I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti l'utilizzo dei cookie da parte nostra.

Anche gli hacker sbagliano: quando il Cryptovirus è un epic fail

da HWUpgrade.it

Una crittografia mal implementata può neutralizzare la pericolosità dei Cryptovirus: talvolta anche gli hacker, specie quelli improvvisati ed inesperti, compiono qualche passo falso...

Introduzione

ransomware e i cryptovirus possono essere annoverati a buon titolo e purtroppo tra i peggiori flagelli degli ultimi due anni, almeno per quanto riguarda il mondo della sicurezza informatica: una minaccia insidiosa e pericolosa, per la quale spesso è fin troppo facile caderne vittime, e capace di mettere seriamente a rischio tutti i dati conservati sul nostro sistema.

Ne avevamo già discusso approfonditamente all'inizio dell'anno, in un periodo in cui i ransomware mietevano molte vittime tra gli utenti comuni. Nel corso dell'anno tuttavia la minaccia si è spostata anche verso realtà commerciali e attività, con la vicenda delle cliniche ospedaliere prese di mira in alcune zone degli Stati Uniti a testimoniare la vera pericolosità di questo tipo di attacchi informatici.

Per chi ancora non fosse a conoscenza del problema, facciamo un piccolo riassunto: nella famiglia dei cryptovirus/ransomware rientrano tutti quei malware il cui meccanismo di funzionamento prevede la cifratura dei dati presenti sull'hard disk (tutti o parte di essi) con tecniche di crittografia più o meno robuste. In questo modo i dati sono inaccessibili all'utente, che non conosce la chiave di cifratura, e possono essere recuperati pagando un riscatto all'autore del malware. In alcuni casi, e la ricerca nel campo della sicurezza ha comunque fatto qualche piccolo passo avanti, diviene possibile riuscire a "crackare" il cryptovirus e a recuperare i dati senza dover pagare il riscatto. Ma un cryptovirus/ransomware ben implementato non lascerà di fatto alcuna scelta all'utente che vuole rientrare in possesso dei propri dati. Per ulteriori approfondimenti rimandiamo al nostro articolo "Allarme Cryptovirus: prevenire per non pagare il riscatto".

 

 

Il successo di questa forma di attacco informatico è dovuta al fatto che i ransomware rappresentano un modo molto facile di "battere cassa", facendo leva sulle paure o sulle necessità della vittima. Le tecniche di diffusione sono quelle abitualmente usate per la diffusione di altre categorie di malware (phishing e via discorrendo) e, come spesso accade nel mondo dei crimini informatici, è anche relativamente semplice realizzarli: sulla rete è possibile trovare veri e propri "kit" che permettono, anche a chi non ha competenze di "hacking", di poter realizzare la propria piccola "arma" tecnologica.

Questo aspetto, però, ha la diretta conseguenza di mettere strumenti potenti nelle mani di inesperti. E proprio su questo fa luce un interessante articolo ad opera di Check Point Software, che vi proponiamo nella pagina seguente, che descrive quali sono i passi falsi e gli "epic fail" in cui anche gli hacker possono incappare, che spesso risultano in crittografie del tutto inefficaci le quali vanificano l'originario proposito criminoso.

Anche gli hacker sbagliano - Check Point Software

Durante la conferenza Virus Bulletin di Denver, i ricercatori di Check Point, Yaniv Balmas e Ben Herzog, hanno partecipato con un intervento dal titolo “Great Crypto Failures”, dedicato agli errori di crittografia compiuti dai cybercriminali. La crittografia è parte essenziale di molte tecniche dei malware odierni. Viene infatti utilizzata per occultare i malware, consentendo loro di superare le misure di sicurezza, creare un canale di comunicazione con i server Command&Control e, non ultimo, per ricattare le vittime.

Nonostante la crittografia assuma sempre più importanza nel funzionamento dei malware, non tutti gli sviluppatori riescono a metterla in pratica in modo efficace. Gli errori nella crittografia possono essere commessi anche da hacker esperti e meticolosi, non soltanto da chi si dedica a queste attività criminali in modo amatoriale. Nel loro intervento, gli esperti di Check Point hanno analizzato i principali errori di crittografia e le loro cause. 

Gli errori di crittografia più comuni 

Il primo errore si chiama “programmazione voodoo”, ed è dovuto a una profonda incomprensione della crittografia utilizzata. Il metodo di comunicazione C&C utilizzato dal malware Zeus è un esempio di questo errore, che si trova spesso in molti malware. Per garantire la loro comunicazione, gli autori di Zeus hanno utilizzato il codice RC4, ma hanno deciso di spingersi un passo più in là. Dopo la crittografia del traffico con il codice RC4, hanno utilizzato la disgiunzione XOR per creare il testo del codice finale. Il nuovo “metodo” di crittografia non ha reso più sicuro il traffico, perché non variava rispetto all’RC4, ma dimostra le lacune nelle conoscenze dei suoi autori.

Il secondo tipo di errore è la tecnica “copia e incolla”. Gli autori di alcuni malware sfruttano il codice che trovano online, ma lo applicano senza conoscere abbastanza bene le sue reali caratteristiche, con risultati pessimi. Uno di questi casi è quello di CryptoDefense, uno dei primi tentativi di creare un ransomware. Mentre la maggior parte delle tecniche vincenti sono state copiate da CryptoLocker, questo sfruttava un' API di crittografia di basso livello di Windows OS per creare la reale crittografia. Per quanto potesse apparire a prova di bomba, gli hacker hanno copiato troppo dal Microsoft Developer Network, che è stato progettato per custodire la chiave “segreta” nell’archivio locale. Per questo motivo, il ransomware non funzionava, dato che le vittime avevano la possibilità di risolvere la crittografia senza pagare alcun riscatto.

Un altro errore è quello di chi cerca di “reinventare la ruota quadrata”. Si tratta degli hacker che cercano di risolvere le criticità della programmazione improvvisando. Forse, il caso più divertente con la presenza di questo errore è il recente caso dell’Exploit Kit Nuclear. Per occultare i processi dell’exploit, gli autori di Nuclear hanno usato la tecnica Diffie-Hellman Key Exchange per crittografare le informazioni trasmesse agli exploit durante l’esecuzione. L’applicazione della tecnica key exchange, però, si è rivelata un’assurdità. La chiave è stata equiparata a 0, vanificando così l’intero procedimento.

L’ultimo errore di crittografia analizzato è il “malware bluff”, che dimostra che l’apparenza inganna. Quando il Trojan Nermocud si è evoluto in un ransomware, ha comunicato alle sue vittime che i loro file erano stati crittografati con la tecnica RSA-1024. In questa dichiarazione c’erano due grosse bugie. La prima è che al momento della dichiarazione la crittografia non era nemmeno all’inizio. In molti casi, infatti, il vero procedimento di crittografia si è bloccato e l’unico risultato di Nemocud era quello di rinominare le estensioni dei file. Seconda bugia: anche se le tecniche di crittografia sono poi iniziate, si basavano su un semplice codice XOR, niente a che vedere con l’RSA-1024 promesso.

Capire che gli hacker non sempre padroneggiano le tecniche di crittografia può aiutarci a contrastarli su diversi fronti, dal disattivare ransomware a decifrare le loro comunicazioni. Detto questo, gli hacker stanno migliorando le proprie tecniche di crittografia, e, una volta che le padroneggeranno adeguatamente, la partita sarà molto diversa da adesso. Tuttavia, fino a quel momento, le opportunità di riuscire a fermare i cybercriminali non mancheranno, e gli esperti che analizzano il fenomeno dei malware dovrebbero tenere gli occhi aperti e approfittare di ogni occasione utile per neutralizzarli. 


Maggiori dettagli sono disponibili scaricando il whitepaper Great Crypto Failures.