Lo avevamo già fatto presente alcuni giorni fa in seguito alle tante segnalazioni ricevute: l’Italia è sotto attacco ransomware. Utenti privati così come studi professionali, piccole e medie imprese, grandi aziende, pubblica amministrazione hanno visto comparire un messaggio che di fatto informa circa la richiesta di un riscatto. “I tuoi file personali sono criptati“, “I tuoi file personali sono cifrati“, “I tuoi dati personali sono crittografati“, “Your personal files are encrypted“, sono i messaggi che possono comparire.
È l’effetto di un’infezione da ransomware, malware che infettano il personal computer e prendono in ostaggio l’intero sistema o gruppi di file (ransom in inglese significa “riscatto“).
I criminali informatici che hanno sviluppato Cryptolocker e CryptoWall chiedono il versamento di una somma a titolo di riscatto
Nelle ultime settimane, in Italia si stanno diffondendo alcune varianti dei noti ransomware Cryptolocker e CryptoWall. Si tratta di malware che non bloccano l’intero sistema ma che, una volta insediatisi sul personal computer, provvedono a crittografare tutti i file personali dell’utente.
I nuovi ransomware utilizzando l’algoritmo di cifratura asimmetrica RSA a 2.048 o 4.096 bit: sul sistema viene lasciata la chiave pubblica mentre quella privata, indispensabile per decodificare i file dell’utente, viene memorizzata su di un server remoto.
Impossibile attaccare l’algoritmo crittografico, che è solido e non è stato oggetto di fattorizzazione: per questo motivo, gli sviluppatori del ransomware chiedono il versamento di un corrispettivo in Bitcoin pari a diverse centinaia di euro. Solo in questo modo, viene promesso il “rilascio” della chiave privata utilizzabile per decodificare i propri file.
Come funzionano i ransomware quali Cryptolocker e CryptoWall. Come difendersi
Nell’articolo Infezione da Cryptolocker e CryptoWall: dati in pericolo abbiamo spiegato il funzionamento di ransomware come Cryptolocker e CryptoWall.
Nello stesso articolo abbiamo messo in luce le differenze tra le diverse varianti e gli strumenti per difendersi proteggendo i propri dati.
Italia al primo posto in Europa tra le nazioni bersagliate dai ransomware
I dati appena pubblicati da Trend Micro sono sconvolgenti: nell’area europea l’Italia è la nazione più infettata in assoluto dai ransomware Cryptolocker e CrytpoWall.
L’escalation registrata tra settembre e novembre non può non essere motivo di preoccupazione: a settembre gli italiani infettati da ransomware erano poco più del 5% del totale (in testa c’erano Spagna, Regno Unito, Francia e Turchia); ad ottobre l’Italia è passata in prima posizione con il 17,3%; a novembre il nostro Paese è ancora primo con il poco incoraggiante primato che si rafforza ulteriormente al 31,2%.
I ransomware sfruttano campagne phishing
Ultimamente le varianti di Cryptolocker/CryptoWall si stanno presentando sotto forma di false comunicazioni apparentemente provenienti dai più famosi corrieri espresso italiani. Si tratta di un attacco phishing in grande stile che cerca di trarre in inganno gli utenti meno attenti.
In calce a questa pagina, alcune immagini raffigurano i messaggi spediti dagli autori del malware.
L’e-mail più diffusa sembra provenire dal corriere espresso SDA (ovviamente si tratta di una comunicazione del tutto fasulla) e reca il testo seguente: “Il vostro pacchetto con codice di spedizione (…) è arrivato (…) Stampare l’etichetta di spedizione e mostrarlo in ufficio postale più vicino per ottenere il pacchetto“.