Se Windows è stato il sistema operativo più attaccato dal ransomware nel 2017, nemmeno Android, Linux e MacOS sono stati risparmiati

Ransomware in aumento, Italia quarto paese più colpito

Uno degli aspetti più interessanti rilevati dal “Malware Forecast 2018” realizzato dai SophosLabs riguarda i sistemi colpiti: nonostante Windows resti tuttora la piattaforma più colpita, crescono gli attacchi su Android, Linux e MacOS.

“Ormai i ransomware colpiscono indistintamente qualunque piattaforma e se Windows resta l’obiettivo più a rischio, i SophosLabs hanno registrato quest’anno un aumento di crypto-attacchi su altri device e sistemi operativi utilizzati dai nostri clienti in tutto il mondo”, ha commentato Dorka Palotay, SophosLabs security researcher e contributor all’analisi ransomware redatta dai SophosLabs nel Malware Forecast 2018.

Il report analizza anche i modelli di crescita di ransomware come WannaCry che, colpì a maggio 2017: è stato l’attacco ransomware più intercettato sui computer dei clienti Sophos superando anche lo “storico” ransomware Cerber, apparso per la prima volta ad inizio 2016. WannaCry è stato responsabile del 45,3% di tutti gli attacchi ransomware tracciati attraverso i dati di SophosLabs mentre Cerber rappresentava il 44,2%.

“Per la prima volta abbiamo registrato un ransomware di tipo worm, il che spiega la rapida espansione di WannaCry. Il ransomware ha infatti sfruttato una vulnerabilità di Windows già nota per infettare ed espandersi sui computer ed il controllo della sua diffusione è dunque diventato molto difficile”, ha dichiarato Palotay. “Nonostante i clienti Sophos fossero protetti, Wannacry rappresenta comunque una minaccia a causa della sua natura intrinseca che gli permette di continuare a scansionare ed attaccare i computer. Ci aspettiamo che gli hacker continuino a sfruttare questa caratteristica per i loro attacchi, come nel caso di WannaCry e NotPetya, o più di recente Bad Rabbit, che ha mostrato diversi punti in comune con NotPetya”.

All’interno del report di Sophos viene evidenziata lo sviluppo di NotPetya, il ransomware che colpì nel giugno del 2017. NotPetya, inizialmente, si era propagato attraverso un pacchetto software di Accounting ucraino, limitando quindi molto il suo impatto geografico. La sua diffusione è stata causata dall’exploit EternalBlue, proprio come WannaCry, ma, dato il precedente attacco WannaCry, erano rimasti pochi PC ancora vulnerabili a questo tipo di minaccia.

La strategia di NotPetya è ancora poco chiara perché ci sono state molte falle nel corso di tale attacco. Ad esempio, l’account di posta elettronica che le vittime dovevano contattare per pagare il riscatto non funzionava e le vittime non potevano dunque in alcun modo tentare di recuperare i propri dati, secondo Palotay.

“La diffusione di NotPetya è stata veloce e repentina, causando numerosi danni perché i dati delle vittime sono stati eliminati permanentemente. Fortunatamente NotPetya si è fermato velocemente, proprio come la sua diffusione”, ha commentato Palotay. “Il nostro sospetto è che gli hacker stessero sperimentando qualcosa di più pericoloso di un semplice ransomware, ovvero un data wiper. Sophos consiglia di non pagare il riscatto di un ransomware e fornisce consigli utili ad evitare di diventare vittime di questi attacchi, tra cui fare il backup dei dati e aggiornare le applicazioni”.

Cerber, venduto come kit ransomware nel Dark Web, rimane una grave minaccia. I creatori di Cerber continuano infatti ad aggiornare il codice e guadagnano una percentuale sui riscatti pagati dalle vittime agli hacker che utilizzano il loro ransomware. “Il modello di business basato sul Dark Web è un modello, sfortunatamente molto redditizio e funziona come una vera e propria azienda, finanziando continuamente lo sviluppo di Cerber. È molto probabile che i profitti motivino sufficientemente gli autori a continuare a migliorare il codice”, ha dichiarato Palotay.

I ransomware che colpiscono i sistemi Android stanno attirando le attenzioni degli hacker. Secondo le analisi dei SophosLabs, il numero di attacchi a clienti Sophos che usano dispositivi Android è aumentato lungo tutto il 2017.

“Solo a settembre il 30,4% dei malware Android, analizzati dai SophosLabs, si è rivelato essere un ransomware. Entro ottobre ci aspettiamo che questa percentuali arrivi al 45%” ha commentato Rowland Yu, SophosLabs security researcher e contributor all’analisi ransomware redatta dai SophosLabs nel Malware Forecast 2018. “La ragione primaria per cui i ransomware Android stanno avendo così tanto successo è perché per un cyber criminale è un modo veloce per guadagnare, molto più immediato del furto di contatti e SMS attraverso pubblicità “pop-up” o phishing, tutte modalità che richiedono tecniche più sofisticate. È importante sottolineare che la maggior parte dei ransomware Android vengono veicolati attraverso marketplace che nulla hanno a che vedere con Google Play; questa è l’ennesima dimostrazione che gli utenti dovrebbero scaricare applicazioni solo da piattaforme sicure ed affidabili”.

Il report dei SophosLabs evidenzia due particolari tecniche di attacco su dispositivi Android: la prima blocca semplicemente il telefono senza crittografare i dati al suo interno, mentre la seconda implica l’encryption dei dati dell’utente.

Viene sottolineato da Sophos come la maggior parte dei ransomware su Android non vada a compromettere i dati bensì blocchi soltanto lo schermo del device, gettando comunque nel panico l’utente. “Sophos consiglia di effettuare il backup del proprio smartphone con regolarità, come già dovrebbe avvenire nel caso dei PC, al fine di proteggere i propri dati da eventuali attacchi ransomware. Ci aspettiamo infatti una continua e sensibile crescita degli attacchi ransomware sia verso i device Android sia verso qualunque altra piattaforma o dispositivo scelto dagli utenti” conclude Yu.