Il miglior honeypot del mondo? Nomoreransom.org

Mag 02, 2017 Giancarlo Calzetta Malware, Minacce, News 0

---

Durante l’EMEA McAfee Labs Days tenutisi a Londra, Raj Samani ha svelato che i cybercriminali tendono a diventare nervosi quando trovano iniziative che, come nomoreransom, danno fastidio ai loro affari…

 

Abbiamo già parlato in passato diverse volte dell’iniziativa Nomoreransom, il sito dedicato alla raccolta degli strumenti in grado di decodificare i dati presi in ostaggio dai ransomware meno evoluti o dei quali si è riusciti a risalire alle chiavi di crittazione.

Durante il McAfee Labs Days tenutosi a Londra di recente, però, è emerso un altro dettaglio interessante: durante il suo discorso a proposito dello stato attuale del ransomware, Raj Samanni (Chief Technical Officer di McAfee) ci ha rivelato che il sito è ancora più utile di quanto non si possa pensare.

Oltre alla sua funzione di supporto nei confronti di chi ha subito l’attacco di un ransomware, infatti, il dominio ransomware.org è diventato uno degli honeypot più bersagliati della intera Rete.

“Abbiamo iniziato a dare fastidio a qualcuno” – dice Raj Samani – “e questo ha portato ransomware.org in cima alle classifiche dei domini più attaccati e non solo in termini di DDOS”.

I cybercriminali, infatti, non vogliono solo mettere offline il sito, un compito comunque arduo dal momento che è molto sorvegliato e ben schermato, ma soprattutto violarlo per minarne la credibilità.

Infiltrare un trojan scaricabile sul dominio darebbe un colpo durissimo alla sua funzione in quanto magari chi adesso lo consulta nella speranza di trovare una soluzione ai propri problemi, in caso di compromissione potrebbe temere di peggiorare la sua situazione e limitarsi a pagare.

“Questo approccio, però,” – continua Samani – “ci torna incredibilmente utile. I cybercriminali stanno mettendo in campo grande fantasia e mezzi per cercare di violare il sito e questo non fa altro che accrescere le nostre conoscenze per contrastare i loro attacchi in altri campi”.

Ma oltre a fungere da palestra per buoni e cattivi di Internet, come sta andando l’iniziativa NoMoreRansom?

“Il riscontro presso il pubblico” – risponde il Chief Technical Officer – “è stato incredibile. Il primo giorno in cui è andato online abbiamo avuto quasi un milione e mezzo di contatti e non c’erano ancora gli attacchi di mezzo…”

“Purtroppo” – continua – “questo enorme lavoro sembra essere una goccia nel mare dei disastri portati da questa piaga”.

In effetti, tutte le slide mostrate da Samani segnalavano una netta vittoria del ransomware, nonostante il fatto che si stia diffondendo una maggior consapevolezza tra gli utenti.

“Il nuovo trend” – ci dice – “è quello di attaccare quelle aziende che non possono permettersi di fermarsi neanche per un momento: gli ospedali. Da occasionale e quasi casuale, l’attacco a queste strutture è diventato sistematico, con una grande attenzione ai dettagli e minacce costruite su misura.”

Gli ospedali che ancora non sono dotati di misure efficaci, e sono tanti, purtroppo non possono permettersi di perdere l’accesso ai dati dei pazienti e quindi sono degli ottimi pagatori. A volte, addirittura, i criminali se ne approfittano e se vedono una risposta “troppo pronta”, tornano alla carica per chiedere più soldi per rilasciare i dati.

“Il rischio di non riavere indietro i propri dati è sempre presente, anche in caso di pagamento del riscatto” – conferma Raj Samani – “e la vera soluzione sarebbe quella di non pagare. I criminali si sono dati al ransomware perché è tremendamente remunerativo. Se nessuno (o pochi) pagassero, non ci sarebbe più ransomware. Ma di sicuro non è questa la soluzione alla quale possiamo guardare per risolvere il problema”.

 

---

• Giancarlo Calzetta, IT Security, MC Afee, Raj Samani, Ransomware, sicurezza informatica

---

---