuova minaccia ramsonware che ti blocca il computer e che ti "sputtana" se non paghi.

Quello che fa il ransomware è colpire gli endpoint (gli endpoint sono dispositivi mobili, computer desktop, macchine virtuali, dispositivi incorporati e server; vengono detti "endpoint" perché quando un dispositivo si connette a una rete, il flusso di informazioni tra un portatile e una rete ricorda molto una conversazione tra due persone al telefono); esso viene trasmesso solitamente tramite email, ed il "payload" consta nel criptare determinati files per poi ripristinarli solo dopo il pagamento di una determinata somma di denaro in Bitcoin.

Tuttavia, molte organizzazioni hanno realizzato che è possibile evitare di pagare questi riscatti eseguendo una costante attività di backup, formattando il disco una volta che si presenta il problema, e reinstallando i files tenuti in ostaggio, purtroppo, però, i cybercriminali hanno creato una minaccia ancora più insidiosa: un malware che combina il ransomware, con la pubblicazione di dati personali e cioè i doxware (da dox, acronimo di documents o docs, e software).

Anche con i doxware, gli hacker tengono i computer in ostaggio fin quando le vittime pagano il riscatto, però, oltre a questo, si estende l'attacco compromettendo la privacy delle conversazioni, foto e file sensibili della vittima, con la minaccia di rendere queste informazioni di dominio pubblico se il riscatto non viene pagato. Con queste condizioni è difficile non pagare il riscatto, e rendere l'attacco ancora più proficuo per l'hacker di turno, ed anche una politica di backup, come quella 3-2-1 (di cui allego il post a piè di pagina), non è efficace per non cedere al ricatto.

Attacchi recenti hanno interessato computer Windows, ma questo cambierà sicuramente: una volta che il malware potrà infiltrarsi ad esempio nei dispositivi mobili, la minaccia diventerà più diffusa, con messaggi di testo, foto, e informazioni contenute nelle app pronte ad essere vendute e rese pubbliche.

È anche molto probabile che doxware prenderà come target diversi tipi di file. Le email sono al momento un target importante per gli hacker, ma lo sono anche le comunicazioni internet/instant messaging, in quanto spesso contengono informazioni riservate che espongono gli interessati a grandi rischi, nonché a conversazioni potenzialmente imbarazzanti.

Anche se doxware è per lo più ancora in via di sviluppo, due varianti sono state già scoperte: una delle due varianti tiene i file in ostaggio con la minaccia di renderli pubblici (vedi il caso del Comune di Ferrara nel post allegato). L'altro tipo, chiamato Popcorn Time, rende il malware ancora più maligno dando alla vittima l'opzione di infettare due suoi amici anziché pagare il riscatto. (!!) Questi attacchi ci danno un'idea degli scenari che potremmo vedere in futuro, e questi scenari sembrano decisamente spaventosi.

Questa nuova minaccia dimostra ancora una volta quanto sia importante per le organizzazioni proteggersi utilizzando strumenti di protezione avanzata, i quali si focalizzano sulla prevenzione e non soltanto sul rilevamento del malware.

Conclusioni personali.

Pertanto, quale strada intraprendere per proteggersi da questo tipo di attacco?

Il primo che penso è di tipo pro attivo: a monte di ogni attacco malware c’è una scarsa formazione del personale in merito alla campagna phishing e al ricoscimento delle fake e-mail e fake web. Inoltre, sarebbe, secondo me, opportuno incaricare degli ethical hacker per testare la formazione in cybersicurezze del proprio personale.

Il secondo approccio che propongo (oltre ad un valido sistema di firewall etc) è quello di realizzare sistemi di backup con risorse disponibili in rete solo in certi orari (notturni) per la copia dei dati sensibili. Per il recupero di questi dati, propongo una connessione alla risorsa remota on demand con autenticazione a doppio fattore, durante le ore lavorative. Altenativamente, potrebbe essere una soluzione il salvataggio dei file in supporti ottici write-once. Anche qui, propongo il recupero dei dati sensibili solo a seguito di una richiesta direttamente ad un operatore umano.

#sicurezza #malaware