Discussione Il ransomware è davvero un attacco così pericoloso?

[Netcat]

Le skill di programmazione giocano un ruolo fondamentale nel ransomware developing. Alcuni ransomware sono meno pericolosi di altri, semplicemente perché l'attaccante non ha implementato delle contromisure per impedire al target di difendersi. Il ransomware prodotto da un professionista non vi lascia via di scampo, mentre il ransomware di uno script kiddie leaka la decryption key da qualche parte nel source code, dato che è stato sicuramente scaricato da qualcuno che lo ha scritto a scopo didattico, e non offensivo.
Tuttavia, esiste un trucchetto molto banale, sul quale la maggior parte delle persone urina sopra, per contrastare qualunque ransomware esistente. La risposta a tutte le vostre paure è una sola: BACKUP. TUTTI gli utenti che piangono per aver ricevuto un attacco ransomware, non comprendono il valore di effettuare un BACKUP settimanale dei file nel loro dispositivo. Anche se il dispositivo ormai è fregato (perché nei casi peggiori un ransomware può impedirvi anche di formattarlo e reinstallare tutto) se voi potete fare un Backup settimanale di tutti i vostri file, andrete a rendere inutile lo scopo primario per cui il ransomware è stato creato: criptare i vostri file, per impedirne l'accesso. Se avete il computer distrutto, non è un problema, se ne compra un altro. Su Internet potete reperire un cellulare o un PC di fascia media in vendita a prezzi davvero convenienti (e talvolta acquistabili a comode rate), ma i vostri file, ossia il bersaglio principale del ransomware, grazie al rito del backup saranno sempre con voi. Comprendete da questo momento l'importanza di effettuare backup quotidiani, e questo tipo di attacco sarà inutile, a prescindere dalle skill di programmazione che ci sono dietro.

Concludo con il dire, che un RAT (Remote Access Trojan) è sicuramente più pericoloso di un ransomware, in quanto non potete mai sapere quando, e come, questo tipo di malware vi va a colpire. Il vostro dispositivo potrebbe essere sotto attacco da un RAT da anni senza che ve ne rendiate conto. Non esiste attualmente nessun metodo davvero affidabile per rilevare, rimuovere, o prevenire un RAT fatto davvero molto bene, da professionisti, sia manualmente che con ausilio di altri tool. Puoi solo sperare che a un certo punto il tuo antivirus impari la signature e il behaviour pattern del file nefasto e lo cancelli. Ma in quel momento potrebbe essere già troppo tardi.

 

[JunkCoder]

Verissimo. Il problema che hanno molte aziende è che un sistema di backup non è così facile da creare e mettere in sicurezza per un grosso volume di dati, quindi succede che al momento dell'attacco magari i backup sono vecchi di una settimana e per quella grossa azienda perdere una settimana di lavoro + il tempo di ripristinare tutto, danno di immagine e rimettersi al passo è pesante e i dirigenti potrebbero decidere che conviene più pagare qualche milione di riscatto (i malviventi calcolano bene il valore del riscatto a priori e alcuni aprono un vero e proprio negoziato per rendere la scelta di pagare quella più "vantaggiosa"). Ancora peggio quando il sistema di backup non è fatto a dovere, perché le APT che impiegano ransomware spesso passano del tempo a mappare la rete e i dispositivi USB prima di iniziare la cifratura proprio per vedere se i backup sono a portata di tiro e quindi renderli inutilizzabili. Come puoi immaginare gestire TB o PB di backup aggiornati e protetti/offline non è cosa facile. Solo le aziende più attente alla sicurezza mettono in piedi sistemi di backup efficienti per questi casi perché farlo significa spendere molti soldi per altro personale, progettazione, implementazione, supporti di memoria, server extra ecc... Questo è il vero motivo per cui il ransomware fa ancora tanta paura a molte aziende e la farà ancora per un po'. Se vuoi una mia previsione in futuro quando la famiglia ransomware non sarà più profittevole lascerà il posto a wiper e information stealer.

Per fortuna mentre le aziende devono trovare soluzioni complesse, gli utenti privati invece sono al sicuro con un paio di backup su memorie esterne, dopotutto perdere qualche giorno di lavoro non avrà lo stesso impatto che su un'azienda.

 

[Netcat]

Verissimo. Il problema che hanno molte aziende è che un sistema di backup non è così facile da creare e mettere in sicurezza per un grosso volume di dati, quindi succede che al momento dell'attacco magari i backup sono vecchi di una settimana e per quella grossa azienda perdere una settimana di lavoro + il tempo di ripristinare tutto, danno di immagine e rimettersi al passo è pesante e i dirigenti potrebbero decidere che conviene più pagare qualche milione di riscatto (i malviventi calcolano bene il valore del riscatto a priori e alcuni aprono un vero e proprio negoziato per rendere la scelta di pagare quella più "vantaggiosa"). Ancora peggio quando il sistema di backup non è fatto a dovere, perché le APT che impiegano ransomware spesso passano del tempo a mappare la rete e i dispositivi USB prima di iniziare la cifratura proprio per vedere se i backup sono a portata di tiro e quindi renderli inutilizzabili. Come puoi immaginare gestire TB o PB di backup aggiornati e protetti/offline non è cosa facile. Solo le aziende più attente alla sicurezza mettono in piedi sistemi di backup efficienti per questi casi perché farlo significa spendere molti soldi per altro personale, progettazione, implementazione, supporti di memoria, server extra ecc... Questo è il vero motivo per cui il ransomware fa ancora tanta paura a molte aziende e la farà ancora per un po'.

Per fortuna mentre le aziende devono trovare soluzioni complesse, gli utenti privati invece sono al sicuro con un paio di backup su memorie esterne, dopotutto perdere qualche giorno di lavoro non avrà lo stesso impatto che su un'azienda.

Grulli... Potrebbero spendere qualche milione per comprare supporti da 500 terabyte per i backup, piuttosto che per ottenere un decryptor che a 99% si inceppa (volutamente) e quei pochi file che ha decriptato manco funzionano più...

 

[TheWorm91]

Ci sarebbe interessante aprire un'ulteriore discussione riguardo proprio alla protezione e la sicurezza dei backup.
Ho sentito "in ufficio siamo tranquilli, abbiamo un NAS di rete che fa il backup automatico delle postazioni", peccato che anche il NAS è collegato in rete e quindi anch'esso vulnerabile all'attacco dato che molti ransomware si propagano tramite le share di Windows.
Quindi l'unica salvezza dai ransomware sono i backup offline e finché si parla del singolo utente domestico si risolve facilmente replicando i dati su uno o più hd esterni e su cloud(come faccio a casa).​

Il problema che hanno molte aziende è che un sistema di backup non è così facile da creare e mettere in sicurezza per un grosso volume di dati, quindi succede che al momento dell'attacco magari i backup sono vecchi di una settimana e per quella grossa azienda perdere una settimana di lavoro + il tempo di ripristinare tutto

Per quanto riguarda le reti lan vedo la situazione più complessa per la mole di dati da replicare (escludo a priori che ogni dipendente faccia il backup su hd esterno una volta a settimana in autonomia).​

Potrebbero spendere qualche milione per comprare supporti da 500 terabyte per i backup

Oppure salvare i dati su una SAN cloud però serve una connessione ottima, come soluzione in-house potrebbe essere efficace un server virtuale con snapshot settimanali in modo che se il ransomware infetta il virtual server si ripristina l'immagine precedente all'infezione?

​

 

[Netcat]

Una soluzione più stramba ed economica è quella di zippare i file in un archivio auto-estraente. Questo tipo di archivio lo fanno sia WinRar che 7zip, ma Windows di base non lo fa. È una soluzione viabile perché gli archivi auto-estraenti sono costituiti da un .exe che funge da archivio, quindi il file finale in cui sono compressi i file è un .exe e non una .zip

Questa tecnica è viabile, perché dalle mie ricerche è emerso che la maggior parte dei ransomware non criptano gli exe. Tutti i ransomware che non criptano gli exe sono vulnerabili a questa tecnica di difesa, magari all'archivio .exe ci imposti anche una bella password così in caso il ransomware incorpori una backdoor il file non possono decomprimerlo da remoto. Contro NotPetya non funziona però, perché quel ransomware criptava anche il bootloader. Ma contro wannacry e molti altri funziona.

Messaggio unito automaticamente: 4 Ottobre 2022

Un'altra tecnica di difesa ancora è di salvare tutti i lavori in CWindows, dato che i ransomware di norma prendono di mira Desktop, Documents, Downloads o comunque varie sottocartelle in CUsers.

Salvando i file in CWindows non solo cogli il ransomware alla sprovvista, ma rendi anche più difficile l'exploitation, perché questa cartella per essere toccata richiede UAC access. L'attaccante avrà bisogno di trovare prima una falla in UAC se vorrà criptare i contenuti di CWindows

 

[TheWorm91]

Una soluzione più stramba ed economica è quella di zippare i file in un archivio auto-estraente. Questo tipo di archivio lo fanno sia WinRar che 7zip, ma Windows di base non lo fa. È una soluzione viabile perché gli archivi auto-estraenti sono costituiti da un .exe che funge da archivio, quindi il file finale in cui sono compressi i file è un .exe e non una .zip

Questa tecnica è viabile, perché dalle mie ricerche è emerso che la maggior parte dei ransomware non criptano gli exe. Tutti i ransomware che non criptano gli exe sono vulnerabili a questa tecnica di difesa, magari all'archivio .exe ci imposti anche una bella password così in caso il ransomware incorpori una backdoor il file non possono decomprimerlo da remoto. Contro NotPetya non funziona però, perché quel ransomware criptava anche il bootloader. Ma contro wannacry e molti altri funziona.

Messaggio unito automaticamente: 4 Ottobre 2022

Un'altra tecnica di difesa ancora è di salvare tutti i lavori in CWindows, dato che i ransomware di norma prendono di mira Desktop, Documents, Downloads o comunque varie sottocartelle in CUsers.

Salvando i file in CWindows non solo cogli il ransomware alla sprovvista, ma rendi anche più difficile l'exploitation, perché questa cartella per essere toccata richiede UAC access. L'attaccante avrà bisogno di trovare prima una falla in UAC se vorrà criptare i contenuti di CWindows

Interessante, non sapevo di queste tecniche!

Messaggio unito automaticamente: 4 Ottobre 2022

n'altra tecnica di difesa ancora è di salvare tutti i lavori in CWindows, dato che i ransomware di norma prendono di mira Desktop, Documents, Downloads o comunque varie sottocartelle in CUsers.

ovviamente l'utente che usa il pc non dovrà essere administrator o comunque avere i privilegi di amministrazione giusto?

 

[Netcat]

Interessante, non sapevo di queste tecniche!

Messaggio unito automaticamente: 4 Ottobre 2022

ovviamente l'utente che usa il pc non dovrà essere administrator o comunque avere i privilegi di amministrazione giusto?

No, basta che glieli garantisci. In questo screenshot ho provato semplicemente a muovere un file in C:/Windows. E come puoi vedere appena ci ho provato mi ha fermato e mi ha chiesto di garantire UAC access. Questo è un permesso che si può garantire solo manualmente, per farlo da remoto è necessario un exploit che corrompa UAC

Messaggio unito automaticamente: 4 Ottobre 2022

Se tu sei un utente loggato al PC (non amministratore) ti chiede di confermare quel dialog, se invece sei amministratore non ti chiede niente. L'attaccante deve quindi impersonare un amministratore, oppure corrompere UAC. La situazione è così in Windows 10, ma penso che lo sia anche in Windows 7 e 8.1
Se sei invece stai gestendo un'azienda ancora piena di scassoni che usano XP o 2000, sei in una situazione molto seria, e devi cercare come minimo di aggiornare questi sistemi a 7, dato che per attaccare XP mi bastano circa 5 secondi in condizioni di latenza normali.

 

[TheWorm91]

Se tu sei un utente loggato al PC (non amministratore) ti chiede di confermare quel dialog, se invece sei amministratore non ti chiede niente.

Bisognerebbe fare una prova con un account che fa parte del gruppo administrator dato che quasi la totalità degli utenti windows usa l'account locale predefinito che è nel gruppo administrator.

 

[Netcat]

Se vuoi indagare per conto tuo ti dico che su Git è pieno di PoC source che mostrano il funzionamento di un ransomware. In sintesi quello che fanno comunque è di criptare i file che hanno l'estensione inserita nel codice, quindi tu puoi anche salvare i file con un estensione che non esiste (ad esempio .daemon) e facendo così il ransomware non riconosce l'estensione e non lo può criptare. Ovviamente se prendi un .docx e rinomini l'estensione in .daemon diventa temporaneamente illegibile, ma per farlo tornare leggibile quando ne hai bisogno ti basta rinominare l'estensione .daemon in .docx e torna come nuovo. Non è una sciocchezza, perché è il risultato di un test fatto localmente.

 

[TheWorm91]

Se vuoi indagare per conto tuo ti dico che su Git è pieno di PoC source che mostrano il funzionamento di un ransomware. In sintesi quello che fanno comunque è di criptare i file che hanno l'estensione inserita nel codice, quindi tu puoi anche salvare i file con un estensione che non esiste (ad esempio .daemon) e facendo così il ransomware non riconosce l'estensione e non lo può criptare. Ovviamente se prendi un .docx e rinomini l'estensione in .daemon diventa temporaneamente illegibile, ma per farlo tornare leggibile quando ne hai bisogno ti basta rinominare l'estensione .daemon in .docx e torna come nuovo. Non è una sciocchezza, perché è il risultato di un test fatto localmente.

Sto dando un'occhiata a questo scritto in python

Python-Ransomware/RansomWare.py at master · ncorbuk/Python-Ransomware

Python Ransomware Tutorial - YouTube tutorial explaining code + showcasing the ransomware with victim/target roles - Python-Ransomware/RansomWare.py at master · ncorbuk/Python-Ransomware

github.com