Cos’è e come funziona il nuovo ransomware che ha infettato i computer di migliaia di utenti, spiegato dagli esperti di I-Forensics Team
MEDIA&TECNOLOGIA. Ricevere una comunicazione dall’Agenzia delle entrate non è sempre rassicurante, ma lo è ancora meno se nell’email si nasconde un virus informatico.
La mail inviata risulta apparentemente innocua e proviene da un mittente che sfrutta il falso nome dell’Agenzia delle entrate, per rendere il messaggio quanto mai veritiero agli occhi dei meno informati. Parlando in termini di sicurezza informatica il caso in esame si configura come tentativo di intrusione non tecnico, con l’ausilio di strumenti tecnologici, che consiste nell’influenzare una persona con l’obiettivo finale di farle rilevare informazioni confidenziali farla agire in maniera tale da consentire accesso o uso non autorizzato di sistemi, reti o informazioni, tale pratica prende il nome di ingegneria sociale.
Una tecnica di ingegneria sociale basata sul principio che utilizza un messaggio di posta elettronica per acquisire informazioni personali riservate come password, dati finanziari, numero di carta di credito con la finalità del furto di identità è il phising. L’utente malintenzionato, detto phisher, spedisce al malcapitato ed ignaro utente un messaggio email con indirizzo falsificato (spoofed). Gli indirizzi di provenienza possono essere simili a agenziaentrateinformazioni.icu, agenziaentrate.icu e agenziainformazioni.icu, ma effettivamente nessuno di questi è realmente legato all’Agenzia delle entrate.
La mail simula nella grafica e nel contenuto quello di una istituzione nota al destinatario, per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto; nel nostro caso sono contenuti i loghi e il layout dell’Agenzia delle entrate e quasi sempre, presentando avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account eccetera), si invita il destinatario a seguire il link e a inserire i propri dati. Ma il vero pericolo è nascosto in un file Word allegato alla mail, dal nome innocuo, come Verdi.docx, che contiene un piccolo programma in grado di lanciarsi automaticamente e infettare il nostro pc. Nel caso di specie parliamo del ransomware Maze, ovvero un virus che ‘prende in ostaggio’ i dispositivi, criptandone i file contenuti e rendendoci di fatto impossibile accedere ai nostri documenti, foto e quant’altro senza possedere un’apposita password.
Si tratta di un vero e proprio ‘rapimento’ dei nostri dati: al verificarsi dell’infezione, tra i file cifrati ne comparirà infatti uno denominato DECRYPT-FILES.txt contenente appunto le istruzioni per ‘pagare il riscatto’ e acquistare la password necessaria per decriptare i file e riprenderne l’accesso consueto. Segnalato dal Cert-Pa, il Computer Emergency Response Team della Pubblica Amministrazione, al momento non è stato creato uno strumento per difendersi: serve dunque una corretta prevenzione.
Il primo passo è aggiornare sia l’antivirus sia il sistema operativo, oltre alla versione di Flash Player installata sul computer, visto che Maze sfrutta proprio una vulnerabilità presente in queste software Adobe. Poi è importante eseguire periodicamente un backup dei dati, cioè una copia dei propri file da ripristinare in caso di attacco. Inoltre, è bene verificare che ogni email arrivi veramente dal mittente indicato: nel caso specifico, i domini che abbiamo citato non fanno capo all’Agenzia delle entrate, ma sono molto somiglianti, quindi bisogna stare particolarmente attenti a non cascare nella trappola. È sempre bene, infine, contro-verificare, magari con una semplice telefonata all’ufficio preposto, che non ci siano effettivi procedimenti burocratici che ci riguardano, segnalando al contempo di aver ricevuto tali email ‘esca’.
I-Forensics Team
Unisciti al gruppo Whatsapp di isNews per restare aggiornato in tempo reale su tutte le notizie del nostro quotidiano online: salva il numero 3288234063, invia ISCRIVIMI e metti ‘mi piace’ al nostro gruppo ufficiale
