Alla fine del 2013 Panda Security aveva registrato i primi segnali di quelli che sarebbero diventati tra gli attacchi più remunerativi per i cyber criminali. Cryptolocker è il nome della più celebre famiglia di ransomware, nome utilizzato poi per tutte le minacce appartenenti a questa categoria. Il funzionamento è sempre il medesimo: codifica i documenti e richiede un riscatto per la restituzione.

Generalmente Cryptolocker geolocalizza l’IP della vittima per mostrare il messaggio contenente le istruzioni per il pagamento del riscatto, sempre fornite nella lingua del paese corrispondente. I pagamenti devono essere effettuati utilizzando Bitcoin e tutti i contatti con i cyber criminali avvengono via Tor, per evitare intercettazioni da parte delle autorità.

Questi attacchi sono diventati sempre più comuni nel corso del 2014, inizialmente con episodi isolati rivolti a singoli individui, per poi focalizzarsi verso le aziende, rivelatesi molto più remunerative grazie al valore più elevato delle informazioni rubate e del riscatto (spesso pari a 300 euro), irrisorio per la maggior parte delle organizzazioni.

Tutti i cyber criminali utilizzano Bitcoin come metodo di pagamento per non essere rintracciati

Nel 2015 si è assistito a un potenziamento degli attacchi per cercare di superare ogni barriera difensiva. Non sono più stati commessi infatti errori di codifica dei file, che permettevano alle aziende specializzate in sicurezza di creare tool per il ripristino dei documenti, senza la necessità di pagare riscatti. Nuove famiglie di minacce hanno inoltre fatto la loro comparsa e numerosi gruppi di cyber criminali utilizzano Cryptolocker, diventato il codice più famoso al momento.

Tutti i cyber criminali utilizzano Bitcoin come metodo di pagamento, per non essere rintracciati e si sono ormai focalizzati su due metodi di diffusione, ovvero tramite Exploit Kit e tramite email con un allegato zippato. Sono poi state create nuove forme di attacco e si è assistito all’utilizzo di script PowerShell, attivo di default con Windows 10. Sul versante mobile invece sono stati rilevati alcuni attacchi (ad esempio quello che modificava il codice PIN di accesso), ma sono ancora un’eccezione alla regola.

Per proteggersi da queste minacce, è necessario innanzitutto ricordare che Cryptolocker ha “esigenze” differenti rispetto al malware tradizionale; non è invasivo (una volta codificati i documenti, non ha la necessità di restare sul sistema e, infatti, alcune varianti si cancellano in autonomia) e non si preoccupa di essere rilevato da un antivirus.

I metodi tradizionali di identificazione sono ora piuttosto inutili, in quanto prima di realizzare un attacco, il codice verificherà che le tecnologie in atto non siano in grado di individuare l’esemplare e in ogni caso modificherà se stesso per superarle. L’analisi comportamentale nella maggior parte dei casi non è capace di identificare le sue azioni, in quanto spesso si installa nei sistemi di elaborazione per codificare i file come se questa fosse un’operazione abituale. Solo un sistema che monitora ogni processo in esecuzione su un computer rappresenta di fatto un metodo efficace per bloccare in tempo questi attacchi prima che mettano a rischio i nostri documenti.